Windows-XP-Dienste aufräumen - Teil 1

11.11.2004
Windows XP beansprucht Ressourcen für Gimmicks und Dienste, die nicht jeder braucht. Mit einer optimierten Konfiguration läuft XP auch auf älteren PCs rund. Professionelle Anwender profitieren von mehr Sicherheit. Von Mike Hartmann

Um es auch dem unbedarftesten Benutzer leicht zu machen, installiert und startet Windows XP eine Unzahl von Diensten, selbst wenn sie gar nicht benötigt werden. Zwar zeigt das System dabei eine gewisse "Grundintelligenz", indem es beispielsweise die Infrarot-Überwachung nur auf Geräten mit Infrarot-Adapter einrichtet, diese ist jedoch bei weitem nicht so ausgefeilt, wie man es sich wünschen würde.

Fraglich ist zum Beispiel, warum die "Konfigurationsfreie drahtlose Verbindung" auf jedem Rechner installiert und gestartet wird, auch wenn dieser keinen 802.11b-Adapter hat. Ebenso interessant ist, warum der Dienst "Designs" nicht automatisch gestoppt wird, wenn der Benutzer auf die klassische Windows-Oberfläche umschaltet.

Mit einer geschickten Auswahl der Dienste lassen sich zum einen Speicher- und Prozessor-Ressourcen sparen, so dass XP auch auf älteren Systemen einsetzbar ist. Bei einem Upgrade im Firmennetz macht sich das schnell bemerkbar, wenn man nicht gezwungen ist, Hunderte von Rechnern mit neuer Hardware auszurüsten. Besonders wichtig ist gerade für den Firmeneinsatz allerdings eine Verbesserung der Sicherheit, indem unbenötigte Dienste wegfallen und somit selbst bei Vorhandensein von Sicherheitslücken eine Ausnutzung derselben nicht möglich ist.

Zahlreiche der automatisch gestarteten Dienste können ohne großes Risiko abgeschaltet werden. Um welche Dienste es sich dabei handelt und unter welchen Bedingungen man auf sie verzichten kann, lesen Sie auf den nächsten Seiten.

Unverzichtbare Dienste

Der Dienste-Manager von XP gibt zwar grundlegend Auskunft über den Dienst und darüber, was er tut. Er bietet jedoch kaum Hilfestellung bei der Frage, ob dieser Dienst notwendig ist oder nicht. Oft verwirrt er sogar durch den lapidaren nichts sagenden Hinweis: "Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

So sehr man das Angebot auch zusammenstreichen kann: eine Hand voll der Windows-Dienste ist tatsächlich unverzichtbar für einen reibungslosen Betrieb. Dazu gehört beispielsweise der RPC-Dienst, von dem so ziemlich alle weiteren Systemkomponenten abhängen, wie etwa auch COM. Wer auf Sound nicht verzichten kann, sollte "Windows Audio" nicht abschalten und darf infolgedessen auch Plug & Play nicht deaktivieren.

Um zu drucken, ist die Druckerwarteschlange unabdingbar, und in Windows-Netzwerken kommt man nicht ohne den Arbeitsstationsdienst aus. Dieser sorgt unter anderem dafür, dass die Verbindungen zu den anderen Rechnern hergestellt werden.

Das Ereignisprotokoll und die "Windows Verwaltungsinstrumentation" sollten Sie ebenfalls unangetastet lassen. Letztere ist unter anderem dafür zuständig, dass der Dienstemanager einwandfrei funktioniert.

Auch bei der Sicherheitskontenverwaltung haben Sie keine Chance, Ressourcen zu sparen. Sie ist integraler Bestandteil des Sicherheitsmodells von Windows XP, inklusive der Rechteverwaltung. Die Kryptografiedienste verwalten Zertifikate und Stammstellen und sorgen dafür, dass Signaturen von Windows-Dateien bestätigt werden können. Ohne diesen Dienst funktioniert unter anderem auch Windowsupdate nicht mehr.

Ablagemappe

Dieser Dienst ermöglicht es der Ablagemappe, Informationen zu speichern und mit anderen Computern im Netzwerk auszutauschen. Da der Starttyp dieses Services Default-mäßig auf "Manuell" steht, gibt es hier keinen Handlungsbedarf.

Wenn Sie verhindern wollen, dass durch Bugs oder Viren möglicherweise ein Sicherheitsloch geöffnet wird, deaktivieren Sie diesen Dienst.

Anmeldedienst

Der Anmeldedienst unterstützt die Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. Dieser Dienst wird nur in einer Windows-Domäne für die eigentliche Anmeldung benötigt. Ohne ihn ist die Anmeldung an eine WindowsDomäne nicht möglich.

Anwendungsverwaltung

Die Anwendungsverwaltung bietet Software-Installationsdienste wie Zuweisung, Veröffentlichung und Deinstallation. Dieser Dienst wird nur gestartet, wenn eine Systemkomponente Zugriff auf die in Windows eingebauten Installationsfunktionen benötigt, etwa um eine Software einzurichten.

Arbeitsstationsdienst

Der Arbeitsstationsdienst erstellt und wartet Client-Netzwerkverbindungen mit entfernten Servern. Diese Verbindungen sind nicht mehr verfügbar, falls der Dienst beendet wird.

In einer Netzwerkumgebung sollte man ihn nicht beenden, da ansonsten keine Verbindungen mehr zu Rechnern oder Shares aufgebaut werden können.

Automatische Updates

Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Wer Angst hat, dass Microsoft dabei Daten ausspionieren könnte, sollte diesen Dienst deaktivieren.

Aktuelle Patches und Bugfixes finden sich auch auf http://windowsupdate.microsoft.com. Dort wird allerdings ein ActiveX-Control installiert, das den Rechner inspiziert und entsprechende Patches zum Download anbietet. Wer ganz sicher gehen will, sollte sich Updates nur von der Update-Seite http://v4.windowsupdate.microsoft.com/catalog/de/ für Firmenkunden holen, denn hier wird die lokale Software nicht untersucht. Bei beiden Update-Seiten gilt: Sie müssen sie mit dem richtigen Betriebssystem besuchen. Gehen Sie mit einem Windows 2000 auf die Seite, erhalten Sie auch nur Patches für dieses Betriebssystem.

COM+-Ereignissystem

Unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage, Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Hierbei können Systemkomponenten sich automatisch benachrichtigen lassen, wenn ein bestimmtes Systemereignis auftritt. Derzeit wird es primär von SENS genutzt. Wenn Sie also SENS nutzen wollen, deaktivieren Sie diesen Dienst nicht.

Computerbrowser

Der Dienst "Computerbrowser" führt eine aktuelle Liste sämtlicher Computer im Windows-Netzwerk und gibt sie an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls Sie den Dienst beenden.

Er ist nur in einem Netzwerk sinnvoll, lässt sich aber auch da auf Arbeitsrechnern deaktivieren, solange ein Server im Netz diesen Dienst anbietet. Um den Serverdienst abzuschalten, müssen Sie auch diesen Dienst deaktivieren.

Designs

Der Dienst ist für die Luna-Oberfläche zuständig. Er wird aber nicht automatisch abgeschaltet, auch wenn Sie auf die klassische Windows-Oberfläche umschalten. Um Speicher und Ressourcen zu sparen, können Sie ihn deaktivieren.

DFÜ-Netzwerk und Konsorten

Eine Reihe von Diensten ist erforderlich, wenn per Wählverbindung eine Internet-Verbindung aufgebaut wird. Das ist nicht nur bei Modem oder ISDN der Fall, sondern auch bei direkter DSL-Anwahl per PPPoE. Hier werden dann die Dienste "RAS-Verbindungsverwaltung", "Telefonie", "Verwaltung für automatische RAS-Verbindung" sowie gegebenenfalls "Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" und "Gatewaydienst auf Anwendungsebene" benötigt.

Bauen Sie dagegen die Internet-Verbindung über ein LAN und einen Router auf, können Sie getrost auf diese Dienste verzichten und sie komplett abschalten.

DHCP-Client

Der DHCP-Client ist nur notwendig, wenn Sie einen DHCP-Server in Ihrem Netzwerk einsetzen. Ansonsten müssen Sie die TCP/IP-Einstellungen für die Netzwerkkarte ohnehin fest einstellen. Dennoch installiert und aktiviert Windows XP diesen Dienst. Auch hier können Sie den Dienst gefahrlos und ohne Nachteile abschalten.

DNS-Client

Der DNS-Client speichert Anfragen an einen DNS-Server zwischen, sodass die IP-Adresse bei späteren Anfragen schneller gefunden wird. In schnellen Netzwerken oder bei DSL-Verbindungen ist das nicht unbedingt erforderlich, sondern im gegenteil mitunter sogar nachteilig: Da nicht einstellbar ist, wie lange ein Domain-Name im Cache verbleibt, gibt der DNS-Client eventuell eine falsche IP-Adresse zurück, wenn ein Server plötzlich eine andere Adresse hat.

Für langsame Internet-Anbindungen, wie etwa per Modem, kann dieser Dienst sich jedoch als hilfreich erweisen.

Fehlerberichterstattung

Über diesen Dienst will sich Microsoft bei Programmabstürzen informieren lassen, um das Problem einzugrenzen. Stürzt ein Programm mit einer Fehlermeldung ab, bietet Windows dem Anwender gleich an, ein Fehlerprotokoll an Microsoft zu schicken. Dieses enthält unter anderem einen Abzug des Hauptspeichersegments, in dem der Fehler aufgetreten ist.

Für Microsoft und die Fehlerbehebung mag das hilfreich sein, aber der sicherheitsbewusste Anwender macht sich eventuell Sorgen um seine Privatsphäre. Deshalb sollten Sie diesen Dienst deaktivieren. Das erfolgt entweder über den Dienstemanager oder die Eigenschaften des Arbeitsplatzes im Reiter "Erweitert".

Geschützter Speicher

Dieser Dienst bietet geschützten Speicherplatz für private Daten, wie beispielsweise private Schlüssel, um den Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Wird dieser Dienst deaktiviert, kann beispielsweise Outlook keine Kennwörter mehr speichern. Sie müssten also für jeden Anmeldevorgang das E-Mail-Passwort neu eingeben. Außerdem kann der Internet Explorer dann keine Formularfelder oder Benutzernamen und Passwörter speichern.

Hilfe und Support

Aktiviert das Hilfe- und Supportcenter auf dem Computer. Laut Beschreibung im Dienstemanager ist das Hilfe- und Supportcenter nicht verfügbar, wenn dieser Dienst beendet wird. Das stimmt allerdings nicht ganz: Ruft man über das Startmenü "Hilfe und Support" auf, startet Windows XP den Dienst. Unabhängig davon, ob er deaktiviert ist oder nicht - eigentlich dürfte es nicht passieren, dass ein deaktivierter Dienst vom System gestartet wird. Zudem setzt Windows ihn ungefragt wieder auf den Starttyp "automatisch". Dementsprechend ist es kein Problem, diesen Dienst zu deaktivieren. Vergessen Sie nur nicht, ihn wieder abzuschalten, sobald Sie einmal die Hilfe aufgerufen haben.

Infrarot-Überwachung

Auf Rechnern mit einer Infrarot-Schnittstelle ist der Dienst per Default aktiv. Er stellt die Unterstützung für die installierten Infrarot-Geräte bereit und sucht nach anderen Geräten, um eine Verbindung aufzubauen. Da jedoch die IrDA-Schnittstelle selten tatsächlich benötigt wird, reicht es auch, den Dienst auf "manuell" zu stellen und bei Bedarf über den Dienstemanager zu starten.

Internet-Verbindungsfreigabe

Wer über einen Windows-Rechner die Internet-Verbindung auch für andere Windows-Rechner im LAN freigeben will (Internet Connection Sharing - ICS), benötigt gleich eine Reihe von Diensten, damit das auch funktioniert.

Der eigentlich Dienst Internetverbindungs-Firewall hängt unter anderem vom Gatewaydienst auf Anwendungsebene (Application Layer Gateway - ALG), den Netzwerkverbindungen (Netman), NLA (Network Location Awareness) und der RAS-Verbindungsverwaltung (siehe DFÜ-Netzwerk und Konsorten) ab.

IPSEC-Dienste

Über die Internet Protocol Security Suite sichert und kontrolliert Windows XP die Übertragung von IP-Paketen. IPSEC ist zuständig für die Überprüfung, die Authentifizierung und gegebenenfalls die Verschlüsselung der Daten. Allerdings braucht nicht jeder die IPSEC-Dienste, dennoch werden sie automatisch von Windows gestartet. Dass sie auf Client-Rechnern nicht unbedingt von Microsoft vorgesehen sind, zeigt die Tatsache, dass die Konfiguration gut versteckt ist. Im normalen Verwaltungsmenü tauchen sie gar nicht erst auf. Sie müssen sie erst aufrufen, indem Sie die Managementkonsole (mmc.exe) starten und dann das IPSEC-Snapin manuell hinzufügen.

Kompatibilität für schnelle Benutzerumschaltung

Eine der Neuerungen von Windows XP ist die so genannte "schnelle Benutzerumschaltung". Dabei kann sich ein anderer Benutzer auf dem Rechner anmelden, ohne zunächst einen eventuell eingeloggten Benutzer abzumelden. Dessen Programme laufen also weiterhin im Hintergrund. Diese Lösung verbraucht aber eine ganze Menge Speicher und wird nur selten benötigt. Auf Rechnern mit weniger als 128 MByte Speicher ist sie gar nicht mehr eingeschaltet, auf Rechnern mit mehr Speicher ist sie Default-mäßig aktiviert.

Sie können die "schnelle Benutzerumschaltung" in dem Applet Benutzerkonten der Systemsteuerung oder über den Dienstemanager deaktivieren.

Konfigurationsfreie drahtlose Verbindung

Bei drahtlosen Netzwerken nach 802.11b müssen Sie die SSID des Access Point konfigurieren, über den Sie ins Netzwerk möchten. Windows XP will es dem Anwender leichter machen und startet deswegen den Dienst für eine "Konfigurationsfreie drahtlose Verbindung".

Er konfiguriert die WLAN-Karte auf die SSID "any" und listet dann alle verfügbaren Netzwerke auf. Aus der Liste kann der Anwender dann auswählen, in welches Netz er sich einbuchen will. Dieser Dienst ist zwar ganz nützlich, aber wenn man nicht in wechselnden WLANs unterwegs ist, benötigt man ihn nicht unbedingt.

Beim Deaktivieren ist allerdings zu beachten, dass die XP-Treiber für WLAN-Karten häufig nicht mehr die Option bieten, eine SSID zu konfigurieren. Mitunter hilft es, die Windows-2000-Treiber oder zumindest ein entsprechendes Control-Applet für die WLAN-Karte zu verwenden. Funktioniert beides nicht, können Sie den Dienst nicht abschalten. Für den Fall, dass Sie ohnehin keine WLAN-Karte im Rechner haben, lässt sich der Dienst ohne Nachteile deaktivieren.

Die Fortsetzung dieses Artikels lesen Sie nächste Woche in der ComputerPartner-Ausgabe 47/04.

GLOSSAR

ActiveX: Software-Modul, das auf der Microsoft Component Objekt Model - Architektur basiert. Über ActiveX-Controls lassen sich bestehende Software-Komponenten von einem Server abrufen und im Webbrowser wie ein normales Programm anwenden.

COM: Component Object Model: Erlaubt es Programmierern, Objekte zu entwickeln, die von jeder COM-kompatiblen Anwendung genutzt werden können. ActiveX-Controls basieren beispielsweise auf COM. Weitere Informationen: Microsofts COM-Seiten http://www.microsoft.com/com/default.asp

ISDN: Integrated Services Digital Network. Digitales Übermittlungsverfahren, das verschiedene Dienste wie Telefonie oder Datenaustausch im Verbund ermöglicht.

DSL: Digital Subscriber Line. Die Standleitung ins Internet für kleine Firmen und Privatpersonen. DSL arbeitet mit den selben Kupferkabeln wie analoge Telefone und ISDN-Anschlüsse. Die Übertragungsgeräte (Splitter und DSL-Modem) sind jedoch aufwändiger.

PPPoE: Point-to-Point-Protocol over Ethernet. Spezielles Protokoll, das Punkt-zu-Punkt-Verbindungen über das Ethernet ermöglicht.

LAN: Lokal Area Network. Netzwerk aus Computern und Geräten an einem Standort.

Router: Router vermitteln die Daten zwischen zwei oder mehreren Subnetzen, die beispielsweise durch Weitverkehrsleitungen wie ISDN verbunden sind. Auch ein Einsatz im LAN ist möglich, um die Datensicherheit zu erhöhen.

DHCP: Dynamic Host Configuration Protocol. Bei DHCP bezieht ein Arbeitsrechner seine Konfiguration des IP-Netzwerks von einem Server.

TCP/IP: Transport Control Protocol/Internet Protocol. Das meistverbreitete Netzwerk-Protokoll zur Übermittlung von Daten. IP dient zur reinen Datenübermittlung, TCP stellt sicher, dass die Daten auch fehlerfrei ankommen.

DNS: Domain Name System (oder Service). Ein Internet-Dienst, der Domain Namen wie www.tecchannel.de in die zugehörigen IP-Adressen umsetzt. Weiß ein DNS-Server die IP-Adresse eines Namens nicht, so fragt er bei einem anderen Server nach.

IrDA: The Infrared Data Association. Standard zur Datenübertragung per Infrarot. In der Version 1.0 mit Geschwindigkeiten bis zu 115 KBit/s, seit der Version 1.1 (Fast IrDA) mit bis zu 4 MBit/s.

SSID: Shared System ID. Manchmal auch als Shared Key bezeichnet. Gemeinsamer Schlüssel für den Zugriff auf ein Wireless LAN nach IEEE-802.11-Standard.

DDE: Dynamic Data Exchange. Ein System zum dynamischen Datenaustausch unter Windows und anderen Betriebssystemen. DDE ermöglicht es zwei aktiven Anwendungen auf gemeinsame Daten zuzugreifen. DDE wurde in vielen Bereichen von dem flexibleren OLE (Object Linking and Embedding) abgelöst.

NAT: Network Address Translation. NAT ist ein Verfahren zur Abschottung des LAN gegenüber dem Internet. Dabei wird zum Internet hin immer nur eine Adresse gemeldet, unabhängig von der tatsächlichen IP-Adresse im LAN. Der NAT-Router übernimmt dabei die Verteilung der IP-Pakete zu den richtigen Empfängern.

WebDAV: Web Distributing, Authoring and Versioning: Technik zur einfachen Veröffentlichung von Websites. WebDAV besteht aus HTTP-Erweiterungen, die einen standardisierten Datenaustausch zwischen WebAuthoring-Tools und Servern gestatten.

tecchannel-Praxis "Sicher ins Internet"

tecChannel.de ist die Nummer eins der Online-Fachmedien in Deutschland (IVW 1/04). Auf www.tecChannel.de finden Sie mehr als 1.700 Beiträge und über 14.000 News zu allen Themen der IT. Das kostenlose Online-Programm wird ergänzt durch das noch umfangreichere kostenpflichtige tecCHANNEL-Premium-Programm und die tecCHANNEL-Compact-Buchreihe.

Die neue Ausgabe von tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" beschreibt die Installation und Wartung eines kompletten Kommunikationsservers auf Linux-Basis, mit Sicherheits- und Internetfunktionen. Gerade kleinere Unternehmen behandeln die Inter- und Intranet-Kommunikation nach wie vor stiefmütterlich, wie eine aktuelle Studie des Statistischen Bundesamtes belegt.

tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" bietet bislang ungesicherten Firmen eine Komplettlösung zum Abschotten ihres Netzzugangs.

Die neue tecCHANNEL-Compact erhalten Sie für 12,95 Euro im Bahnhofshandel sowie im Flughafen-Buchhandel. Sie können tecCHANNEL-Compact auch jederzeit direkt im Online-Shop unterwww.tecChannel.de/shop bestellen. Sie erhalten das Buch dann versandkostenfrei zugeschickt.

Zur Startseite