Vielleicht der auftakt zu einer oc.at-sicherheitsecke!
URL: https://www.overclockers.at/windows/windows-heim-pc-absichern-und-schneller-machen_236877/page_1 - zur Vollversion wechseln!
Hallo Leute, ich habe mich heute hingesetzt und für den Privat-PC ein Skript erstellt, welches von mir nicht benötigte Interfaces und Dienste deaktiviert, wie auch Internet Explorer und Windows Media Player deinstalliert.
Hintergedanken sind ein schnelles und schlankes Windows 7 x64, weniger Einfallstore für Eindringlinge, ohne dass die wichtigsten Funktionen beeinträchtigt sind und IPv4-Konnektivität weiterhin besteht. Falls jemand Ergänzungen hat sind diese gern gesehen!
Update, Februar 2016:
Das Skript schaltet mehr Dienste ab als den meisten Leuten lieb ist,
deshalb empfehle ich die Verwendung von der Freeware Easy Services Optimizer 1.2, wo man selbst anhand von Empfehlungen Dienste mittels GUI ausschalten kann.
Download:
http://www.majorgeeks.com/files/det..._optimizer.html
Weiterführende Informationen für alle aktuellen Windows Versionen:
http://www.winfaq.de/faq_html/Conte...p?h=tip0995.htm
http://www.blackviper.com/service-configurations/
Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden!
Benützung auf eigene Gefahr!
NetBios deaktvieren:
Unnötige Services ausschalten:Code:wmic nicconfig where TcpipNetbiosOptions=0 call SetTcpipNetbios 2 wmic nicconfig where TcpipNetbiosOptions=1 call SetTcpipNetbios 2
Code:rem Aero Lookup Service sc config "AeLookupSvc" start= disabled rem disable file and print sharing sc config "LanmanServer" start= disabled rem Lanmanager Workstation Service sc config "LanmanWorkstation" start= disabled rem Diagnostics Policy Service sc config "DPS" start= disabled rem set WIA to on demand sc config "stisvc" start= demand rem disable Program Compatibility Assistent sc config "PcaSvc" start= disabled rem disable Windows Mobile ActiveSync sc config "RapiMgr" start= disabled rem disable Windows CE connectivity sc config "WcesComm" start= disabled rem disable RDP redirection sc config "UmRdpService" start= disabled rem disable System Event Notification Service, do NOT disable on notebooks!´ sc config "SENS" start= disabled rem disable branch cache sc config "PeerDistSvc" start= disabled rem disable host system diagnosis sc config "WdiSystemHost" start= disabled rem disable Distributed Transaction Coordinator sc config "MSDTC" start= disabled rem disable DNS cache sc config "Dnscache" start= disabled rem disable interactive service detection sc config "UI0Detect" start= disabled rem disable ressource publication sc config "FDResPub" start= disabled rem disable IP-Helper service sc config "iphlpsvc" start= disabled rem disable IPsec Policy Agent sc config "PolicyAgent" start= disabled rem disable internet SCSI initiator sc config "MSiSCSI" start= disabled rem disable shadowcopy manager sc config "swprv" start= disabled rem disable Network Access Protection agent sc config "napagent" start= disabled rem set netprofm to on demand sc config "netprofm" start= demand rem disable offline files sc config "CscService" start= disabled rem disable P2P IPv6 identification sc config "p2pimsvc" start= disabled sc config "p2psvc" start= disabled rem disable Peer Name Resolution Protocol sc config "PNRPsvc" start= disabled sc config "PNRPAutoReg" start= disabled rem disable PnP-X-IP sc config "IPBusEnum" start= disabled rem disable Lan Browser sc config "Browser" start= disabled rem disable Simple Network Management Protocol sc config "SNMPTRAP" start= disabled rem disable Simple Service Discovery Protocol sc config "SSDPSRV" start= disabled rem disable tablet input service sc config "TabletInputService" start= disabled rem disable Network Location Awareness sc config "NlaSvc" start= disabled rem disable Network Topology Discovery sc config "LLTDSVC" start= disabled rem disable NTFS-Shortcuts on networks sc config "TrkWks" start= disabled rem disable telephony and fax services sc config "TapiSrv" start= disabled rem disable fax service sc config "Fax" start= disabled rem disable internet time sync sc config "W32Time" start= disabled rem disable Smartcards and Fingerprint Scanners sc config "SCardSvr" start= disabled rem disable Smartcard Certificates sc config "CertPropSvc" start= disabled rem disable WWAN autoconfig sc config "WwanSvc" start= disabled rem disable HID-Device access and special buttons sc config "hidserv" start= disabled rem disable WinHTTPAutoProxySvc sc config "WinHttpAutoProxySvc" start= disabled rem disable WebDAV functions sc config "Webclient" start= disabled rem disable Trusted Platform Module sc config "TBS" start= disabled rem disable Media Player network sharing sc config "WMPNetworkSvc" start= disabled rem disable Media Center Receiver service sc config "ehRecvr" start= disabled rem disable Media Center Scheduler sc config "ehSched" start= disabled rem disable Windows Search sc config "WSearch" start= disabled rem disable biometric services sc config "WbioSrvc" start= disabled rem disable network WMI functions sc config "wmiApSrv" start= disabled rem don't send errors to Microsoft sc config "WerSvc" start= disabled rem don't search for solutions online sc config "wercplsupport" start= disabled rem disable Universal Plug & Play sc config "upnphost" start= disabled rem disable Windows Remote Management service sc config "WinRM" start= disabled rem disable auto RAS-connections sc config "RasAuto" start= disabled rem disable NetBIOS over TCP/IP helper sc config "lmhosts" start= disabled rem disable Windows Event Collector service sc config "Wecsvc" start= disabled rem disable light sensor service sc config "SensrSvc" start= disabled rem disable bluetooth server sc config "bthserv" start= disabled
Code:netsh int ipv6 isatap set state disabled netsh int ipv6 6to4 set state disabled netsh int teredo set state disabled
Uninstall IE & WMP:Code:rem disable active probing reg add "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet" /v "EnableActiveProbing" /t "REG_DWORD" /d "0" /f rem disable windows scripting host reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v "Enabled" /t "REG_DWORD" /d "0" /f
Code:rem Windows Media Player start /w ocsetup WindowsMediaPlayer /uninstall rem Internet Explorer dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64
danke, sowas hatte ich schon für mich im sinn. Sollte noch das OS dabeistehen.
Vielleicht der auftakt zu einer oc.at-sicherheitsecke!
oc.at sicherheitsecke könnte doch locker das Treiber Subforum als "Driver+Bios+Antivirus" aufwerten.
ftp.
nett, hab ich gleich mal kopiert und für mich angepasst 
Hmm... naja, das Skript dreht aber recht undifferenziert so ziemlich alles ab. Also da muß ich den Hinweis
"Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden."
nochmals deutlich wiederholen. Der Sicherheitsgewinn ist dabei meiner Meinung nach aber eher minimal - natürlich vermeidet jeder nicht laufende Dienst einen Einbruch der einen Fehler darin ausnutzt. Aber wenn ich mir die Sicherheitsprobleme in letzter Zeit ansehe, so sind die Einfallstore eher Programme wie Adobe, Java, Browser..
Wer um die Sicherheit des System so in Sorge ist, sollte auf jeden Fall
1) Die UAC aktiviert lassen (ja, es gibt Leute die drehen die ab).
2) Die Datenausführungsverhinderung für alle Programme aktivieren
3) Microsoft EMET installieren und die Programme damit konfigurieren
4) Onlinebanking und dergleichen nur aus einem schreibgeschützten Linux System machen. Entweder überhaupt von einem schreibgeschützten USB Stick starten oder mit VirtualBox eine virtuelle Maschine installieren und das Image als CD-ROM einbinden. Letzteres ist bequemer weil es im laufenden Win System erledigt werden kann aber deswegen natürlich viel weniger sicher.
5) Online Shopping wo Zb Kreditkarteninformationen eingegeben werden auch in einer virtuellen Maschine starten. ZB ein kleines Linux wo nur ein Webbrowser läuft - mehr brauchts ja nicht. Es gilt natürlich auch hier das gleiche wie bei 5)
Aber das Skript ist an sich nicht uncool - so eine Art AntiSpy für Win7. 
Nur meine 2 Cents..
könnts sein, das nach dem script kein zugriff auf ein share im lokalen netzwerk mehr möglich ist?!
Deswegen sollte man Funktionen nur deaktivieren, wenn man auch weiß wozu sie sind!
man könnte die liste ja mit etwas genaueren beschreibungen erweitern und dann gegebenenfalls noch ein tool basteln zur aktiven auswahl was man will
RLY??!! wollts einfach probiern SORRY!
du meinst ein gui oder nur ja/nein im prompt?
ginge beides, wobei das gui sicher netter wäre
man könnte aber im prompt auch die jeweilige option erklären
das gui hätte eventuell noch den vorteil das man verschiedene presets an einstellungen laden/speichern könnte
irgendwie würds mich ja reizen sowas zu machen, hab eh schon ewig nix mehr getan, aber wenn dann könnt ichs nur in c# dablasen und wennst dann für sowas zuvor .net framework installieren musst is es auch wieder irgendwo fad
so ein oc.at-win7-hardening-tool in c-sharp mit profilen im xml-format, aller klar.
Windows 7 kam mit .NET Framework 3.5, also wenn du nicht in einem höheren Framework entwickelst muss keines zusätzlich installiert werden
Ist ne gute Idee. Hätte leider nur Java anbieten können :/
@stevke: stimmt
bei win8 is standardmäßig dann wiederum nur 4 vorinstalliert und 3 zum nachinstallieren 
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024