Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Windows-XP-Dienste aufräumen - Teil 2

18.11.2004
Windows XP beansprucht Ressourcen für Gimmicks und Dienste, die nicht jeder braucht. Mit einer optimierten Konfiguration läuft XP auch auf älteren PCs rund. Professionelle Anwender profitieren von mehr Sicherheit. Von Mike Hartmann

Fortsetzung von Ausgabe 46/04, Seite 57

Nachrichtendienst

Der Nachrichtendienst überträgt Nachrichten, die mit dem Befehl net send oder über eine entsprechende API verschickt werden. Dies ist in manchen Software-Umgebungen noch ein Mittel, um Warnungen an den Administrator oder einzelne Benutzer zu versenden.

In den meisten Fällen wird der Dienst allerdings nicht mehr benötigt, so dass Sie ihn getrost abschalten können. Auch wenn der Kurzname des Dienstes "Messenger" lautet, hat er nichts mit dem Microsoft Messenger zu tun, der automatisch mit Windows XP installiert wird.

Da zunehmend Spam über den Befehl net send verschickt wird, empfiehlt es sich, den Dienst abzuschalten.

Remote Desktop

Windows XP bietet gleich eine Reihe von Diensten für den Fernzugriff auf Desktops an.

Zum einen ist das die Netmeeting-Remotedesktop-Freigabe, mit der via Netmeeting ein anderer Netmeeting-Benutzer auf den eigenen Desktop zugreifen kann. Da dieses ein potenzielles Sicherheitsloch bei der Benutzung von Netmeeting darstellt, empfehlen wir die Änderung des Startmodus auf "deaktiviert". Zur Erinnerung: "Manuell" heißt, dass dieser Dienst von einem anderen Dienst oder Programm gestartet werden könnte, ohne dass Sie das mitbekommen.

Auch der Sitzungsmanager für Remotedesktophilfe ermöglicht Zugriff auf den Desktop des Benutzers. Normalerweise steuern Sie diesen Dienst über Systemeigenschaften/Remote. Allerdings ist es angebracht, diesen Dienst komplett zu deaktivieren, um einen ungewollten Start zu verhindern.

Eine erweiterte Form der Remotedesktophilfe sind die Terminaldienste. Sind diese gestartet, kann auch ohne "Unterstützungsanforderung" eine Sitzung zum Rechner aufgebaut werden. Manchmal macht das ja auch Sinn, etwa wenn man von der Arbeit auf den Rechner zu Hause zugreifen will, aber meistens birgt es einfach nur potenzielle Sicherheitslöcher.

Wenn Sie die "Schnelle Benutzerumschaltung" verwenden wollen, benötigen Sie diesen Dienst zwingend.

Remote-Dienste

Mit der Remote Registrierung ermöglichen Sie den Fernzugriff auf die in der Registry enthaltenen Einstellungen. Eine Änderung des Starttyps von "manuell" auf "deaktiviert" scheint daher nicht nur bei paranoiden Administratoren angeraten.

Dieser Dienst ist in Windows XP Home nicht verfügbar.

Weitere potenzielle Angriffspunkte stellen die ebenfalls selten benötigten Netzwerk-DDE -Dienste (Client und Server) dar. Sie ermöglichen den Netzwerktransport für dynamischen Datenaustausch, so dass auch DDE-Verbindungen zwischen Anwendungen auf verschiedenen Rechnern möglich sind. Der Serverdienst verwaltet entsprechende DDE-Freigaben im Netzwerk.

Server

Der Serverdienst ist für Datei- und Druckerfreigaben zuständig. Auch wenn Sie auf Ihrem Rechner keine Freigaben eingerichtet haben, startet Windows XP diesen Dienst. Um ihn abschalten zu können, müssen Sie zudem den Dienst Computerbrowser beenden und deaktivieren.

Systemereignis-benachrichtigung

Dieser Dienst verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Er informiert außerdem Ereignissystembezieher von COM+ über diese Ereignisse. Für Notebook-Besitzer ist dieser Dienst beinahe zwingend erforderlich, da er unter anderem dafür sorgt, dass bei niedrigem Batteriestand die konfigurierten Aktionen ausgeführt werden. In einer Desktop-Umgebung ist uns derzeit kein Umfeld bekannt, in dem die Systemereignisbenachrichtigung unbedingt benötigt wird.

Upload-Manager

Die im Dienstemanager hinterlegte Beschreibung ("Verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern im Netzwerk. Synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern werden nicht ausgeführt, wenn dieser Dienst beendet wird.") vermittelt den Eindruck, dass ohne ihn kein einziges Datenpaket übers Netzwerk fließt. Auf unseren Testsystemen läuft der Netzwerkverkehr aber auch nach dem Abschalten des Upload-Managers ohne offensichtliche Beeinträchtigung von Funktionen normal weiter.

UPnP-Dienste

Mit Universal Plug and Play hat Microsoft eine neue Funktion eingeführt, die im Netz ungefähr das leisten soll, was PnP auf dem lokalen Rechner bietet: Die automatische Erkennung neuer Dienste und Geräte (Drucker, Freigaben etc.). Zusätzlich kann Windows XP diese Dienste ins Internet bereitstellen, auch wenn der anbietende Rechner durch NAT für das Internet unsichtbar ist.

Da UPnP bereits durch eine schwerwiegende Sicherheitslücke glänzte und es generell fraglich ist, ob man diesen Dienst wirklich braucht, empfiehlt sich die Deaktivierung.

Zwei Dienste sind für Universal Plug and Play zuständig. Zum einen lässt der UPnP-Gerätehost den Rechner als Host für entsprechende Geräte im Netzwerk fungieren. Zum anderen ist dDer SSDP-Suchdienst für das Aufspüren dieser Geräte zuständig.

WebClient

Der WebClient ermöglicht es Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Solange Sie keine WebDAV-Funktionen verwenden, etwa mit Frontpage, können Sie diesen Dienst ausschalten.

Windows-Zeitgeber

Ein weiterer Dienst, dem in vielen Foren Spionage-Funktionen nachgesagt werden, ist der automatische Uhrenabgleich mit Internet-Servern. Der Windows-Zeitgeber verbindet sich mit einem entsprechenden Dienst auf einem Rechner, der mit einer Atomuhr - beispielsweise über eine Funkuhr - synchronisiert ist, und errechnet über verschiedene Algorithmen die Abweichung der lokalen Rechneruhr von der richtigen Zeit. Da es sich hierbei um ein standardisiertes Protokoll handelt, kann Windows so gut wie gar nicht spionieren. Wer sich dennoch sicher sein will, sollte den Dienst Windows-Zeitgeber deaktivieren.

GLOSSAR

ActiveX: Software-Modul, das auf der Microsoft Component Objekt Model - Architektur basiert. Über ActiveX-Controls lassen sich bestehende Software-Komponenten von einem Server abrufen und im Webbrowser wie ein normales Programm anwenden.

COM: Component Object Model: Erlaubt es Programmierern, Objekte zu entwickeln, die von jeder COM-kompatiblen Anwendung genutzt werden können. ActiveX-Controls basieren beispielsweise auf COM. Weitere Informationen: Microsofts COM-Seiten http://www.microsoft.com/com/default.asp

ISDN: Integrated Services Digital Network. Digitales Übermittlungsverfahren, das verschiedene Dienste wie Telefonie oder Datenaustausch im Verbund ermöglicht.

DSL: Digital Subscriber Line. Die Standleitung ins Internet für kleine Firmen und Privatpersonen. DSL arbeitet mit den selben Kupferkabeln wie analoge Telefone und ISDN-Anschlüsse. Die Übertragungsgeräte (Splitter und DSL-Modem) sind jedoch aufwändiger.

PPPoE: Point-to-Point-Protocol over Ethernet. Spezielles Protokoll, das Punkt-zu-Punkt-Verbindungen über das Ethernet ermöglicht.

LAN: Lokal Area Network. Netzwerk aus Computern und Geräten an einem Standort.

Router: Router vermitteln die Daten zwischen zwei oder mehreren Subnetzen, die beispielsweise durch Weitverkehrsleitungen wie ISDN verbunden sind. Auch ein Einsatz im LAN ist möglich, um die Datensicherheit zu erhöhen.

DHCP: Dynamic Host Configuration Protocol. Bei DHCP bezieht ein Arbeitsrechner seine Konfiguration des IP-Netzwerks von einem Server.

TCP/IP: Transport Control Protocol/Internet Protocol. Das meistverbreitete Netzwerk-Protokoll zur Übermittlung von Daten. IP dient zur reinen Datenübermittlung, TCP stellt sicher, dass die Daten auch fehlerfrei ankommen.

DNS: Domain Name System (oder Service). Ein Internet-Dienst, der Domain Namen wie www.tecchannel.de in die zugehörigen IP-Adressen umsetzt. Weiß ein DNS-Server die IP-Adresse eines Namens nicht, so fragt er bei einem anderen Server nach.

IrDA: The Infrared Data Association. Standard zur Datenübertragung per Infrarot. In der Version 1.0 mit Geschwindigkeiten bis zu 115 KBit/s, seit der Version 1.1 (Fast IrDA) mit bis zu 4 MBit/s.

SSID: Shared System ID. Manchmal auch als Shared Key bezeichnet. Gemeinsamer Schlüssel für den Zugriff auf ein Wireless LAN nach IEEE-802.11-Standard.

DDE: Dynamic Data Exchange. Ein System zum dynamischen Datenaustausch unter Windows und anderen Betriebssystemen. DDE ermöglicht es zwei aktiven Anwendungen auf gemeinsame Daten zuzugreifen. DDE wurde in vielen Bereichen von dem flexibleren OLE (Object Linking and Embedding) abgelöst.

NAT: Network Address Translation. NAT ist ein Verfahren zur Abschottung des LAN gegenüber dem Internet. Dabei wird zum Internet hin immer nur eine Adresse gemeldet, unabhängig von der tatsächlichen IP-Adresse im LAN. Der NAT-Router übernimmt dabei die Verteilung der IP-Pakete zu den richtigen Empfängern.

WebDAV: Web Distributing, Authoring and Versioning: Technik zur einfachen Veröffentlichung von Websites. WebDAV besteht aus HTTP-Erweiterungen, die einen standardisierten Datenaustausch zwischen WebAuthoring-Tools und Servern gestatten.

tecchannel-Praxis "Sicher ins Internet"

tecChannel.de ist die Nummer eins der Online-Fachmedien in Deutschland (IVW 1/04). Auf www.tecChannel.de finden Sie mehr als 1.700 Beiträge und über 14.000 News zu allen Themen der IT. Das kostenlose Online-Programm wird ergänzt durch das noch umfangreichere kostenpflichtige tecCHANNEL-Premium-Programm und die tecCHANNEL-Compact-Buchreihe.

Die neue Ausgabe von tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" beschreibt die Installation und Wartung eines kompletten Kommunikationsservers auf Linux-Basis, mit Sicherheits- und Internetfunktionen. Gerade kleinere Unternehmen behandeln die Inter- und Intranet-Kommunikation nach wie vor stiefmütterlich, wie eine aktuelle Studie des Statistischen Bundesamtes belegt.

tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" bietet bislang ungesicherten Firmen eine Komplettlösung zum Abschotten ihres Netzzugangs.

Die neue tecCHANNEL-Compact erhalten Sie für 12,95 Euro im Bahnhofshandel sowie im Flughafen-Buchhandel. Sie können tecCHANNEL-Compact auch jederzeit direkt im Online-Shop unter www.tecChannel.de/shop bestellen. Sie erhalten das Buch dann versandkostenfrei zugeschickt.