Der dritte Teil unserer Ratgeberserie zu den Diensten von Windows 7 beschäftigt sich mit den Diensten rund um die Sicherheit der Windows-7-Installation. Dabei gehen wir auf die Dienste rund um VPN, die Verschlüsselung und die Windows-eigenen Sicherheitskomponenten ein.
Neben den normalen Diensten stellen wir Ihnen außerdem die so genannten Godmodes von Windows 7 vor. Dabei handelt es sich im Grund um Verknüpfungen zu bestimmten Systemfunktionen. Diese Shortcuts sind keine offizielle Funktion von Windows 7, lassen sich aber relativ einfach nachrüsten.
Der Artikel ist Teil unserer Serie rund um die Dienste in Windows 7. Im ersten Teil haben wir einen allgemeinen Blick auf die allgemeinen Dienste geworfen. Zusätzlich beschreiben wir, wie Scripte aufgebaut sind, mit denen einzelne Dienste gestartet oder gestoppt werden können. Teil 2 legte den Fokus auf die Netzwerk-Dienste.
TecChannel liefert zu jedem Dienst einen Info-Kasten. Darin finden sich nicht nur die die verschiedenen Abhängigkeiten, sondern auch die Kurznamen der einzelnen Dienste. Diese benötigen Sie beispielsweise, wenn Sie Scripte erstellen oder für Windows 7 anpassen möchten.
IPSec und VPN
Der sichere Netzwerkzugriff auf firmeninterne Ressourcen ist in der modernen Arbeitswelt kaum mehr weg zu denken. In den meisten Fällen kommt dafür eine VPN-Technologie wie IPSec, SSL-VPN oder das in Windows 7 neu integrierte Direct Access zum Einsatz. Einer der grundlegenden Dienste ist hier beispielsweise das Extensible Authentication-Protokoll. Damit regelt Windows beispielsweise die Netzwerkauthentifizierung für 802.1x-Systeme oder VPN. Der Dienst besitzt den Starttyp, starte also erst, wenn er von einer Windows-Komponente benötigt wird.
Ebenso wichtig sind die IKE- und AuthIP IPsec-Schlüsselerstellungsmodule. In Umgebungen mit IPSec wird dieser Dienst für den Austausch und die Verifizierung von Schlüsseln verwendet - ist er deaktiviert, kann es sein, dass IPSec-Verbindungen fehlschlagen. Ebenfalls unverzichtbar ist der IPsec-Richtlinien-Agent. Er zwingt das System dazu, dass entsprechende IPSec-Richtlinien umgesetzt werden.
Wer in seiner Umgebung auf Sicherheitstechnologien wie NAP setzt, dem hilft der Dienst Integritätsschlüssel und Zertifikatverwaltung. Er kümmert sich um die X.509-Zertifikate und Schlüsselverwaltungsdienste.
In diesem Bereich kann man relativ wenig optimieren. Die Dienste sind einfach notwendig, wenn man eine gesicherte Verbindung in ein LAN aufbauen möchte.
|
Dienstname |
Extensible Authentication-Protokoll |
|---|---|
|
Kurzname |
EapHost |
|
Default-Starttyp |
Manuell |
|
Abhängig von |
CNG-Schlüsselisolation Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
Automatische Konfiguration (verkabelt) Automatische WLAN-Konfiguration |
|
Dienstname |
IKE- und AuthIP IPsec-Schlüsselerstellungsmodule |
|---|---|
|
Kurzname |
IKEEXT |
|
Empfohlener Starttyp |
Manuell / Automatisch |
|
Abhängig von |
Basisfiltermodul |
|
Abhängige Dienste |
- |
|
Dienstname |
IPsec-Richtlinien-Agent |
|---|---|
|
Kurzname |
PolicyAgent |
|
Default-Starttyp |
Manuell |
|
Abhängig von |
Basisfiltermodul, TCP/IP-Protokolltreiber |
|
Abhängige Dienste |
- |
Verschlüsselung, Kennwörter und Bitlocker
Seit Windows Vista bietet Microsoft Bitlocker, eine eigene Lösung zur Verschlüsselung von Laufwerken und Speicher-Sticks. Naturgemäß sind deswegen die passenden Dienste in den Windows-Installationen vorhanden - aber nicht immer notwendig. Kurz gesagt: Wer in seiner Umgebung keine Laufwerksverschlüsselung nutzt, kann die hier vorgestellten Dienste zunächst einmal stoppen.
Dreh- und Angelpunkt der Bitlocker-Funktion ist der Dienst namens Bitlocker-Laufwerksverschlüsselungsdienst. Er beeinflusst keine andern Dienste und wird von Windows nur bei Bedarf gestartet.
Deutlich wichtiger ist dagegen der Dienst Geschützte Speicher. Er sorgt dafür, dass sensible Daten, etwa Passwörter sicher aufgehoben sind. Zudem verhindert er, dass nicht autorisierte Programme oder Nutzer Zugriff darauf haben. Geschützte Dienste ist anders als Bitlocker ein zentraler Bestandteil und sollte nicht gestoppt werden. Ähnlich wichtig sind die Kryptografiedienste. Sie sorgen dafür, dass Windows beispielsweise Signaturen von Dateien bestätigen kann und machen die Aktualisierung von Stammzertifikaten möglich.
Der Service Verschlüsselndes Dateisystem (EFS) ist dagegen nicht zwingend notwendig. Der Dienst stellt die Technologie zum Verschlüsseln von NTFS-Dateisystemen bereit. Er ist eigentlich nur notwendig, wenn Anwender auf solche Dateien zugreifen sollen. Wer keine Verschlüsselung oder eine andere Technologie einsetzt, kann den Dienst stoppen.
|
Dienstname |
Bitlocker-Laufwerksverschlüsselungsdienst |
|---|---|
|
Kurzname |
BDESVC |
|
Default-Starttyp |
Manuell |
|
Abhängig von |
- |
|
Abhängige Dienste |
- |
|
Dienstname |
Geschützte Speicher |
|---|---|
|
Kurzname |
ProtectedStorage |
|
Default-Starttyp |
manuell |
|
Abhängig von |
Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
- |
|
Dienstname |
Kryptografiedienste |
|---|---|
|
Kurzname |
CryptSvc |
|
Default-Starttyp |
Automatisch |
|
Abhängig von |
Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
Awendungsidentität |
|
Dienstname |
Verschlüsselndes Dateisystem (EFS) |
|---|---|
|
Kurzname |
EFS |
|
Default-Starttyp |
Automatisch |
|
Abhängig von |
Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
Firewall, Defender und Co.
Windows 7 bietet einen rudimentären Schutz gegen Malware und andere Attacken. Dazu gehören beispielsweise der Windows Defender oder die Firewall - aber auch das Sicherheitscenter oder Windows Update. Sämtliche Funktionen bringen die passenden Dienste mit. Dennoch sollten die integrierten Funktionen lediglich als Grundschutz angesehen werden, der mit Produkten von Drittherstellern verbessert werden sollte.
Interessant ist der Dienst Sicherheitscenter. Er stellt die Kontrollfunktionen über alle anderen Sicherheitsfunktionen - wie eben Firewall oder Updates, aber auch das Zonenmodell es Internet Explorers - zur Verfügung. Zusätzlich können sich Dritthersteller über die APIs dieses Dienstes beim Sicherheitscenter anmelden.
|
Dienstname |
Sicherheitscenter |
|---|---|
|
Kurzname |
wscsvc |
|
Default-Starttyp |
Automatisch (verzögerter Start) |
|
Abhängig von |
Remoteprozeduraufruf (RPC) Windows-Verwaltungsintrumentation |
|
Abhängige Dienste |
- |
|
Dienstname |
Windows Defender |
|---|---|
|
Kurzname |
WinDefend |
|
Default-Starttyp |
Automatisch (verzögerter Start) |
|
Abhängig von |
Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
|
Dienstname |
Windows Update |
|---|---|
|
Kurzname |
wuauserv |
|
Default-Starttyp |
Automatisch (verzögerter Start) |
|
Abhängig von |
Remoteprozeduraufruf (RPC) |
|
Abhängige Dienste |
|
Dienstname |
Windows-Firewall |
|---|---|
|
Kurzname |
MpsSvc |
|
Default-Starttyp |
Automatisch |
|
Abhängig von |
Basisfiltermodul Windows-Firewallautorisierungstrieber |
|
Abhängige Dienste |
Godmode - die Abkürzungen zur Systemkonfiguration
Der Begriff Godmode hat sich mittlerweile für die Verknüpfungen zu bestimmten Systemfunktionen in Windows 7 eingebürgert - auch mangels einer offiziellen Alternative. Hinter dem Godmode stehen verschiedene Kombinationen, über die man direkt auf einzelne Systemeinstellungen zugreifen kann. Diese Verknüpfungen sind relativ einfach anzulegen - wenn man die korrekte Kombination aus Buchstaben und Zahlen kennt. Allerdings sind diese Verknüpfungen nicht immer sicher - teilweise melden Nutzer, dass sie bestimmte Installationen von Windows zum Absturz brachten.
Die Prozedur lässt sich am einfachsten am Beispiel des ersten gefundenen Godmodes erklären. Dieser lautet {ED7BA470-8E54-465E-825C-99712043E01C} und gibt Zugriff auf eine ganze Reihe von Systemfunktionen. Um ihn in eine Verknüpfung zu verwandeln, muss man vor die geschweifte Klammer einen Punkt setzen, davor kommt eine beliebige Beschreibung. Nun legt man einen neuen Ordner an einer beliebigen Stelle im System an und kopiert den kompletten String, etwa GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}, als Namen in den Ordner. Voila, das Icon sollte sich ändern und man hat eine aktive Verknüpfung zu den Systemeinstellungen. In der Tabelle finden Sie weitere Strings.
|
Funktion |
String |
|
Netzwerkumgebung |
.{208D2C60-3AEA-1069-A2D7-08002B30309D} |
|
Computerleistung |
.{78F3955E-3B90-4184-BD14-5397C15F1EFC} |
|
Windows-Firewall |
.{4026492F-2F69-46B8-B9BF-5654FC07E423} |
|
Remoteverbindung |
.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} |
|
Drucker |
.{2227A280-3AEA-1069-A2DE-08002B30309D} |
|
Computer |
.{20D04FE0-3AEA-1069-A2D8-08002B30309D} |
|
Drahtlosnetzwerke |
.{1FA9085F-25A2-489B-85D4-86326EEDCD87} |
|
Standardprogramme |
.{17cd9488-1228-4b2f-88ce-4298e93e0966} |
|
Netzwerkinstallation |
.{15eae92e-f17a-4431-9f28-805e482dafd4} |
|
Windows Tresor |
.{1206F5F1-0569-412C-8FEC-3204630DFB70} |
|
Benachrichtigungen |
.{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9} |
|
Energieeinstellungen |
.{025A5937-A6BE-4686-A844-36FE4BEC8B6D} |
|
Biometrie |
.{0142e4d0-fb7a-11dc-ba4a-000ffe7ab428} |
|
Standortdienste |
.{00C6D95F-329C-409a-81D7-C46C66EA7F33} |
|
GodMode |
.{ED7BA470-8E54-465E-825C-99712043E01C} |
Fazit
Im Bereich Windows-7-Sicherheit sollte man am besten nichts optimieren. Der Vorteil von Windows 7 gegenüber den Vorgängern ist aber, dass das Betriebssystem zwar viele Dienste mitbringt, allerdings längst nicht alle automatisch startet. So erreicht man durch eigene Optimierung längst nicht immer das gewünschte Ergebnis, im Gegenteil, die Stabilität und die Funktionalität kann durchaus leiden. Vor allem Dienste wie der Remoteprozeduraufruf (RPC) klingen zunächst nichtssagend - Tatsache ist aber, dass zahlreiche anderen Services ihn für den korrekten Ablauf benötigen.
Sieht man sich die einzelnen Dienste und ihre internen Dienstnamen an, so merkt man schnell, welche bereits seit den Anfängen von Windows integriert sind. Nutzen die Entwickler von Redmond zu Beginn teilweise kryptische Kürzel, sind die Dienste von Windows 7 deutlich verständlicher benannt.
Praktisch, wenn auch nicht bei der Konfiguration der Dienste, sind die Godemode-Verknüpfungen. Durch diese cleveren Ordner hat man die wichtigsten Systemfunktionen schnell zur Hand, ohne dass man langwierig durch Menüs steuern muss. (hal)