» Language: german version (current) / english version «
Mit freundlicher Unterstützung durch Frank Kaune.
Dienste unter Windows XP
Beenden von Diensten unter Windows XP
Beenden von Diensten
Hinweis:
Folgende Anleitung bezieht sich auf eine Standardinstallation
von Windows XP Professional und dem Einsatz auf einem
Einzelplatzrechner mit nur einem Benutzer und direktem Anschluß ans
Internet (Modem/DSL). Beim Einsatz als Mehrbenutzersystem, mit
einem Router, Client im LAN oder mit Serverdiensten für ein
Netzwerk z.B. Proxy-, Web-, FTP-, Mail-Server, Router usw., müssen
die dafür zuständigen Dienste und Konfigurationen, bestehen
bleiben. Dieses gilt auch für zusätzliche Dienste die mit
Anwendungen
installiert werden und unter Umständen von MS-Systemdiensten
abhängig sein können.
Desweiteren nimmt diese Anleitung einem nicht die Entscheidung
ab, welche der hier vorgestellten Dienste tatsächlich in der
gegebenen Rechnerkonfiguration, bezogen auf das jeweilige
Einsatzgebiete des Systems, deaktiviert werden können oder ob sie
für ein speziellen Anwendungsfall aktiv bleiben müssen!
Vor einer Änderung der Systemkonfiguration ist aus
Sicherheitsgründen ein Backup bzw. Festplattenimage der
Systempartition, mit entsprechender Software anzufertigen.
Aktive Dienste
und offene Ports nach einer Standardinstallation von Windows XP
Professional
Kurzbeschreibung der Dienste/Ports
epmap (Port TCP 135)
Dienste, die DCOM und/oder RPC im Netzwerk nutzen, registrieren
u.a. ihren Standort mit dem end-point mapper (epmap) auf dem PC.
Wenn andere Clients sich mit einem PC verbinden um bestimmte DCOM
oder RPC Dienste auf diesem zu nutzen, fragen sie über den
end-point mapper (epmap) in einer Art Datenbank ab, wo sich diese
Dienste befinden. Man kann über diesen Port und dem epmap Dienst
herausfinden ob z.B. auf dem Zielrechner ein MS-Exchange Server
läuft und welche Version der hat. Dieser Port wird auch vom Scanner-Tool
'epdump' ausgewertet und es gibt auch Denial-of-Service (DoS)
Angriffe, direkt auf diesen Port.
microsoft-ds (Port TCP/UDP 445)
Über diesen Port und dem microsoft-ds Dienst können seit Einführung
von Windows2000, ebenso wie über Port 139, die SMB Anfragen
(Filesharing) geleitet werden. Es findet auch über diesen Port eine
Namensauflösung, login und browsing wie beim 'normalen' NetBios
statt.
netbios-ns (Port UDP 137)
Der Dienst "netbios name service", der für die NetBios
Namensauflösung
(der eingetragene WINS Name wird der IP zugeordnet) genutzt
wird.
netbios-dgm (Port UDP 138)
Der Dienst "netbios datagram services", der u.a. für's login und
browsing über das NetBios zuständig ist
netbios-ssn (Port TCP 139)
Der Dienst "netbios session service", über dem beim Zugriff auf
Drucker/Dateifreigaben der eigentliche Datenverkehr läuft
mstaskp (Port UDP 1026)
Der Dienst MS-Taskplaner, der automatisch bestimmte Aktionen
zeitgesteuert auf einem Windowssystem ausführen kann
ssdp (Port TCP 5000)
ssdp (Port UDP 1900)
Der Dienst "simple service discovery protocoll" ist Bestandteil des
mit Windows ME eingeführten Universal Plug-n-Play (UPnP). SSDP ist
ein auf Grundfunktionen eingeschränkter XML Parser, der es UPnP
Geräten ermöglicht Informationen über das Netzwerk auszutauschen
Der Dienst wird auch benötigt, wenn das Internet Connection Sharing
(ICS) genutzt werden soll.
alg (Port TCP >3000)
Der Dienst alg (application layer gateway), wird nur installiert
und gebraucht, wenn man das Internet Connection Sharing (ICS)
und/oder die Internetverbindungsfirewall (neu in XP) verwendet!
Hilfreich beim Herausfinden, welche Dienste welche Ports aktuell
beanspruchen, ist diese Webseite [möglicherweise offline] sowie ebenfalls die Freeware
Active Ports.
1. Entbinden der
Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm, Port
135,137,139) von der DFÜ
Bei der Standardinstallation von Windows XP Prof. sind nicht wie
bei den Vorgängern dieses Betriebssystems, die Netbios-Dienste per
default an das DFÜ-Netzwerk gebunden! Sollten diese Dienste aber
durch eine vorherige Konfiguration so eingerichtet worden sein,
lassen sie sich wie folgt entfernen:
Teil A: DFÜ
- Unter Systemsteuerung / Netzwerkverbindungen
- Den Eintrag unter DFÜ auswählen und unter Netzwerkaufgaben
"Einstellungen dieser Verbindung ändern" aufrufen
- Tab-Seite "Netzwerk" anzeigen
- Die Auswahl (Haken) von "Datei- und Druckerfreigabe für
Microsoft-Netzwerke und "Client für Microsoft-Netzwerke" entfernen
und/oder beide Elemente deinstallieren.
Achtung:
Werden die beiden Elemente deinstalliert so muß der folgende
Schritt nach dem Neustart nochmal (einmalig) durchgeführt werden,
weil das Betriebssystem die Option "NetBIOS über TCP/IP aktivieren"
selbständig wieder setzt!
- Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften
aufrufen
- unter den erweiterten Eigenschaften die Tab-Seite "WINS"
anzeigen
- "NetBIOS über TCP/IP deaktivieren" auswählen
- Dialoge mit 'OK' bestätigen, anschließend Neustart des PC's
(siehe auch Hinweis oben)
Teil B: (wenn LAN bzw.
Netzwerkkarte installiert ist)
- Unter Systemsteuerung / Netzwerkverbindungen
- Den Eintrag unter LAN oder Hochgeschwindigkeitsinternet auswählen
und unter Netzwerkaufgaben "Einstellungen dieser Verbindung ändern"
aufrufen
- Tab-Seite "Allgemein" anzeigen
- Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften
aufrufen
- unter den erweiterten Eigenschaften die Tab-Seite "WINS"
anzeigen
- "NetBIOS über TCP/IP deaktivieren" auswählen
- Dialoge mit 'OK' bestätigen und Neustart des PC's
Teil C: Erweiterte
Einstellungen
- unter Systemsteuerung / Netzwerkverbindungen
- die "Erweiterten Einstellungen" auswählen
- alle Vorhandenen Bindungen zu "LAN-Verbindung" und
"RAS-Verbindungen" entfernen
Die Ports 137, 138, 139 sind damit geschlossen und die Dienste
netbios-ssn, netbios-ns und netbios-dgm deaktiviert! Port 445 ist
nach diesen Schritten auch für einen Portscan und dem o.g. Angriff
nicht mehr zu erreichen, ein komplettes
deaktivieren des microsoft-ds Dienst, wird in Schritt 6.
beschrieben!
2. Beenden von epmap (Port
135)
Teil A: Konfiguration von
DCOM
- Ausführen von DCOMCNFG.EXE
Anmerkung: Falls nicht alle Tabs sichtbar sind,
liegt die Ursache meist darin, das der Dienst Distributed Transaction Coordinator deaktiviert wurde.
Damit alle Tabs sichtbar sind, den genannten Dienst zwischenzeitlich auf manuell setzen,
unter den nun sichtbaren Tabs alle notwendigen Einstellungen vornehmen und
anschließend den Dienst wieder deaktivieren.
- Auswahl von Konsolenstamm / Komponentendienste / Computer /
Arbeitsplatz
- Die Eigenschaften vom Arbeitsplatz über den Menüpunkt "Aktion"
aufrufen, bzw.das Computersymbol in der Symbolleiste anklicken
- Tab-Seite "Standardeigenschaften" anzeigen
- Den Haken bei 'DCOM (Distributed COM) auf diesem Computer
aktivieren' entfernen
- Tab-Seite "Standardprotokolle" anzeigen
- alle Protokollbindungen entfernen
- Neustart des PC's
Teil B: Konfiguration der
Systemdienste
- Einstellungen der Startart der Dienste unter Systemsteuerung /
Verwaltung /
Dienste, nach folgender Auflistung durchführen.Diese Einstellungen
und ein anschließender Reboot sind nötig, da sonst ein deaktivieren
des Treibers für microsoft-ds zu Schwierigkeiten und Instabilität
des Betriebsystems führen kann.
Auf manuell setzen
- Ablagemappe
- Anwendungsverwaltung
- COM+-Ereignissystem
- COM+-Systemanwendung
- Computerbrowser
- Designs
- DHCP-Client
- Distributed Transaction Coordinator
- DNS-Client
- Gatewaydienst auf Anwendungsebene
- Hilfe und Support
- IMAPI-CD-Brenn Com Dienste
- Intelligenter Hintergrundübertragungsdienst
- Internetverbindungsfirewall/Gemeinsame Nutzung der
Internetverbindung
- IPSEC-Dienste
- Leistungsdatenprotokolle und Warnungen
- Kompatibilität für schnelle Benutzerumschaltung
- Konfigurationsfreie drahtlose Verbindung
- MS Software Shadow Copy Provider
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NLA (Network Location Awareness)
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remote-Registrierung
- Sekundäre Anmeldung
- Seriennummer der tragbaren Medien (SP1) / Dienst für Seriennummern der tragbaren Medien (SP2)
- Sicherheitskontenverwaltung
- Sitzungs-Manager für Remotedesktophilfe
- Smartcard
- Smartcard-Hilfsprogramm (nur SP1)
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Terminaldienste
- Treibererweiterungen für Windows-Verwaltungsinstrumentation
- Überwachung verteilter Verknüpfungen (Client)
- Universeller Plug & Play-Gerätehost (siehe auch 4. Beenden
von ssdp)
- Unterbrechungsfreie Stromversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Volumeschattenkopie
- Wechselmedien
- Windows Installer
- Windows-Bilderfassung (WIA)
- Windows-Verwaltungsinstrumentation
- Windows-Zeitgeber
- WMI-Leistungsadapter
Auf automatisch setzen
- Druckwarteschlange
- Ereignisprotokoll
- Geschützter Speicher
- Anmeldedienst
- Kryptografiedienste
- Plug & Play
- Remoteprozeduraufruf (RPC)
- Shellhardwareerkennung
- Systemereignisbenachrichtigung
- Systemwiederherstellungsdienst
- Upload-Manager (nur SP1)
- Verwaltung logischer Datenträger
- WebClient
- Windows Audio
Auf deaktiviert setzen
- Automatische Updates
- Eingabegerätezugang
- Fehlerberichterstattungsdienst
- Indexdienst
- Routing und RAS
- SSDP Suchdienst (siehe auch 4. Beenden von ssdp)
- Telnet
- Neustart des PC's
3. Beenden von mtaskp (Port
1026)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste"
beendet bzw. läßt sich gezielt auch einzeln beenden über die
Einstellungen des Dienstes "Taskplaner"
4. Beenden von ssdp (Port
1900, 5000)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste"
beendet bzw. läßt sich gezielt auch einzeln beenden über die
Einstellungen des Dienstes "SSDP-Suchdienst". Der SSDP-Suchdienst
und der "Universeller Plug & Play Gerätehost" müssen aber aktiv
bleiben, sobald die gemeinsame Nutzung der
Internetverbindung eingesetzt werden soll.
5. Beenden von alg (Port
>3000)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste"
beendet bzw. läßt sich gezielt auch einzeln beenden über die
Einstellungen der Dienste "Gatewaydienst auf Anwendungsebene" und
"Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung"
(SP1) bzw. "Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
(SP2)
Der Dienst wird aber benötigt, sobald die
XP-Internetverbindungsfirewall und/oder die gemeinsame Nutzung der
Internetverbindung eingesetzt werden soll.
6. microsoft-ds (Port 445)
6.1 Empfohlene Variante zum Deaktivieren von microsoft-ds (von Torsten Mann)
Da eine Deaktivierung von microsoft-ds tief in das System eingreift und
es wahrscheinlich ist, daß hierdurch Probleme entstehen
können, verfolgt das Script, im Vergleich zu Frank Kaune, einen anderen Weg. Es wird hierbei
Direct-SMB mittels dem Registry-Eintrag
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
deaktiviert. Dieser Schlüssel ist standardmäßig nicht vorhanden und muß neu angelegt
werden. Hierbei bleibt Netbios-Funktionalität erhalten, Port 445 wird dennoch geschlossen.
Diese Methode ist der aus 6.2 vorzuziehen und wird vom Skript "svc2kxp.cmd" verwendet.
6.2 Beenden von microsoft-ds (nach Frank Kaune)
Hinweis:
Das Beenden des Dienstes microsoft-ds setzt zwingend den Schritt 2.
(DCOM- und Dienste-Konfiguration) voraus!
- über Systemsteuerung / System, den Gerätemanager aufrufen
- "Augeblendete Geräte anzeigen" auswählen
- im Zweig "Nicht-PnP-Treiber"den Eintrag "NetBIOS über TCP/IP" mit
der rechten Maustaste auswählen
- Treiber über das Kontextmenü deaktivieren
- Neustart des PC's
- nach dem Neustarten, die Treiberseite nochmals aufrufen
- den "NetBIOS über TCP/IP" Treiber mit der rechten Maustaste
auswählen und die Eigenschaften anzeigen lassen
- bei den Treibereigenschaften den Starttyp auf "Bedarf" oder
"Deaktiviert" setzen
Copyright 2001 by Frank Kaune - Kaune Softwaresysteme
Hier sei auch nochmals darauf hingewiesen, das dieses
Webangebot keinerlei kommerzielle oder gewerbliche Interessen verfolgt,
sondern ausschließlich als privates, freiwilliges Angebot zur
privaten Nutzung, insbesondere für die Nutzer der NewsGroup
de.comp.security.misc, dient. Alle in diesem Webangebot genannten Bezeichnungen
von Produkten sind Marken und Produktnamen der jeweiligen Anbieter.
Kommerzielle Nutzung ist ohne vorherige Einverständniserklärung des
Autors dieser Seite nicht erlaubt. Alle Angaben nach bestem Wissen und Gewissen
aber unter Ausschluß jeglicher Gewähr.
|
 |
| www.ntsvcfg.de © 2003-05 Torsten
Mann, Albert-Schweitzer-Str. 6, 01187 Dresden. |
Letzte Aktualisierung: 30. Juni 2005 09:23 Uhr MEZ |
