Dienste sicher konfigurieren unter Windows 2000/XP - ntsvcfg.de
===============================================================
v1.0
Die Urform mit dem Ziel, den Abschnitt "Einstellungen der
Startart der Dienste" von www.kssysteme.de automatisch ausführen
zu lassen. Der Gedanke dazu ergibt sich schnell, wenn man mehrere
Rechner konfigurieren muß. Ohne den Parameter "/all" bleiben Grund-
funktionen wie SMB, NetBIOS o.ä. für das LAN in gewissem Umfang
erhalten.
v1.01, v1.02
Kleinere Bugfixes und Anpassungen
v1.03
- Der Parameter "/restore" wurde hinzugefügt. Somit werden vor jeder
Veränderung Sicherheitskopien der entsprechenden Registry-Schlüssel
angelegt, um bei Problemen die vorgenommenen Änderungen zurücknehmen
zu können. Diese Funktion wurde getestet und arbeitet fehlerfrei.
- Mitttels "/lan" können geziehlt Einstellungen und Dienste aktiviert
werden, die für einen Betrieb im LAN notwendig sind.
v1.04
Kleinere Bugfixes und Anpassungen
v1.05_beta
Zusätzlich wurden in dieser Version weitere Maßnahmen nach
www.kssysteme.de aufgenommen, um diese ebenfalls automatisiert
durchführen zu können:
->DCom:
standardmäßig wird auch DCOM deaktiviert und die Standardprotokolle
werden entfernt
->NEtBios:
Der NetBios-Dienst (NetBT) wird beendet und deaktiviert.
v1.06_beta
In Änderung zur v1.05 wird der NetBios-Dienst nicht mehr
deaktiviert/beendet, sondern anstelle dessen SMB abgeschaltet.
Dadurch bleibt die NetBIOS-Funktionalität erhalten, kann jetzt aber
weiterhin für jeden Netzwerk-Adapter (Netzwerkkarte)getrennt festge-
legt werden. Lt. kssysteme wird dringlich empfohlen, NetBIOS bei der
Internet-Verbindung zu deaktivieren. Innerhalb des LAN (intern) kann
NetBios aber weiterhin aktiv bleiben (z.B. für Freigaben,
Netzwerk-Drucker).
->DHCP:
es wird geprüft, ob DHCP verwendet wird. Dies ist z.B. bei einigen
Konfigurationen, die über DSL mit dem Internet verbunden sind und
keine statische IP zugewiesen bekommen, notwendig. Wird DHCP verwen-
det, erfolgt keine Änderung des Dienstes. Ist DHCP nicht aktiv, wird
als Starttyp "manuell" festgelegt.
v1.07_beta
Es gibt für Win2000 und Windows XP nur noch ein Script für beide
Betriebssysteme. Es wird selbstständig erkannt, welches gerade
verwendet wird. Außerdem wird nun kurz geprüft, ob die Datei SC.EXE
aufgerufen werden kann.
v1.1 Final Release
Die Version 1.07 wurde noch einmal unter Windows 2000 und XP
getestet und es wurden keine Fehler registriert. Daher wurde sie
jetzt offiziell zum Download freigegeben und besitzt nun keinen Beta
Status mehr. Trotzdem ist nicht ausgeschlossen, daß noch Fehler im
Quellcode stecken, welche aber dankend durch den Autor zur Kenntnis
genommen werden.
v1.1_build0
Ergänzend zur den Änderungen in Version 1.1 wurde der Speicherpfad
für .REG-Sicherungsdateien von C:\ auf %WINDIR% umgeleitet. Ob hierfür
(Schreib-)rechte vorhanden sind, wird vorher überprüft.
v1.1_build1
Der Speicherpfad wurde erneut geändert und zeigt nun auf das Home-
Verzeichnis des jeweiligen Benutzers (%USERPROFILE%). Desweiteren
sind Meldungen jetzt auf Englisch, wichtige Dialoge und
Fehlermeldungen erscheinen in Deutsch und Englisch. Auch wurden
systemspezifische Aufrufe an US-versionen angepaßt (im Moment wird
nur die US-Version von Windows2000 zusätzlich unterstützt!). Die
Erkennung der notwendigen Rechte zum Ausführen dieses Skriptes ist
verbessert und korrigiert worden.
v1.1_build2
Kleiner Bugfix beim Erzeugen der Registrierungsdateien.
v1.1_build3
Der "Nachrichtendienst" wurde geändert. Bisher wurde er nur bei Aufruf
mit dem Parameter /all überhaupt geändert und auf "Manuell" gesetzt.
Jetzt wird er immer deaktivert und falls er läuft, beendet.
v1.1_build3
Kleiner Bugfix bei Bildschirmausgabe "This script works only on
Windows 2000/XP machines!"
v1.1_build4/5
Fehler behoben: Optionen sind nun nicht mehr "case-sensitiv",
Textausgabefehler behoben
v1.1_build6
Messenger: doppelter Aufruf/Deaktivierung korrigiert
Skript trägt nun die Endung .CMD, was für NT-Systeme üblicher ist
v2.0_beta0 (21.12.2003)
Mit viel Hilfe von Ansgar Wiechers wurde der komplette Programmcode
optimiert. Einige Routinen wurden verbessert und das Skript ist nun
für andere besser nachvollziehbar und anpassbar, da strukturierter.
v2.0_beta1 (23.12.2003)
Es wurden einige Tests unter Windowx XP duchgeführt. Dabei wurden
einzelne Fehler in Dialogen gefunden und behoben. Die Funktionalität
blieb davon unbeeinträchtigt.
v2.0_build0 (27.12.2003)
Nach erweiterten Testdurchläufen ist die Version 2.0 des Skriptes
freigegeben. Es wurden einige kleinere Bugs gefixt, Dialoge ange-
paßt und ein einfaches Auswahlmenü hinzugefügt.
v2.0_build1 (27.12.2003)
Nach Problemen mit dem Benutzernamen (Name mit Leerzeichen) in
Verbindung mit der Rechte-Überprüfung wurde dieses nun behoben.
v2.0_build2 (28.12.2003)
Erstmalig wurde eine Installationsroutine für die Datei SC.EXE
implementiert, falls diese noch nicht existiert. Diese Funktion
befindet sich noch im Beta-Stadium!
v2.0_build3 (8.1.2004)
Der Header bei generierten REG-Dateien wurde auf "REGEDIT4" an-
gepasst, um mögliche Kompatibilitätsprobleme beim Import
hinsichtlich Unicode zu vermeiden.
v2.0_build4 (19.1.2004)
Das Problem "Die Überprüfung der erforderlichen Rechte schlägt
fehl, wenn ein Domänenbenutzer angemeldet ist" wurde behoben.
v2.0_build5 (9.2.2004)
Kleinere Bugfixes. Das Script wird ab sofort unter der
GNU General Public License angeboten.
v2.0_build6 (3.3.2004)
Unter Windows XP gibt es möglicherweise Probleme nach Ausführung
des Skriptes, wenn WLAN-Netzwerkverbindungen exisitieren. Die
Behandlung des Dienstes "WZCSVC" wurde aufgehoben.
v2.0_build7 (9.4.2004)
Es wurden Änderungen bei den Diensten "Automatische Updates"
sowie "Taskplaner" vorgenommen. Bisher wurden beide Dienste
angehalten und deaktivert. Ab sofort sind sie von der Behandlung
durch das Script ausgenommen.
Um trotzdem eine Bindung an das externe Interface zu vermeiden,
wird der Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\ClientProtocols]
gelöscht und folgender ergänzt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"PortsInternetAvailable"="N"
"UseInternetPorts"="N"
Desweiteren wurden folgende Keys erweitert
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
append: "EnableDCOMHTTP"="N"
append: "EnableRemoteConnect"="N"
sowie entfernt:
[-HKEY_CLASSES_ROOT\AIM]
[-HKEY_CLASSES_ROOT\gopher]
[-HKEY_CLASSES_ROOT\telnet]
v2.0_build8 *Preview, not published* (16.4.2004)
Die Behandlung der Dienste "Automatische Updates" sowie "Taskplaner"
werden vorraussichtlich folgendermaßen geändert:
(1) Standard: Dienste bleiben unberührt
(2) /all : Dienste werden beendet und deaktiviert (hardening)
Es wurden Programmfehler behoben, die möglicherweise Probleme
verursachen könnten (Pfadangaben sowie Benutzer-Login mit Leerzeichen).
v2.1_build0 (25.4.2004)
Die Benutzeroberfläche wurde verändert, um nun 3 Szenarien
(LAN, Standard, ALL) anbieten zu können; der Quellcode und die Dienste-
behandlung wurde dementsprechend angepasst.
NetBios wird ab dieser Version global an allen NIC-Interfaces deaktiviert,
sofern WSH (Windows Scripting Host) korrekt installiert ist.
v2.1_build1 (15.5.2004)
Das Problem mit dem Taskplaner unter WindowsXP (Taskplaner konnte nicht
gestartet werden - "Systemfehler 87. Falscher Parameter"). wurde in der
aktuellen Version behoben.
WindowsXP: Die Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"PortsInternetAvailable"="N"
"UseInternetPorts"="N"
werden unter WinXP nur noch bei Auswahl des Parameters "/ALL" angelegt.
Bitte beachten Sie, dass hierdurch moeglicherweise nicht alle Ports
geschlossen werden können. Überprüfen Sie daher mittels eines Portscanners
(z.B.