Sicherheitshandbuch - NT-Dienste (Services)

(Autor: G.Hoffmann)

Themenüberblick: Hintergrundinformationen, Werkzeuge und Standardkonfigurationen (NT 5.x)

1. Werkzeuge zum Verwalten von Diensten
2. Erstellen einer Konfigurationsvorlage für Dienste
3. Aktivieren einer Konfigurationsvorlage für Dienste
4. Dienstekonfiguration in der Registry
5. Deaktivieren von Diensten

Werkzeuge zum Verwalten von Diensten

Windows NT 5.0 / NT 5.1

Wie viele andere Verwaltungswerkzeuge ist auch die Diensteverwaltung im Control Panel des Windows Explorers zu finden. Sie wird über das Symbol Services im Ordner Administrative Tools. Bei diesem Tool handelt es sich um ein vorkonfiguriertes Snapin der Microsoft Management Console (MMC).

Alternativ kann das Snapin auch direkt über die Datei services.msc, die sich im Verzeichnis %Systemroot%\System32 (zum Beispiel C:\WINNT\System32) und damit in einem Standardsuchpfad befindet, aufgerufen werden.

Es erscheint eine Liste der installierten Dienste. Entscheidend für die Sicherheitseinstellungen ist hierbei die Konfiguration des Dienstestarts, die in der Spalte Startup Type zu sehen ist.

Die Einstellunges-Dialogbox des Dienstes kann über den Eintrag Properties im Kontextmenü des jeweiligen Dienstes aufgerufen werden. Im folgenden dient der Windows-Druckdienst Print Spooler als Beispiel.

In der Dialogbox-Ansicht General kann sowohl des Startverhalten (Automatic, Manual, Disable) des Dienstes beim Booten eingestellt, als auch der Dienst direkt gestartet (Start), angehalten (Pause), wieder fortgeführt (Resume) oder gestoppt (Stop) werden.

Erstellen einer Konfigurationsvorlage für Dienste (NT 5.x)

Um eine Vorlage zur automatisierten Konfiguration der Dienste zu erzeugen oder zu verändern, wird die Microsoft Management Console (MMC) benötigt. Diese kann wie folgt direkt aufgerufen werden.

Zunächst handelt es sich bei der MMC um ein leeres Fenster, in dem nun je nach Bedarf Management-Snapins nachgeladen werden müssen. Dazu dient der Eintrag Add/Remove Snap-in im Menü Console.

Es erscheint ein Fenster, in dem alle bereits geladenen Snap-ins angezeigt werden. Da in der folgenden Abbildung noch kein Snap-in aufgelistet ist, muss mindestens eines mit dem Button Add hinzugefügt werden. Die Auswahl erfolgt in einer weiteren Dialogbox Add Standalone Snap-in. Zum Erzeugen von Vorlagen für Sicherheitseinstellungen wird das Snapin Security Templates benötigt.

Das Snapin Security Templates gliedert sich wie folgt auf:

1. Ebene unter Security Templates: Vorlagensuchpfad (zum Beispiel: C:\WINNT\Security\Templates)
2. Ebene unter Security Templates: Vorlagendateien (zum Beispiel: C:\WINNT\Security\Templates\basicsv.inf)

Bei den Vorlagen handelt es sich um Textdateien im Standard-INF-Format, die auch mit Notepad eingesehen und modifiziert werden können. Auf die hier bereits vorhandenen Vorlagen wird an dieser Stelle nicht weiter eingegangen.

Für die Dienstkonfiguration wird nun eine neue Vorlagendatei erzeugt. Im Kontext-Menü des Vorlagensuchpfades gibt es hierzu den Eintrag New Template. Es erscheint eine Dialogbox, in der der Name der Vorlage (hier ServicesStartupType) und zusätzliche Informationen angegeben werden.

Die Vorlage ist in verschiedene Abschnitte untergliedert, wobei für die Dienstekonfiguration zunächst nur der Abschnitt System Services von Interesse ist. Hier werden alle aktuell auf dem Rechner installierten Dienste angezeigt. Es empfiehlt sich also, alle Dienste zu installieren, bevor eine Dienstekonfiguration durchgeführt wird, um nicht versehentlich Dienste auszulassen.
Die Spalte Startup kann folgende Werte beinhalten:

1. Not defined: Keine Konfiguration in der Vorlage definiert - aktueller Wert wird nicht verändert
2. Automatic: Der entsprechende Dienst wird auf automatisch Starten beim Booten umgestellt
3. Manual: Der entsprechende Dienst wird auf manuell starten (oder auch nach dem Booten automatisch nachladbar) verändert
4. Disable: Der Dienst wird gestoppt und deaktiviert

Die Spalte Permission zeigt lediglich an, ob eine Konfiguration stattgefunden hat (Configured) oder nicht (Not defined). Leider sind die konkret gesetzten Berechtigungen nicht direkt aus der Spalte ablesbar.

Jeder Dienst kann nun individuell über den Eintrag Security... im Kontextmenü eingestellt werden. Um eine Einstellung in der Vorlage einzutragen, muss ein Haken bei Define this policy setting in the template gesetzt werden.

Bevor das Startverhalten beim Booten eingestellt werden kann, muss zuerst die Berechtigung für den Dienst konfiguriert werden. Unter Windows 2000 wird zunächst Full Control für die Gruppe Everyone vorgeschlagen.
Dieser Vorschlag erlaubt es allen Benutzern (egal welceh Gruppe), nachträglich das Startverhalten beliebig zu verändern, als auch den Dienst beliebig zu starten oder zu stoppen.
Diese Einstellung sollte deshalb auf jeden Fall so angepasst werden, wie es unter Windows XP von vorneherein vorgeschlagen wird:

1. Administrators: Full Control
2. INTERACTIVE: Read
3. SYSTEM: Full Controll

Alternativ ist es sogar möglich, die Konfiguration gleich unter Windows XP durchzuführen und dann die Vorlage auf Windows 2000 anzuwenden (siehe weiter unten).

Nachdem die Berechtigungen konfiguriert sind, kann nun der Dienst als deaktiviert eingestellt werden.

In der folgenden Abbildung ist nun zu sehen, dass der Dienst in der Vorlage konfiguriert ist.

Aktivieren einer Konfigurationsvorlage für Dienste (NT 5.x)

Eine Konfigurationsvorlage kann nun über einen Kommandozeilenaufruf (deshalb auch automatisierbar) aktiviert werden. Dazu genügt der Aufruf des Programms secedit.exe.
Beim Aufruf ohne Parameter erscheint die Hilfe zu dem Programm.

Um die zuvor angelegt Vorlage nun auf einer Maschine zu aktivieren, muss zunächst die Vorlage kopiert werden, zum Beispiel unter
%SystemRoot%\Security\Templates\ServicesStartupType.inf.

Im Anschluss daran muss anhand dieser Vorlage eine neue Sicherheitsdatenbank angelegt oder eine bereits vorhandene verwendet werden. In diesem Beispiel wird eine neue Datenbank namens %SystemRoot%\Security\Templates\ServicesStartupType.db angelegt.
Der Befehl muss dann wie folgt angeben werden:
cd /d "%SystemRoot%\Security"

Dienstekonfiguration in der Registry (NT5.x)

Bei allen Windows-NT Versionen (ab 4.0) liegen die Konfigurationen der Dienste in der Registry unterhalb von:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services].
Neben den Diensten, die im "Services" MMC-Snap-in zu sehen sind, befinden sich hier zum Beispiel noch zusätzlich Treiber.

Deaktivieren von Diensten (NT5.x)

Viele Dienste unter Windows werden in den meisten Fällen nicht dringend benötigt, stellen aber Angriffspunkte dar. Es wir empfohlen, zumindest folgende Dienste unbedingt zu deaktivieren:

1. Computer Browser
   Der Computer Browser Dienst ist für den Austausch von Rechnerinformationen zur Anzeige in der Windows-Netzwerkumgebung notwendig. Mit einem Auswahlverfahren wird unter den in einem Subnetz befindlichen Windows-PCs der sogenannte Masterbrowser bestimmt. Dieser hält die aktuell gültige Liste von erreichbaren Windows-PCs vor, die von anderen Windows-Maschinen angefortdert wird, um Rechner in der Netzwerkumgebung anzuzeigen.
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]
   "Start"=dword:00000004
   

2. Server
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver]
   "Start"=dword:00000004
   

3. Remote Registry
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
   "Start"=dword:00000004
   

4. Task Scheduler
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]
   "Start"=dword:00000004
   

5. Universal Plug and Play Device Host
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost]
   "Start"=dword:00000004
   

6. Telnet
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
   "Start"=dword:00000004
   

7. Terminalservice
   
   Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
   "Start"=dword:00000004
   

Im folgenden sind Konfigurationsvorschläge des RRZE zur Deaktivierung von nicht notwendigen Diensten für Winodws-Workstations zu finden.

1. Windows 2000 Professionell: alle Dienste, deaktivierbare Dienste
2. Windows XP Professionell: alle Dienste, deaktivierbare Dienste

Das RRZE stellt hierfür bereits eine Vorlage zur Deaktivierung von Diensten unter Winodws 2000 / XP zur Verfügung:
ServicesStartup.zip
In diesem Archiv sind folgende Dateien enthalten:

1. ServicesStartup.cmd: Batchdatei zum Aktivieren der Vorlage mit Aufruf von secedit.exe

2. ServicesStartup.inf: Vorlage des RRZE zum Deaktivieren von Diensten

Alternativ steht eine Registry-Datei mit den entsprechenden Einträgen zum Deaktivieren der Dienste durch Doppelklick zur Verfügung: ntsrvoff.reg

Letzte Änderung: 13. Maerz 2012, Historie