Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

@ Teletom u.a.: Dienste sicher deaktivieren?

Olaf19 / 18 Antworten / Baumansicht Nickles

Hi Teletom und Hi an alle.

Im Zusammenhang mit IT-Sicherheit, aber auch mit Performance-Optimierung, wird des öfteren empfohlen, nicht benötigte Dienste zu deaktivieren. Haupteinwand dagegen: Viele Windows-Dienste bauen aufeinander auf. Wenn man einen vermeintlich nicht benötigten Dienst abschaltet, muss man damit rechnen, dass ein anderer Dienst, der darauf aufbaut und noch gebraucht wird, nicht mehr ordnungsgemäß funktioniert.

Jetzt habe ich einmal unter Systemsteuerung > Verwaltung > Dienste ein wenig herumgewühlt und mir am Beispiel des Nachrichtendienstes, nachdem hier im Forum öfter gefragt wird, den Eigenschaften-Dialog vorgenommen. Es gibt dort vier Karteikarten:



  • Allgemein: Neben Name und Beschreibung des Dienstes, Status, Starttyp und dem Pfad zur svchost.exe gibt es dort die vier Buttons: [Starten] [Beenden] [Anhalten] [Fortsetzen].

  • Anmelden: Per Radiobutton kann zwischen Lokales Systemkonto und Dieses Konto umgeschaltet werden; außerdem lässt dich der Dienst für einzelne Hardwareprofile separat aktivieren oder deaktivieren.

  • Wiederherstellen: Legt fest, wie bei einem Ausfall des Dienstes zu verfahren ist.

  • Abhängigkeiten: Hier gibt es zwei Fenster. Im oberen der beiden werden alle Systemkomponenten aufgeführt, von denen der Nachrichtendienst abhängig ist (Arbeitsstationdienst, NetBIOS-Schnittstelle, Plug & Play, Remote-Prozeduraufruf [RPC]), im unteren dagegen die, die ihrerseits von der Funktion des Nachrichtendienstes abhängen.

Das untere Fenster ist natürlich das interessantere von beiden - hier steht der lapidare Satz: "[i] keine Abhängigkeiten". Wenn ich das richtig deute, heißt das im Klartext: Wer diesen Dienst nicht aktiv benutzt, kann ihn ohne Folgen für die Systemstabilität einfach abschalten. Es gibt viele Dienste, die zwar ihrerseits von der Funktion anderer Dienste abhängig sind, selbst aber keine entscheidende Bedeutung für die Lauffähigkeit des Systems zu haben scheinen, wenn man die Angabe keine Abhängigkeiten im unteren Fenster innerhalb der Karteikarte [Abhängigkeiten] zu Rate zieht. Dazu gehören unter anderem.



  • Ablagemappe

  • automatische Updates

  • Designs

  • Druckwarteschlange

  • Fehlerberichterstattung

  • Hilfe und Support

  • Indexdienst

  • Systemwiederherstellungsdienst

  • Taskplaner

  • Upload-Manager

  • Windows-Audio

Alle diese Dienste scheinen von Fall zu Fall entbehrlich zu sein. Geradezu lebenswichtig für die Systemstabilität (weil im oberen Abhängigkeitsfenster besonders häufig erwähnt) sind Dienste wie Plug & Play oder Remote-Prozeduraufruf (RPC). Von diesen beiden sind sehr viele andere Dienste abhängig, die z.T. ihrerseits für das System unentbehrlich sind.

Soweit mein Kurzbericht von der Expedition in die Welt der Dienste. Falls es etwas zu ergänzen gibt oder meine Schlussfolgerungen fehlerhaft sind, sagt mir das gerne; u.a. dafür habe ich diesen Thread gestartet.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
GarfTermy Olaf19 „@ Teletom u.a.: Dienste sicher deaktivieren?“
Optionen

...dazu gibt es ausführliche texte:

workstation
http://www.winhelpline.info/daten/index.php?shownews=84

server
http://www.winhelpline.info/daten/index.php?shownews=85

die meisten aufgeführten tips funzen - aber nicht alle muß man tatsächlich "über bord" werfen. heutige rechner haben in aller regel keine probleme mit performance und ressourcen. ...seit ende ´99 hat sich im bereich hardware einiges getan - und w2k ist auf "schwächeren" kisten entwickelt worden.

sicherheit in einer w2k umgebung kann nicht allein aus deaktivierten diensten bestehen, sondern ist eine zusammenfassung verschiedenster maßnahmen - zb

* ntfs/efs
* kerberos
* ipsec/vpn
* (gruppen)richtlinien
* (ja auch...) firewalls
* usw usf - das würde den rahmen hier mehr als sprengen.

richtig ist allerdings auch, das w2k von hause aus viele dinge erlaubt oder zur verfügung stellt, was dann zu einem sicherheitsrisiko werden kann - diese designschwäche zu beseitigen und das system entsprechend einzurichten und zu verwalten ist die aufgabe von geschultem personal - (jajaja...) der admin.

besser, wenn er sogar mcp, mcsa, mcse ist.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Olaf19 GarfTermy „...dazu gibt es ausführliche texte: workstation...“
Optionen

Hmmm... Das is'n Ding - bei den lebenswichtigen Diensten, die niemals deaktiviert werden dürfen, wird unter den beiden von Dir angegebenen URLs die Druckwarteschlange genannt - die in meinem Posting in der Beispielliste der "entbehrlichen" Dienste steht...

Nun, ich hatte mich auf die Infos aus den Eigenschaften-Fenstern gestützt, woraus hervorgeht, dass es keine andere Systemkomponente gibt, die zwingend auf die Druckwarteschlange angewiesen ist. Wobei: Sofern man einen Drucker sein eigen nennt und diesen auch benutzt, sollte schon der gesunde Menschenverstand diesen Dienst wünschenswert erscheinen lassen...

Zu Deiner Anmerkung "das System entsprechend einzurichten sei die Aufgabe von geschultem Personal": Das mag in Firmennetzwerken - wo übrigens auch eine professionelle Hardware-Firewall zur Verfügung stehen sollte! - so sein, mir ging es mehr um praktikable Lösungen für den Hausgebrauch.

Zum Ressourcenverbrauch: Klar leistet ein aktueller Rechner mehr als ein PC von 1999 - ob man diese zusätzlichen Ressourcen braucht oder nicht, wird von Fall zu Fall verschieden sein. Im alltäglichen Office- und Internet-Trott wird man keine soo großen Unterschiede bemerken, im Audio-/Videobereich schon.

Danke für Deine ausführlichen Infos!

CU
Olaf

P.S. An alle die es interessiert:
Weiterführende Infos zu Kerberos hier und zu IPSec/VPN hier.
Zum Thema Gruppen-Richtlinien gibt es sogar eine komplette Website.

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
GarfTermy Olaf19 „Hmmm... Das is n Ding - bei den lebenswichtigen Diensten, die niemals...“
Optionen

...ohne druckerwarteschlange kein drucken - also muß man sich entscheiden, ob man drucken muß, oder den dienst deaktiviert.

für zu hause ist sicher alles nur eine anleitung, oder ein vorschlag - ob es bei dir praktikabel ist muß dann die praxis zeigen.

ansonsten - gern geschehen.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Teletom Olaf19 „@ Teletom u.a.: Dienste sicher deaktivieren?“
Optionen

Sorry, hab etwas wenig Zeit, muss nach Kassel (Dienstreise).

Natürlich kann man nichtbenötigte Dienste deaktivieren.

1. Frage: Erhöht sich durch das Deaktivieren die Systemsicherheit?
Beim Nachrichtendienst muss man diese Frage mit nein beantworten.
Der ND verwendet sehr wenig Systemressourcen, dadurch wird die Systemausfallsicherheit kaum geschwächt. Systemnachrichten-Fenster können beim Öffnen andere Programme behindern, das tun aber auch andere Systemwarnungen.

2. Frage: Lohnt sich das, einen Dienst zu deaktivieren?
Weil der ND wenig Systemressourcen verbraucht, werden nach dem Deaktivieren eben auch nur wenig Systemressourcen frei. Und deshalb lohnt es sich beim ND in den meisten Fällen nicht, den ND zu deaktivieren.

Große Möglichkeiten sehe ich beim Systemwiederherstellungsdienst, diesen Dienst sollte man aber nur dann deaktivieren, wenn er nicht benötigt wird, wenn man beispielsweise eine Backupstrategie eingerichtet hat.

Gruß
Teletom

bei Antwort benachrichtigen
Plazebo Teletom „Sorry, hab etwas wenig Zeit, muss nach Kassel Dienstreise . Natürlich kann man...“
Optionen

1. Du hast unten den Nachrichtendienst als sicherheitsrelevant deklariert, da er ja z.B. während der Officearbeit störend sein könnte. Wenn ich ihn abschalte, habe ich mehr Sicherheit geschaffen. Und nun behauptest du wieder das Gegenteil. Irgendwie widersprichst du dir.

2. Natürlich sind das Peantus. Aber wenn ich an jeder Stelle so argumentiere (ach, lassen wir das an und dies auch, und dort noch den Schalter, verbraucht ja eh kaum was), dann läppert sich das am Ende. Und da hier nicht jeder ein PC ab 1 Ghz hat (wie hier anscheinend von ausgegangen wird), macht sich das auch bemerkbar. Da erübrigt sich bei mir auch die Frage, warum manche mit einem 400 Mhz Rechner super klar kommen, während andere selbst mit 2 Ghz noch wegen der Geschwindigkeit am jammern sind.

bei Antwort benachrichtigen
Olaf19 Teletom „Sorry, hab etwas wenig Zeit, muss nach Kassel Dienstreise . Natürlich kann man...“
Optionen

Hi Teletom!

Die Systemwiederherstellung habe ich gleich als erstes nach der letzten Neu-Installation abgeschaltet, was sich sofort dadurch bemerkbar macht, dass auf der Festplatte -zig MB frei werden. Im Falle eines Systemcrashes würde ich mit Acronis True Image SE einen Clone der Systempartition zurückspielen. Persönliche Daten brenne ich regelmäßig auf CD.

Ist sicherlich Geschmackssache, aber die von Dir angesprochene Backup-Strategie ist mir sympathischer als ein im Hintergrund werkelnder Dienst oder sonstiges Hilfsprogramm, das alles automatisch übernimmt. Mir ist es lieber, selbst aktiv zu werden, als "mein Schicksal" in die Hand einer wie auch immer gearteten Software-Lösung zu legen.

Danke für Deinen Beitrag und viel Spass in Kassel.

CU
Olaf

P.S. Schau Dir mal den Bahnhof Wilhelmshöhe an, ist architektonisch recht sehenswert, finde ich.

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom Olaf19 „Hi Teletom! Die Systemwiederherstellung habe ich gleich als erstes nach der...“
Optionen

Hi,

den Nachrichtendienst und andere minimal systembelastende Dienste zu deaktivieren ist Peanuts. Vergleichbar ist das, wenn Du alle windows-eigenen BMP-Dateien im Windows-Ordner löschst, um Festplattenplatz zu sparen.

Du hast also mehr Arbeit als mehr Nutzen.

Gruß
Teletom
PS: Bahnhof Wilhelmshöhe ist architektonisch interessant und sicherlich international gesehen einmalig. Hatte sogar Gelegenheit mit der privaten Bahngesellschaft "Connex" von Wilhelmshöhe nach Kassel Hbf zu fahren. Naja, Konkurrenz kann nie schaden.

bei Antwort benachrichtigen
Olaf19 Teletom „Hi, den Nachrichtendienst und andere minimal systembelastende Dienste zu...“
Optionen

> Peanuts... [wie] wenn Du alle windows-eigenen BMP-Dateien im Windows-Ordner löschst, um Festplattenplatz zu sparen

Öhm... ehrlich gesagt: Auch sowas habe ich schon gebracht. Habe ich mir aber wieder abgewöhnt, wegen erwiesener Ineffektivität :-)

CU
Olaf

P.S. Es gibt bereits private Bahngesellschaften...? Na denn!

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Tyrfing Teletom „Hi, den Nachrichtendienst und andere minimal systembelastende Dienste zu...“
Optionen

>>den Nachrichtendienst und andere minimal systembelastende Dienste zu deaktivieren ist Peanuts. Nur braucht man dann dummerweise etwas, um den Zugriff auf Dienste wie z.B. den Nachrichtendienst zu verhindern, und dieses Etwas braucht definitiv Resourcen, und zwar ziemlich viel...

bei Antwort benachrichtigen
Teletom Tyrfing „ den Nachrichtendienst und andere minimal systembelastende Dienste zu...“
Optionen

Der Firewalldienst, den Du mit Sicherheit meinst, schützt nicht nur den Nachrichtendienst. Bei Xp mit wenigen Mausklicks aktiviert und sehr wenig systemressourcenverwendend. Bei anderen Windows-Systemen empfehle ich Look 'n' Stop Lite u. a. aus dem Grunde, weil Look 'n' Stop Lite die Ressourcenlast nur wenig erhöht.

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „Der Firewalldienst, den Du mit Sicherheit meinst, schützt nicht nur den...“
Optionen

Ist Look'n'Stop noch besser als Outpost, Teletom?

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Olaf19 Tyrfing „ den Nachrichtendienst und andere minimal systembelastende Dienste zu...“
Optionen

Hi Tyrfing!

Dieses gewisse Etwas braucht in der Tat wesentlich mehr Ressourcen als der Nachrichtendienst. Aber dafür leistet es auch wesentlich mehr als nur den ND zu zügeln - insofern kann man das schwer vergleichen. Übrigens: Bei mir ist weder der ND noch ein anderer per Default von Windows XP aktivierter Dienst manuell deaktiviert worden. Mir tut der ND nicht weh, ich habe noch nie eine Nonsense-Nachricht bekommen.

Wenn ich eines schönen Tages plötzlich solche Nachrichten bekäme, würde mich das ehrlich gesagt beunruhigen. Es würfe bei mir die Frage auf: Was genau ist an meinem System beschädigt, was hat sich zum Nachteil verändert? Anstatt nach einer Antwort zu suchen, würde ich lieber ins Regal greifen und ein Image meines Systems zurück spielen.

Ich habe mir mal testweise Agnitum Outpost installiert - einfach nur, um mir einmal einen eigenen Eindruck von solchem Programm verschaffen zu können. Vieles, was man individuell einstellen und konfigurieren kann, sagt mir gar nichts; bin eben kein Netzwerk-Spezialist.

Den Parameter "Warnung bei Angriffsversuchen" habe ich allerdings bis zum Anschlag auf hoch gestellt; wollte mich mal in den Surfalltag eines ZoneAlarm-Besitzers hineinversetzen. Bis jetzt ist aber noch nichts Nennenswertes vermeldet worden.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Tyrfing Olaf19 „Hi Tyrfing! Dieses gewisse Etwas braucht in der Tat wesentlich mehr Ressourcen...“
Optionen

>>Dieses gewisse Etwas braucht in der Tat wesentlich mehr Ressourcen als der Nachrichtendienst. Aber dafür leistet es auch wesentlich mehr als nur den ND zu zügeln Stimmt, es kann auch den Zgriff auf die Datei- und Druckerfreigabe und ein paar andere, überflüssige Dienste verhindern, die man ohne Probleme deaktivieren könnte...

bei Antwort benachrichtigen
Herman Munster Olaf19 „Hi Tyrfing! Dieses gewisse Etwas braucht in der Tat wesentlich mehr Ressourcen...“
Optionen

Vielleicht darf ich Dir als jemand, der das schon hinter sich hat, eine paar Tips aufdrängen?

Zunächst mußt Du Dir erstmal klar darüber werden, welches Programm AUF KEINEN FALL Verbindung haben darf ins Internet. Rechtsklicke auf das Outpost-Symbol, wähle Optionen [glaube ich, bin mittlerweile bei einer anderen gelandet, zitiere aus dem Gedächtnis], dann Programme. Es taucht eine Liste auf mit drei Überschriften. Rot = diese Progs dürfen nicht rein, grün = diese Progs dürfen ALLES, gelb = diese dürfen nicht alles, manches ja, manches nein. Die oberste und die unterste Kategorie legst Du am besten von Hand fest. Klicke z.B. auf die rote Verbotsliste, dann auf "Add" und wähle die EXE oder DLL aus, die auf keinen Fall darf, OK klicken, erledigt. Analog die Guten, grüne Liste. Die "dazwschen" solltest Du Dir im Falle des Falles von Outpost vorsetzen lassen und dann entscheiden, was die dürfen oder nicht. Outpost unterbricht dieses Programm, solange man die Regel noch nicht definiert hat. Diese wird in etwas holprigem deutsch im Klartext zusammengestellt. Da geht es im IPs, Ports und Adressen. Man kann sie später wieder modizieren. Eine Genehmigung wird nur ausgesprochen für genau DIE Daten, mit denen das Programm zum ersten Male auffällt. Alle anderen Arten, die das Programm sonst noch könnte oder möchte (z.B. Virensignaturaudates via http und via ftp), bleiben zunächst unberührt, bis das Progs es darüber versucht.

Da zu Anfang naturgemäß Outpost Deinen Programmpark noch nicht kennt, wird es erst mal von Anfragen wimmeln. Du solltest Deine Internet-Progs, Virenscanner etc der Reihe nach von Hand starten, damit sie Outpost einzeln vor die Flinte bekommt. Nicht irritieren lassen, wenn die aufgerufenen Progs mit TimeOut-Fehlermeldungen kommen, die warten natürlich auf ihren Kontakt, der aber nicht kommt, solange die Regel noch nicht definiert ist. Dann eben nochmal aufrufen.

Verwende nach Möglichkeit keine der vorgefertigten Profile ("Browser"), da die bisweilen mehr zulassen, als man selber möchte, also immer über "Andere..." gehen.

Putzig, aber vertrauenschaffend konsequent ist auch, daß Outpost sich selber abfragt beim ersten Versuch, nach Programmupdates zu suchen.

Outpost gehört eher zu den "stillen" Regelbasierten, mal im Vergleich zu Kerio und Tiny, diese kommen sehr viel häufiger mit Meldungen hoch, mit denen einem Outpost nicht kommt. Was aber NICHT heißt, daß Outpost sie durchläßt! Outpost macht es einfach, es quatscht halt nicht groß drüber.

bei Antwort benachrichtigen
Olaf19 Herman Munster „Vielleicht darf ich Dir als jemand, der das schon hinter sich hat, eine paar...“
Optionen

Hi Herman!

Vielen Dank für Deine ausführliche Antwort und die detaillieren Tips.

Das ist auch mein Eindruck: Das Programm arbeitet sehr dezent und gefällt mir deswegen ganz gut. Da ich zukünftig vorhabe, nur noch mit Linux ins Netz zugehen - Red Hat 8.0 hat eine "eingebaute" Firewall - und mit Windows nur noch in Ausnahmefällen, und wenn, dann mit dem Internet Explorer und ohne Mailclient, ist die Entscheidung im Grunde genommen einfach:

Alle Internet-Verbindungen verbieten - Ausnahme: Internet Explorer. Wenn ich Outpost darauf hin konfiguriere, hätte ich in jedem Fall einige potenzielle Fehlerquellen ausgeschaltet.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Herman Munster Olaf19 „@ Teletom u.a.: Dienste sicher deaktivieren?“
Optionen

Also, der Nachrichtendienst gehört in die Abteilung "nützlich, aber entbehrlich". Per Nachrichtendienst mal jemand anderem eine schnelle Nachricht zukommen lassen, ist wirklich ne feine Sache. Im internen Netz also ne feine Sache.

Nun, (dummerweise) kann dieser aber von außen benutzt werden, um einen mit hochdramatisch formulierten Meldungen vollzuhusten, die stören, ganz einfach, weil sie DA auftauchen. Ein Sicherheitsrisiko sind sie NUR DANN, wenn man den angegebenen Link aufruft. Klickt man den Dialog weg, passiert NICHTS, was für Schiß auch immer behauptet werden wird, wenn man es macht. Aber zum Abblocken von außen kann man eine Firewall vortrefflich einsetzen.

Leider ist es so, daß eine Deaktivierung auch die internen Kommunikation verhindert. Wer also intern nachrichten möchte, aber den Mist von außerhalb nicht haben will (und wer will das schon), ist auf eine Firewall angewiesen.

Nochmal: das Auftauchen dieser Meldungen ist völlig harmlos. Nur, wenn man einem ggf. angegebenen Link folgt, dann kann´s schiefgehen. Je nachdem, was dieser Link bewirkt.

bei Antwort benachrichtigen
Tyrfing Herman Munster „Also, der Nachrichtendienst gehört in die Abteilung nützlich, aber entbehrlich...“
Optionen

Das dumme ist nur, dass der Nachrichtendienst auch bei sinngemäßer Anwendung diverse Grafikprogramme, Spiele und bei einem Bekannten sogar schon einmal den Media Player zum Absturz bringt und wenn sich ein Programm oder gleich der komplette PC verabschiedet ist es mir eigentlich egal, ob die Meldung jetzt "Hi Süßer, komm doch in den Chat" oder "Hey, mach mal den Drucker an" hieß ;)

bei Antwort benachrichtigen