Vista-Dienste aufräumen

27.10.2006
Von Mike Hartmann
Windows Vista beansprucht Ressourcen für Gimmicks und Dienste, die nicht jeder braucht. Mit einer optimierten Konfiguration läuft Vista auch auf älteren PCs rund. Professionelle Anwender profitieren von mehr Sicherheit - Teil 2.

Teil 1 dieses Beitrags finden Sie in der ChannelPartner-Ausgabe 44/06, Seite 36.

Von Mike Hartmann,

tecChannel.de

Über die Internet Protocol Security Suite sichert und kontrolliert Windows Vista die Übertragung von IP-Paketen. "IPSEC" (kurz: PolicyAgent) ist zuständig für die Überprüfung, die Authentifizierung und gegebenenfalls die Verschlüsselung der Daten. Allerdings braucht nicht jeder die IPSEC-Dienste, dennoch werden sie automatisch von Windows gestartet. Dass sie auf Client-Rechnern nicht unbedingt von Microsoft vorgesehen sind, zeigt die Tatsache, dass die Konfiguration gut versteckt ist. Im normalen Verwaltungsmenü tauchen sie gar nicht erst auf. Sie müssen sie erst aufrufen, indem Sie die Managementkonsole (mmc.exe) starten und dann das IPSEC-Snapin manuell hinzufügen.

Dazu gehören auch die "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" (kurz: IKEEXT). Diese Schlüsselerstellungsmodule werden zur Authentifizierung und zum Schlüsselaustausch in IP Security (IPsec) verwendet, also nur benötigt, wenn Sie auch auf IPSec zurückgreifen.

Microsoft hat die Media Center Edition als eigenständige Windows-Version abgelöst und die Funktionalität in bestimmte Vista-Versionen integriert. Mit Media Center kann der Vista-Rechner beispielsweise als Server für eine XBox 360 dienen oder als Client auf Media-Server zugreifen. Für die Funktionalität sind vier Dienste zuständig.

Der "Media Center Extender-Dienst" (kurz: Mcx2Svc) ermöglicht es so genannten Media Center Extender-Geräten, den Computer zu finden und eine Verbindung herzustellen. Der "Media Center-Dienststart" (kurz: ehstart) startet den "Media Center-Planerdienst" (kurz: ehSched) und den "Media Center-Empfängerdienst" (kurz: ehRecvr) beim Rechnerstart, wenn TV-Funktionen im Media Center aktiviert sind. Wenn Sie nicht planen, das Media Center im Netzwerk freizugeben, sollten Sie die Dienste deaktivieren.

Netzwerkkonfiguration

Vista bietet zwei Dienste zur automatischen Konfiguration von Netzwerken. Einen für drahtgebundene (kurz: dot3svc) und einen für drahtlose (kurz: Wlansvc). Letzterer hieß unter XP noch "Konfigurationsfreie drahtlose Verbindung" und wurde automatisch gestartet, auch wenn keine WLAN-Karte im Rechner vorhanden war. Ersterer ist neu und dient der Authentifizierung nach IEEE 802.1x.

Beide Dienste sind in Vista mit dem Starttyp "manuell" versehen und können auch so belassen werden. Vista startet die Dienste bei Bedarf nach. Als Hilfsdienst dient der Host für das Extensible Authentication-Protokoll (EapHost). Der EapHost stellt eine austauschbare Infrastruktur für verschiedene Authentifizierungsmethoden bereit.

Eine Reihe von Diensten ist für den ordnungsgemäßen Ablauf der diversen Netzwerkfunktionen notwendig. Je nach Netzwerkumgebung kann man aber den einen oder anderen Dienst abschalten.

Der "DHCP-Client" (kurz: dhcp) ist beispielsweise nur notwendig, wenn Sie einen DHCP-Server in Ihrem Netzwerk einsetzen. Ansonsten müssen Sie die TCP/IP-Einstellungen für die Netzwerkkarte ohnehin fest einstellen. Dennoch installiert und aktiviert Windows Vista diesen Dienst. Auch hier können Sie den Dienst gefahrlos und ohne Nachteile abschalten. Der "DNS-Client" (kurz: Dnscache) speichert Anfragen an einen DNS-Server zwischen, sodass die IP-Adresse bei späteren Anfragen schneller gefunden wird. In schnellen Netzwerken oder bei DSL-Verbindungen ist das nicht unbedingt erforderlich, mitunter nachteilig: Da nicht einstellbar ist, wie lange ein Domain-Name im Cache verbleibt, gibt der DNS-Client eventuell eine falsche IP-Adresse zurück, wenn ein Server plötzlich eine andere Adresse hat. Für langsame Internetanbindungen, wie etwa per Modem, kann sich dieser Dienst jedoch als hilfreich erweisen.

Der "Netzwerklistendienst" (kurz: netprofm) identifiziert die Netzwerke, mit denen der Computer eine Verbindung hergestellt hatte, sammelt und speichert Eigenschaften für diese Netzwerke und benachrichtigt Anwendungen, wenn sich diese Eigenschaften ändern. Er wird automatisch gestartet, und wenn Sie ihn abschalten, funktionieren weder das Tray-Icon für Netzwerke noch das Netzwerkcenter. Eine Verbindung zum Netzwerk besteht allerdings weiterhin. Für diesen Dienst benötigen Sie auch den Network Store Interface Service (kurz: nsi) sowie "NLA" (Network Location Awareness; kurz: NlaSvc). Ersterer überwacht die vorhandenen Netzwerkschnittstellen und gibt Änderungen an bestimmte Programme weiter. Letzterer sammelt Informationen über die verbundenen Netzwerke und stellt sie anhängigen Diensten zur Verfügung. Der Dienst "Netzwerkverbindungen" (kurz: Netman) verwaltet das Netzwerkcenter, in dem alle LAN- und Remote-Verbindungen angezeigt werden.

Der "IP-Hilfsdienst" (kurz: iphlpsvc) bietet IPv6-Verbindungen über ein IPv4-Netzwerk. Wenn Sie derzeit kein IPv6 benötigen, können Sie den Dienst getrost abschalten.

Remote Desktop

Windows Vista bietet wie schon Windows XP den Fernzugriff auf Desktops an. Dabei greifen beide, die "Remoteunterstützung" und der "Remotedesktop" (kurz: TermService), auf die Terminaldienste zu. Unter XP gab es noch verschiedene Verfahren. Waren die Terminaldienste unter XP noch zwingende Voraussetzung für die schnelle Umschaltung zwischen Benutzerkonten, so ist das unter Vista nicht mehr der Fall. Sie können den Dienst gefahrlos abschalten. Soll der Rechner allerdings beispielsweise für eine Xbox 360 als Media-Host fungieren, muss der Media Center Extender-Dienst eingeschaltet werden, der die Terminaldienste zwingend voraussetzt.

Mit der "Remote Registrierung" (kurz: RemoteRegistry) ermöglichen Sie den Fernzugriff auf die in der Registry enthaltenen Einstellungen. Eine Änderung des Starttyps von "manuell" auf "deaktiviert" scheint daher nicht nur bei paranoiden Administratoren angeraten.

Der "Serverdienst" (kurz: LanmanServer) ist für Datei- und Druckerfreigaben zuständig. Auch wenn Sie auf Ihrem Rechner keine Freigaben eingerichtet haben, startet Windows Vista diesen Dienst. Um ihn abschalten zu können, müssen Sie zudem den Dienst Computerbrowser beenden und deaktivieren.

Sicherheit

Mit Vista führt Microsoft neben der aufgebohrten Firewall auch den "Windows Defender" (kurz: WinDefend) ein. Verwaltet wird das Ganze wie schon bei XP über das "Sicherheitscenter" (kurz: wscsv). Während man die Windows-Firewall und den Defender ohne Probleme deaktivieren kann, wenn man beispielsweise über eigene Schutzsoftware verfügt, zeigt Vista bei deaktiviertem Sicherheitscenter ständig ein störendes Icon im Tray.

Wenn Sie die Dienste "Windows-Firewall" (kurz: MpsSvc) und "Routing und RAS" sowie "IPsec" und "IKE- und AuthIP IPsec-Schlüsselerstellungsmodule" deaktiviert haben, können Sie auch das Basisfil-termodul abschalten.

Mit "Universal Plug and Play" (UPnP; kurz: upnphost) hat Microsoft eine Funktion eingeführt, die im Netz ungefähr das leisten soll, was PnP auf dem lokalen Rechner bietet: die automatische Erkennung neuer Dienste und Geräte (Drucker, Freigaben etc.). Zusätzlich kann Windows Vista diese Dienste ins Internet bereitstellen, auch wenn der anbietende Rechner durch NAT für das Internet unsichtbar ist.

Da UPnP bereits durch eine schwer wiegende Sicherheitslücke glänzte und es generell fraglich ist, ob man diesen Dienst wirklich braucht, empfiehlt sich die Deaktivierung. Zwei Dienste sind für UPnP zuständig: Der UPnP-Gerätehost lässt den Rechner als Host für entsprechende Geräte im Netzwerk fungieren. Der "SSDP-Suchdienst" (kurz: SSDPSR) ist für das Aufspüren dieser Geräte zuständig.

Mit dem Abschalten von UPnP und SSDP entfällt allerdings die Möglichkeit, Media-Player-Bibliotheken für andere Abspiel- und Mediengeräte im Netzwerk freizugeben. Sie können also beispielsweise nicht mit einer XBox 360 Medien und TV vom Vista-Rechner abspielen.

Der "WebClient" (kurz: WebClient) ermöglicht es Programmen, internetbasierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Solange Sie keine WebDAV-Funktionen verwenden, etwa mit Frontpage, können Sie diesen Dienst ausschalten.

Windows-Fehlerbericht- erstattung

Über den Dienst "Windows-Fehlerberichterstattung" (kurz: WerSvc) will sich Microsoft bei Programmabstürzen informieren lassen, um das Problem einzugrenzen. Stürzt ein Programm mit einer Fehlermeldung ab, bietet Windows dem Anwender gleich an, ein Fehlerprotokoll an Microsoft zu schicken. Dieses enthält unter anderem einen Abzug des Hauptspeichersegments, in dem der Fehler aufgetreten ist.

Für Microsoft und die Fehlerbehebung mag das hilfreich sein, aber der sicherheitsbewusste Anwender macht sich eventuell Sorgen um seine Privatsphäre. Deshalb sollten Sie diesen Dienst deaktivieren.

Der Dienst "Windows Update" (kurz: wuauserv) ist zuständig für das Erkennen, Herunterladen und Installatieren von Updates für Windows und andere Programme. Wenn der Dienst deaktiviert ist, können "Windows Update" beziehungsweise die Funktion "automatische Updates" nicht verwendet werden. Programme können dann ebenfalls die Windows Update Agent-Programmierschnittstelle (WUA API) nicht verwenden.

Ist dieser Dienst deaktiviert, funktioniert auch windowsup date.microsoft.com nicht, denn diese verweist sofort auf die Update-Funktion in der Systemsteuerung, die wiederum den Dienst ansteuert. Dann müssen Sie sich die Updates von der Update-Seite für Firmenkunden holen. Für die Beta-Version von Vista bietet die Seite allerdings keine Updates an; ob das in der Release-Version anders sein wird, ist noch offen. Zudem lässt sich diese Seite nur unter einer anderen Windows-Version als Vista besuchen.

Ein weiterer Dienst, dem in vielen Foren Spionagefunktionen nachgesagt werden, ist der automatische Uhrenabgleich mit Internet-Servern. Der "Windows-Zeitgeber" (kurz: W32Time) verbindet sich mit einem entsprechenden Dienst auf einem Rechner, der mit einer Atomuhr - beispielsweise über eine Funkuhr - synchronisiert ist, und errechnet über verschiedene Algorithmen die Abweichung der lokalen Rechneruhr von der richtigen Zeit. Da es sich hierbei um ein standardisiertes Protokoll handelt, kann Windows so gut wie gar nicht spionieren. Wer sich dennoch sicher sein will, sollte den Dienst deaktivieren.

Fazit

Microsoft hat einiges optimiert, aber noch nicht alles. Inwieweit Sie bei der endgültigen Version noch händisch Dienste abschalten müssen, um Ressourcen zu sparen, wird sich dann im nächsten Jahr zeigen. In der aktuellen Version lässt sich auf jeden Fall noch einiges sparen.

Dieser Beitrag stammt von tecChannel.de, dem Webzine für technikorientierte Computer- und Kommunikationsprofis. Unter www.tecChannel.de finden Sie weitere Beiträge zu diesem Thema.

Zur Startseite