Windows Heim-PC absichern und schneller machen

Hallo Leute, ich habe mich heute hingesetzt und für den Privat-PC ein Skript erstellt, welches von mir nicht benötigte Interfaces und Dienste deaktiviert, wie auch Internet Explorer und Windows Media Player deinstalliert.

Hintergedanken sind ein schnelles und schlankes Windows 7 x64, weniger Einfallstore für Eindringlinge, ohne dass die wichtigsten Funktionen beeinträchtigt sind und IPv4-Konnektivität weiterhin besteht. Falls jemand Ergänzungen hat sind diese gern gesehen!

Update, Februar 2016:

Das Skript schaltet mehr Dienste ab als den meisten Leuten lieb ist,
deshalb empfehle ich die Verwendung von der Freeware Easy Services Optimizer 1.2, wo man selbst anhand von Empfehlungen Dienste mittels GUI ausschalten kann.

Download:
http://www.majorgeeks.com/files/det..._optimizer.html

Weiterführende Informationen für alle aktuellen Windows Versionen:
http://www.winfaq.de/faq_html/Conte...p?h=tip0995.htm
http://www.blackviper.com/service-configurations/


Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden!

Benützung auf eigene Gefahr!


NetBios deaktvieren:

Code:

wmic nicconfig where TcpipNetbiosOptions=0 call SetTcpipNetbios 2
wmic nicconfig where TcpipNetbiosOptions=1 call SetTcpipNetbios 2

Unnötige Services ausschalten:

Code:

rem Aero Lookup Service
sc config "AeLookupSvc" start= disabled

rem disable file and print sharing
sc config "LanmanServer" start= disabled

rem Lanmanager Workstation Service
sc config "LanmanWorkstation" start= disabled

rem Diagnostics Policy Service
sc config "DPS" start= disabled

rem set WIA to on demand
sc config "stisvc" start= demand

rem disable Program Compatibility Assistent
sc config "PcaSvc" start= disabled

rem disable Windows Mobile ActiveSync
sc config "RapiMgr" start= disabled

rem disable Windows CE connectivity
sc config "WcesComm" start= disabled

rem disable RDP redirection
sc config "UmRdpService" start= disabled

rem disable System Event Notification Service, do NOT disable on notebooks!´
sc config "SENS" start= disabled

rem disable branch cache
sc config "PeerDistSvc" start= disabled

rem disable host system diagnosis
sc config "WdiSystemHost" start= disabled

rem disable Distributed Transaction Coordinator
sc config "MSDTC" start= disabled

rem disable DNS cache
sc config "Dnscache" start= disabled

rem disable interactive service detection
sc config "UI0Detect" start= disabled

rem disable ressource publication
sc config "FDResPub" start= disabled

rem disable IP-Helper service
sc config "iphlpsvc" start= disabled

rem disable IPsec Policy Agent
sc config "PolicyAgent" start= disabled

rem disable internet SCSI initiator
sc config "MSiSCSI" start= disabled

rem disable shadowcopy manager
sc config "swprv" start= disabled

rem disable Network Access Protection agent
sc config "napagent" start= disabled

rem set netprofm to on demand
sc config "netprofm" start= demand

rem disable offline files
sc config "CscService" start= disabled

rem disable P2P IPv6 identification
sc config "p2pimsvc" start= disabled
sc config "p2psvc" start= disabled

rem disable Peer Name Resolution Protocol
sc config "PNRPsvc" start= disabled
sc config "PNRPAutoReg" start= disabled

rem disable PnP-X-IP
sc config "IPBusEnum" start= disabled

rem disable Lan Browser
sc config "Browser" start= disabled

rem disable Simple Network Management Protocol
sc config "SNMPTRAP" start= disabled

rem disable Simple Service Discovery Protocol
sc config "SSDPSRV" start= disabled

rem disable tablet input service 
sc config "TabletInputService" start= disabled

rem disable Network Location Awareness
sc config "NlaSvc" start= disabled 

rem disable Network Topology Discovery
sc config "LLTDSVC" start= disabled

rem disable NTFS-Shortcuts on networks
sc config "TrkWks" start= disabled

rem disable telephony and fax services
sc config "TapiSrv" start= disabled

rem disable fax service
sc config "Fax" start= disabled

rem disable internet time sync
sc config "W32Time" start= disabled

rem disable Smartcards and Fingerprint Scanners
sc config "SCardSvr" start= disabled

rem disable Smartcard Certificates
sc config "CertPropSvc" start= disabled

rem disable WWAN autoconfig
sc config "WwanSvc" start= disabled

rem disable HID-Device access and special buttons
sc config "hidserv" start= disabled

rem disable WinHTTPAutoProxySvc
sc config "WinHttpAutoProxySvc" start= disabled

rem disable WebDAV functions
sc config "Webclient" start= disabled

rem disable Trusted Platform Module
sc config "TBS" start= disabled

rem disable Media Player network sharing
sc config "WMPNetworkSvc" start= disabled

rem disable Media Center Receiver service
sc config "ehRecvr" start= disabled

rem disable Media Center Scheduler
sc config "ehSched" start= disabled

rem disable Windows Search
sc config "WSearch" start= disabled

rem disable biometric services
sc config "WbioSrvc" start= disabled

rem disable network WMI functions
sc config "wmiApSrv" start= disabled

rem don't send errors to Microsoft
sc config "WerSvc" start= disabled

rem don't search for solutions online
sc config "wercplsupport" start= disabled

rem disable Universal Plug & Play
sc config "upnphost" start= disabled

rem disable Windows Remote Management service
sc config "WinRM" start= disabled

rem disable auto RAS-connections
sc config "RasAuto" start= disabled

rem disable NetBIOS over TCP/IP helper
sc config "lmhosts" start= disabled

rem disable Windows Event Collector service
sc config "Wecsvc" start= disabled

rem disable light sensor service
sc config "SensrSvc" start= disabled

rem disable bluetooth server
sc config "bthserv" start= disabled

Fragwürdige interfaces ausschalten:

Code:

netsh int ipv6 isatap set state disabled
netsh int ipv6 6to4 set state disabled
netsh int teredo set state disabled

Registry Tweaks:

Code:

rem disable active probing
reg add "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet" /v "EnableActiveProbing" /t "REG_DWORD" /d "0" /f

rem disable windows scripting host
reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v "Enabled" /t "REG_DWORD" /d "0" /f

Uninstall IE & WMP:

Code:

rem Windows Media Player
start /w ocsetup WindowsMediaPlayer /uninstall

rem Internet Explorer
dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64

Hier all in one:
http://pastebin.com/RcWddU4D

oc.at sicherheitsecke könnte doch locker das Treiber Subforum als "Driver+Bios+Antivirus" aufwerten.

ftp.

Hmm... naja, das Skript dreht aber recht undifferenziert so ziemlich alles ab. Also da muß ich den Hinweis
"Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden."
nochmals deutlich wiederholen. Der Sicherheitsgewinn ist dabei meiner Meinung nach aber eher minimal - natürlich vermeidet jeder nicht laufende Dienst einen Einbruch der einen Fehler darin ausnutzt. Aber wenn ich mir die Sicherheitsprobleme in letzter Zeit ansehe, so sind die Einfallstore eher Programme wie Adobe, Java, Browser..

Wer um die Sicherheit des System so in Sorge ist, sollte auf jeden Fall
1) Die UAC aktiviert lassen (ja, es gibt Leute die drehen die ab).
2) Die Datenausführungsverhinderung für alle Programme aktivieren
3) Microsoft EMET installieren und die Programme damit konfigurieren
4) Onlinebanking und dergleichen nur aus einem schreibgeschützten Linux System machen. Entweder überhaupt von einem schreibgeschützten USB Stick starten oder mit VirtualBox eine virtuelle Maschine installieren und das Image als CD-ROM einbinden. Letzteres ist bequemer weil es im laufenden Win System erledigt werden kann aber deswegen natürlich viel weniger sicher.
5) Online Shopping wo Zb Kreditkarteninformationen eingegeben werden auch in einer virtuellen Maschine starten. ZB ein kleines Linux wo nur ein Webbrowser läuft - mehr brauchts ja nicht. Es gilt natürlich auch hier das gleiche wie bei 5)

Aber das Skript ist an sich nicht uncool - so eine Art AntiSpy für Win7.
Nur meine 2 Cents..

Deswegen sollte man Funktionen nur deaktivieren, wenn man auch weiß wozu sie sind!

RLY??!! wollts einfach probiern SORRY!

ginge beides, wobei das gui sicher netter wäre
man könnte aber im prompt auch die jeweilige option erklären
das gui hätte eventuell noch den vorteil das man verschiedene presets an einstellungen laden/speichern könnte

irgendwie würds mich ja reizen sowas zu machen, hab eh schon ewig nix mehr getan, aber wenn dann könnt ichs nur in c# dablasen und wennst dann für sowas zuvor .net framework installieren musst is es auch wieder irgendwo fad

Windows 7 kam mit .NET Framework 3.5, also wenn du nicht in einem höheren Framework entwickelst muss keines zusätzlich installiert werden

@stevke: stimmt
bei win8 is standardmäßig dann wiederum nur 4 vorinstalliert und 3 zum nachinstallieren