[HaBo]

Lami12

Anzeige

Dienste beenden unter Windows XP Professional


Hinweis
Aktive Dienste und offenen Ports nach einer Standardinstallation von Windows XP Professional
Kurzbeschreibung der Dienste/Ports
1. Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm, Port 135,137,139) von der DFÜ
Teil A: DFÜ
Teil B: (wenn LAN bzw. Netzwerkkarte installiert ist)
Teil C: Erweiterte Einstellungen
2. Beenden von epmap (Port 135)
Teil A: Konfiguration von DCOM
Teil B: Konfiguration der Systemdienste
3. Beenden von mtaskp (Port 1026)
4. Beenden von ssdp (Port 1900, 5000)
5. Beenden von alg (Port >3000)
6. Beenden von microsoft-ds (Port 445)

Hinweis:
Folgende Anleitungbezieht sich auf eine Standardinstallation von Windows2000 Professional und dem
Einsatz auf einem Einzelplatzrechner. Beim Einsatz als Client im LAN oder mit Serverdiensten für ein
Netzwerk z.B. Proxy-, Web-, FTP-, Mail-Server, Router usw., müssen die dafür zuständigen Dienste
und Konfigurationen, bestehen bleiben. Dieses gilt auch für zusätzliche Dienste die mit Anwendungen
installiert werden und unter Umständen von MS-Systemdiensten abhängig sein können

Desweiteren nimmt diese Anleitung einem nicht die Entscheidung ab, welche der hier vorgestellten Dienste tatsächlich in
der gegebenen Rechnerkonfiguration ,bezogen auf das jeweilige Einsatzgebiete des Systems, deaktiviert werden können
oder ob sie für ein speziellen Anwendungsfall aktiv bleiben müssen

Vor einer Änderung der Systemkonfiguration ist aus Sicherheitsgründen ein Backup bzw. Festplattenimage
der Systempartition, mit entsprechender Software anzufertigen

Aktive Dienste und offene Ports nach einer Standardinstallation von Windows XP Professional

Kurzbeschreibung der Dienste/Ports

epmap (Port TCP 135)
Dienste, die DCOM und/oder RPC im Netzwerk nutzen, registrieren u.a. ihren Standort mit dem
end-point mapper (epmap) auf dem PC. Wenn andere Clients sich mit einem PC verbinden um
bestimmte DCOM oder RPC Dienste auf diesem zu nutzen, fragen sie über den end-point mapper
(epmap) in einer Art Datenbank ab, wo sich diese Dienste befinden. Man kann über diesen
Port und dem epmap Dienst herausfinden ob z.B. auf dem Zielrechner ein MS-Exchange Server läuft
und welche Version der hat. Dieser Port wird auch vom Scanner-Tool 'epdump' ausgewertet und es
gibt auch Denial-of-Service (DoS) Angriffe, direkt auf diesen Port.
microsoft-ds (Port TCP/UDP 445)
Über diesen Port und dem microsoft-ds Dienst können seit Einführung von Windows2000,
ebenso wie über Port 139, die SMB Anfragen (Filesharing) geleitet werden. Es findet auch
über diesen Port eine Namensauflösung, login und browsing wie beim 'normalen' NetBios statt.
Siehe auch: Port 445, wenig bekannte Hintertür

netbios-ns (Port UDP 137)
Der Dienst "netbios name service", der für die NetBios Namensauflösung
(der eingetragene WINS Name wird der IP zugeordnet) genutzt wird


netbios-dgm (Port UDP 138)
Der Dienst "netbios datagram services", der u.a. für's login und browsing über das NetBios zuständig is


netbios-ssn (Port TCP 139)
Der Dienst "netbios session service", über dem beim Zugriff auf Drucker/Dateifreigaben der eigentliche Datenverkehr läuft

mstaskp (Port UDP 1026)
Der Dienst MS-Taskplaner, der automatisch bestimmte Aktionen zeitgesteuert auf einem Windowssystem ausführen kann

ssdp (Port TCP 5000)

ssdp (Port UDP 1900)
Der Dienst "simple service discovery protokoll" ist Bestandteil des mit Windows ME eingeführten Universal Plug-n-Play (UPnP).
SSDP ist ein auf Grundfunktionen eingeschränkter XML Parser, der es UPnP Geräten ermöglicht Informationen über das Netzwerk
auszutauschen Der Dienst wird auch benötigt, wenn das Internet Connection Sharing (ICS) genutzt werden soll.
Siehe auch: Universal Plug and Play DoS legt Windows Rechner lahm

alg (Port TCP >3000)
Der Dienst alg (application layer gateway), wird nur installiert und gebraucht, wenn man das Internet Connection Sharing (ICS)
und/oder die Internetverbindungsfirewall (neu in XP) verwendet!

Hilfreich beim Herausfinden welche Dienste welche Ports zur Zeit beanspruchen ist diese Webseite
oder auch die Freeware Active Ports

1. Entbinden der Netbiosdienste (netbios-ssn, netbios-ns, netbios-dgm, Port 135,137,139) von der DFÜ

Bei der Standardinstallation von Windows XP Prof. sind nicht wie bei den Vorgängern dieses Betriebssystems, die Netbios-Dienste
per default an das DFÜ-Netzwerk gebunden! Sollten diese Dienste aber durch eine vorherige Konfiguration so eingerichtet worden
sein, lassen sie sich wie folgt entfernen:


Teil A: DFÜ

- Unter Systemsteuerung / Netzwerkverbindunge

- Den Eintrag unter DFÜ auswählen und unter Netzwerkaufgaben "Einstellungen dieser Verbindung ändern" aufrufe



- Tab-Seite "Netzwerk" anzeigen

- Die Auswahl (Haken) von "Datei- und Druckerfreigabe für Microsoft-Netzwerke und "Client für Microsoft-Netzwerke" entfernen
und/oder beide Elemente deinstallieren.

Achtung:
Werden die beiden Elemente deinstalliert so muß der folgende Schritt nach dem Neustart nochmal (einmalig) durchgeführt werden,
weil das Betriebssystem die Option "NetBIOS über TCP/IP aktivieren" selbständig wieder setzt!



- Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften aufrufen

- unter den erweiterten Eigenschaften die Tab-Seite "WINS" anzeigen

- "NetBIOS über TCP/IP deaktivieren" auswählen



- Dialoge mit 'OK' bestätigen, anschließend Neustart des PC's (siehe auch Hinweis oben)


Teil B: (wenn LAN bzw. Netzwerkkarte installiert ist)

- Unter Systemsteuerung / Netzwerkverbindungen

- Den Eintrag unter LAN oder Hochgeschwindigkeitsinternet auswählen und unter Netzwerkaufgaben
"Einstellungen dieser Verbindung ändern" aufrufen



- Tab-Seite "Allgemein" anzeigen



- Internetprotokoll (TCP/IP) auswählen und dessen Eigenschaften aufrufen

- unter den erweiterten Eigenschaften die Tab-Seite "WINS" anzeigen

- "NetBIOS über TCP/IP deaktivieren" auswählen




- Dialoge mit 'OK' bestätigen und Neustart des PC's


Teil C: Erweiterte Einstellungen

- unter Systemsteuerung / Netzwerverbindungen



- die "Erweiterten Einstellungen" auswählen



- alle Vorhandenen Bindungen zu "LAN-Verbindindung" und "RAS-Verbindungen" entfernen



Die Ports 137, 138, 139 sind damit geschlossen und die Dienste netbios-ssn, netbios-ns und netbios-dgm deaktiviert!
Port 445 ist nach diesen Schritten auch für einen Portscan und dem o.g. Angriff nicht mehr zu erreichen, ein komplettes
deaktivieren des microsoft-ds Dienst, wird in Schritt 6. beschrieben!


2. Beenden von epmap (Port 135)

Teil A: Konfiguration von DCOM

- Ausführen von DCOMCNFG.EXE



- Auswahl von Konsolenstamm / Komponentendienste / Computer / Arbeitsplatz

- Die Eigenschaften vom Arbeitsplatz über den Menüpunkt "Aktion" aufrufen, bzw.das Computersymbol in der Symbolleiste anklicken



- Tab-Seite "Standardeigenschaften" anzeigen

- Den Haken bei 'DCOM (Distributed COM) auf diesem Computer aktivieren' entfernen

- Tab-Seite "Standardprotokolle" anzeigen



- alle Protokollbindungen entfernen

- Neustart des PC's

Teil B: Konfiguration der Systemdienste

- Einstellungen der Startart der Dienste unter Systemsteuerung / Verwaltung / Dienste, nach folgender Auflistung durchführen.
Diese Einstellungen und ein anschließender Reboot sind nötig, da sonst ein deaktivieren des Treibers für microsoft-ds
zu Schwierigkeiten und Instabbilität des Betriebsystems führen kann.

Auf "manuell" setzen
- Ablagemappe
- Anwendungsverwaltung
- COM+-Ereignissystem
- COM+-Systemanwendung
- Computerbrowser
- Designs
- DHCP-Client
- Distributed Transaction Coordinator
- DNS-Client
- Gatewaydienst auf Anwendungsebene
- Hilfe und Support
- IMAPI-CD-Brenn Com Dienste
- Intelligenter Hintergrundübertragungsdienst
- Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
- IPSEC-Richtlinienagent
- Leistungsdatenprotokolle und Warnungen
- Kompatibilität für schnelle Benutzerumschaltung
- Konfigurationsfreie drahtlose Verbindung
- MS Software Shadow Copy Provider
- NetMeeting-Remotedesktop-Freigabe
- Netzwerk-DDE-Dienst
- Netzwerk-DDE-Serverdienst
- Netzwerkverbindungen
- NLA
- NT-LM-Sicherheitsdienst
- QoS RSVP
- RAS-Verbindungsverwaltung
- Remote-Registrierung
- Sekundäre Anmeldung
- Seriennummern der tragbaren Medien
- Sicherheitskontenverwaltung
- Sitzungsmanager für Remotedesktophilfe
- Smartcard
- Smartcard-Hilfsprogramm
- Taskplaner
- TCP/IP-NetBIOS-Hilfsprogramm
- Telefonie
- Terminaldienste
- Treiberverwaltung für Windows-Verwaltungsinstrumentation
- Überwachung verteilter Verknüpfungen (Client)
- Universeller Plug & Play Gerätehost (siehe auch 4. Beenden von ssdp)
- Unterbrechungsfreie Spannungsversorgung
- Verwaltung für automatische RAS-Verbindung
- Verwaltungsdienst für die Verwaltung logischer Datenträger
- Volumenschattenkopie
- Wechselmedien
- Windows Installer
- Windows-Bilderfassung (WIA)
- Windows-Verwaltungsinstrumentation
- Windows-Zeitgeber
- WMI-Leistungsadapter

Auf "automatisch" setzen
- Druckwarteschlange
- Ereignisprotokoll
- Geschützter Speicher
- InteractiveLogon
- Kryptografiedienste
- Plug & Play
- Remoteprozeduraufruf (RPC)
- Shellhardwareerkennung
- Systemereignisbenachrichtigung
- Systemwiederherstellungsdienst
- Upload-Manager
- Verwaltung für automatische RAS-Verbindungen
- Verwaltung logischer Datenträger
- WebClient
- Windows Audio

Auf "deaktiv" setzen
- Automatische Updates
- Eingabegerätezugang
- Fehlerberichterstattungsdienst
- Indexdienst
- Routing und RAS
- SSDP Suchdienst (siehe auch 4. Beenden von ssdp)
- Telnet


- Neustart des PC's


3. Beenden von mtaskp (Port 1026)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste" beendet bzw. läßt sich geziehlt auch einzeln
beenden über die Einstellungen des Dienstes "Taskplaner"

4. Beenden von ssdp (Port 1900, 5000)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste" beendet bzw. läßt sich geziehlt auch einzeln
beenden über die Einstellungen des Dienstes "SSDP-Suchdienst". Der SSDP-Suchdienst und der
"Universeller Plug & Play Gerätehost" müssen aber aktiv bleiben, sobald die gemeinsame Nutzung der
Internetverbindung eingesetzt werden soll.

5. Beenden von alg (Port >3000)
Der Dienst wird durch vorherige "Konfiguration der Systemdienste" beendet bzw. läßt sich geziehlt auch einzeln
beenden über die Einstellungen der Dienste "Gatewaydienst auf Anwendungsebene" und "Internetverbindungsfirewall

Der Dienst wird aber benötigt, sobald die XP-Internetverbindungsfirewall und/oder die gemeinsame Nutzung der
Internetverbindung eingesetzt werden soll.


6. Beenden von microsoft-ds (Port 445)

Hinweis:
Das Beenden des Dienstes microsoft-ds setzt zwingend den Schritt 2. (DCOM- und Dienste-Konfiguration) voraus!

- über Systemsteuerung / System, den Gerätemanager aufrufen

- "Augeblendete Geräte anzeigen" auswählen

- im Zweig "Nicht-PnP-Treiber"den Eintrag "NetBIOS über TCP/IP" mit der rechten Maustaste auswählen

- Treiber über das Kontextmenü deaktivieren

- Neustart des PC's

- nach dem Neustarten, die Treibeseite nochmals aufrufen

- den "NetBIOS über TCP/IP" Treiber mit der rechten Maustaste auswählen und die Eigenschaften anzeigen lassen



- bei den Treibereigenschaften den Starttyp auf "Bedarf" oder "Deaktiviert" setzen


Copyright 2001 by Frank Kaune - Kaune Softwaresystem

+++ATH0

http://ntsvcfg.de/
http://dingens.org/

Lami12

Hallo

hey wahnsins Beitrag, super.

Ich denke, das es für andere und auch für mich selber ein grosse Hilfe darstellt.

Weiter so :-)


Gruss Lami12

Orniflyer

Ich versteh nicht warum du dich selber lobst ?!?

Aber zum Beitrag an sich. Ich weiß nicht wieviel sinn es macht diese Ports so umständlich zu schließen wenn das eine Firewall schneller und besser macht ?!?

+++ATH0

Der Grundgedanke dahinter ist, dass du Dienste , die du nicht anbieten willst abschaltest.
Was man nicht braucht muss nicht laufen.

Wenn man das getan hat und sonst sein Betriebsystem ordentlich konfiguriert hat, dann brauchst du nichteinmal eine Firewall. Und eine Personal Firewall kann man gleich in die Tonne kloppen.

Also warum Dienste anbieten, die potentielle Einfallstore für das Betriebsystem sein könnten und die man sowieso nicht braucht, und davor eine Pappwand stellen (Personal Firewall), wenn man die Dienste einfach abstellen kann.


Zum Thema Personal-Firewalls und ihre Funktionslosigkeit:

http://www.team-cauchy.de/personal/
http://home.arcor.de/nhb/pf-austricksen.html

Proof of Concept:
http://copton.net/vortraege/pfw/index.html

4future

einfach die Datei und Druckerfreigabe deaktivieren, und schon kann keiner mehr unfug damit machen, weil windows auf den ports dann nichts mehr annimmt

+++ATH0

Ja und zwar nur auf den Ports auf der die Datei- und Druckerfreigabe lief.
Das allein bringt nicht viel.

4future

klar sollte man bei Windows noch mehr Ports dicht machen, aber bei dem tread gings doch nur um die..

+++ATH0

Nein.

4future

okey dann is noch mehr zu tun