Hinweis:
- Aktive Dienste am Netz/DFÜ und offene Ports nach einer Standardinstallation von Windows2000 Professional
- Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm) von dem DFÜ-Netzwerk (Internetverbindung)
- Beenden von epmap, isakmp und microsoft-ds
Hinweis:
Folgende Anleitung bezieht sich auf eine Standardinstallation von Windows2000 Professional und dem
Einsatz auf einem Einzelplatzrechner. Beim Einsatz als Client im LAN oder mit Serverdiensten für ein Netzwerk
z.B. Proxy-, Web-, FTP-, Mail-Server, Router usw., müssen die dafür zuständigen Dienste und Konfigurationen,
bestehen bleiben. Dieses gilt auch für zusätzliche Dienste die mit Anwendungen installiert werden und unter Umständen
von MS-Systemdiensten abhängig sein können.
Desweiteren nimmt diese Anleitung einem nicht die Entscheidung ab, welche der hier vorgestellten Dienste tatsächlich in
der gegebenen Rechnerkonfiguration ,bezogen auf das jeweilige Einsatzgebiete des Systems, deaktiviert werden können
oder ob sie für ein speziellen Anwendungsfall aktiv bleiben müssen!
Vor einer Änderung der Systemkonfiguration ist aus Sicherheitsgründen ein Backup bzw. Festplattenimage der
Systempartition, mit entsprechender Software anzufertigen.
Aktive Dienste am Netz/DFÜ und offene Ports nach einer Standardinstallation von Windows2000 Professional
Wie die Ausgabe von TCPView zeigt, sind bei einer Standardinstallation von Windows2000 Professional einige Ports
offen und Dienste aktiv, welche unter bestimmten Gegebenheiten bei einem Einzelplatzsystem (s.o.) geschlossen bzw. deaktiviert
werden können
Diese Dienste sind:
epmap (Port TCP/UDP 135)
isakmp (Port UDP 500)
microsoft-ds (Port TCP/UDP 445)
netbios-ssn (Port TCP 139)
netbios-ns (Port UDP 137)
netbios-dgm (Port UDP 138)
Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm) von dem DFÜ-Netzwerk (Internetverbindung)
- Unter Systemsteuerung / Netzwerk- und DFÜ-verbindungen
- Eigenschaften (Rechte Maustaste) von LAN-Verbindung (sofern vorhanden) aufrufen
- Eigenschaften von Internetprotokoll(TCP/IP) wählen
- Erweiterte Eigenschaften wählen
- unter Tabreiter 'WINS', "Netbios über TCP/IP deaktivieren" auswählen
- Dialog mit 'OK' bestätigen, anschließende Meldung ebenfalls mit 'Ja' bestätigen
- Unter Systemsteuerung / Netzwerk- und DFÜ-Verbindungen
- Eigenschaften (Rechte Maustaste) von DFÜ-Verbindung aufrufen
- unter Tabreiter 'Netzwerk', die Haken bei "Datei- und Druckerfreigabe für Microsoft-Netzwerke
- und "Client für Microsoft-Netzwerke entfernen
- Unter Systemsteuerung / Netzwerk- und DFÜ-verbindungen
- Im Menu Erweitert / Erweiterte Einstellungen... wählen
- die Haken bei allen Bindungen in 'Bindungen für LAN-Verbindungen' entfernen
Die Ports 137, 138, 139 sind damit geschlossen und die Dienste
netbios-ssn, netbios-ns und netbios-dgm deaktiviert! Auch Port 445 ist für ein Portscan geschlossen,
obwohl er noch als LISTENING angezeigt wird
Beenden von epmap, isakmp und microsoft-ds
- Ausführen von DCOMCNFG.EXE
- unter Tabreiter 'Standardeigenschaften' den Haken bei 'DCOM (Distributed COM) auf diesem Computer aktivieren' entfernen
- unter Tabreiter 'Standardprotokolle' alle Protokollbindungen entfernen
Einstellungen der Startart der Dienste unter Systemsteuerung / Verwaltung / Dienste, nach folgender Auflistung durchführen.
Diese Einstellungen und ein anschließender Reboot sind nötig, da sonst ein deaktivieren des Treibers für microsoft-ds
zu Schwierigkeiten und Instabbilität des Betriebsystems führen kann.
Auf "manuell" setzen
- Ablagemappe
- Anmeldedienst
- Anwendungsverwaltung
- COM+-Ereignissystem
- Computerbrowser
- DHCP-Client
- Dienst "Ausführen als"
- Distributed Transaction Coordinator
- DNS-Client
- Faxdienst
- Gemeinsame Nutzung der Internetverbindung
- Hilfsprogramm-Manager
- IPSEC-Richtlinienagent
- Leistungsdatenprotokolle und Warnungen
- Nachrichtendienst
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remoteprozeduraufruf (RPC)
- Remote-Registrierungsdienst
- RPC-Locator
- Server
- Sicherheitskontenverwaltung
- Smartcard
- Smartcard-Hilfsprogramm
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Überwachung verteilter Verknüpfungen (Client)
- Unterbrechungsfreie Spannungsversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Verwaltungsdienst für Datenträgerverwaltungsanforderungen
- Wechselmedien
- Windows Installer
- Windows-Verwaltungsinstrumentation
- Windows-Verwaltungsinstrumentations-Treibererweiterungen
- Bietet Systemverwaltungsinformationen für und von Treibern.
- Windows-Zeitgeber
Auf "automatisch" setzen
- Arbeitsstationsdienst
- Druckwarteschlange
- Ereignisprotokoll
- Geschützter Speicher
- Plug & Play
- Systemereignisbenachrichtigung
- Verwaltung logischer Datenträger
- Überwachungsdienst für die Verwaltung logischer Datenträger
- Warndienst
Auf "deaktiv" setzen
- Indexdienst
- Routing und RAS
- Telnet
Nach dem Reboot, sind die Dienste epmap und isakmp deaktiviert und die Ports 135, 500 geschlossen!
Was bleibt ist der microsoft-ds hinter Port 445. Um auch diesen zu deaktivieren ist folgendes zu machen.
- unter Systemsteuerung / System
- unter Tabreiter 'Hardware' den Geräte-Manager... aufrufen
- Im Menü unter 'Ansicht' den Punkt 'Ausgeblendeten Geräte anzeigen' auswählen
- im Gerätebaum den jetzt sichtbaren Zweig 'Nicht-PnP-Treiber' expandieren
- den Treiber 'NetBios über TCP/IP' suchen
- die Eigenschaften des Treibers über Rechtsklick aufrufen
- unter Tabreiter 'Treiber', den Starttyp auf 'Deaktiviert' setzen
- über Rechtsklick, den Treiber abschließend deaktivieren
- Reboot des Rechners
Copyright 2001 by Frank Kaune - Kaune Softwaresysteme