Vista Dienste sicher konfigurieren

Windows Vista basiert auf dem Code von Windows Server 2003 und ist ein extrem stabiles und modernes Betriebssystem. Allerdings sind hierbei von Microsoft dieselben folgenschweren Fehler begangen worden wie bereits bei den Vorgänger Betriebssystemen. Nichtbenötigte Netzwerk-Dienste sind auch hier standartmäßig aktiviert und von außen erreichbar und dadurch auch angreifbar.

Dienste anzubieten, welche nicht benötigt werden, missachtet so ziemlich jede Grundregel der Netzwerksicherheit. Dienste (services) sind kleine Programme, die beim Systemstart mitgestartet werden und stellen Funktionen bereit, welche evtl. von anderen Programmen genutzt werden können. Trotz einer bereits seit Jahren bekannten Sicherheitslücke in Microsofts UPnP Dienst (Universal Plug and Play) ist dieser z.B. auch unter Vista noch immer aktiv.

Um ein System sicherer zu machen, ist es daher unabwendbar, als potenziell unsicher geltende Dienste zu deaktivieren und die dadurch vorhandenen Sicherheitslücken zu schließen. Da dies trotz einiger im Internet vorhandenen sehr guten Anleitungen doch sehr aufwändig ist, habe ich ein kleines Script entwickelt, welches dies automatisch und fehlerfrei erledigt.

Mein Script konfiguriert auschliesslich Windowseigene Dienste und passt dabei

→ den Starttyp eines jeden Dienstes an

→ und beendet kritische Dienste sofort.


Konfigtool

Das Menü.

  • (1) bis (3) - der Standard der Dienste der einzelnen Versionen
  • (4) - beendet alle unsicheren Dienste
  • (S) - Sichert die bestehende Dienste Konfiguration
  • (R) - die unter (S) gesicherte Konfiguration wird zurück ins System gespielt.

Der Menüpunkt (4) ist hier die interessante Einstellung - Vista ist selbstverständlich noch Netzwerkfähig, allerdings nicht mehr mit allen Komfortfunktionen. Dafür sind etliche Angriffspunkte durch unsichere Dienste eleminiert. Für den Privatanwender, welcher mittels eines Routers ins Netz geht ist dies die beste Einstellung.

Das Tool funktioniert nur, wenn es als Administrator gestartet wird. → Rechtsklick auf die Datei und im Kontextmenü "Als Administrator ausführen" wählen.


Download Vista Dienste Konfigtool


*NEU* Download Windows 7 Dienste Konfigtool


WICHTIG! Vor dem Ausführen des Scripts zu erledigen:

Da mein Script auch das Vista-Sicherheitscenter deaktiviert (jemand, der sich für Sicherheit interessiert braucht es nicht, da er weiß, was auf seinem Rechner los ist) muß VOR dem Ausführen des Scripts folgende Einstellung getätigt werden:

Systemsteuerung → Sicherheitscenter → Benachrichtigungsmethode ändern → Keine Benachrichtigung senden und das Symbol nicht anzeigen. Fertig. Wenn diese Einstellung nicht gemacht wird, nerven anschliessend die vom Sicherheitscenter ausgehenden Benachritigungen.

Sollte man tatsächlich versäumt haben, dies VOR Ausführen des Scripts zu tun, so macht man anschliessend folgendes:

Start, Services.msc eingeben, Steuerung - Umschalttaste und Return drücken, Sicherheitscenter auf manuell stellen, Dienst starten, obig beschriebene Einstellung vornehmen und anschliessend Sicherheitscenterdienst beenden, deaktivieren und fertig.

Manuell zu erledigen:

Auch wenn mein Script viele sicherheitsrelevante Lücken schliesst, eine Sache bleibt manuell doch noch zu tun.

epmap (Port TCP 135)

Dienste, die DCOM und/oder RPC im Netzwerk nutzen, registrieren u.a. ihren Standort mit dem end-point mapper (epmap) auf dem PC. Wenn andere Clients sich mit einem PC verbinden um bestimmte DCOM oder RPC Dienste auf diesem zu nutzen, fragen sie über den end-point mapper (epmap) in einer Art Datenbank ab, wo sich diese Dienste befinden. Man kann über diesen Port und dem epmap Dienst herausfinden ob z.B. auf dem Zielrechner ein MS-Exchange Server läuft und welche Version der hat. Dieser Port wird auch vom Scanner-Tool 'epdump' ausgewertet und es gibt auch Denial-of-Service (DoS) Angriffe, direkt auf diesen Port.

So wird er geschlossen:

Startbutton klicken - DCOMCNFG.EXE eingeben und als Administrator aufrufen. Es zeigt sich dann dieses Bild:

Komponentendienste

Dann Rechtsklick auf Arbeitsplatz (in der linken Spalte), Eigenschaften anklicken und den Reiter Standarteigenschaften auswählen. Dort das Häckchen vor DCOM auf diesem Rechner aktivieren entfernen.

Eigenschaften der Komponentendienste

Somit sollte dann auch Port 135 sicher geschlossen sein und ein weiterer Baustein in einem sinvollen Sicherheitskonzept ist gelegt.

Nach größeren Sicherheitsupdates oder dem Einspielen eines neuen Servicepacks sollte das Script erneut ausgeführt werden.

Download Vista Dienste Konfigtool


*NEU* Download Windows 7 Dienste Konfigtool

Lizenzbedingungen: www.gnu.de

Mehr sicherheitsrelevante Informationen zu Windows Vista:

Im offiziellen Windows Vista Sicherheitshandbuch von Windows finden sich noch weitere wichtige Informationen. Abzurufen auf der Microsoftwebsite (downloadbar nur in English) unter:

Windows Vista Sicherheitshandbuch

Oder als von mir erstelltes PDF Dokument in deutsch:

Download Vista Sicherheitshandbuch als PDF (252 Seiten)

Informationen zu Angriffsmöglichkeiten über UPnP (Universal Plug and Play)