mr.nice.
differential image maker
|
Hallo Leute, ich habe mich heute hingesetzt und für den Privat-PC ein Skript erstellt, welches von mir nicht benötigte Interfaces und Dienste deaktiviert, wie auch Internet Explorer und Windows Media Player deinstalliert. Hintergedanken sind ein schnelles und schlankes Windows 7 x64, weniger Einfallstore für Eindringlinge, ohne dass die wichtigsten Funktionen beeinträchtigt sind und IPv4-Konnektivität weiterhin besteht. Falls jemand Ergänzungen hat sind diese gern gesehen! Update, Februar 2016:Das Skript schaltet mehr Dienste ab als den meisten Leuten lieb ist, deshalb empfehle ich die Verwendung von der Freeware Easy Services Optimizer 1.2, wo man selbst anhand von Empfehlungen Dienste mittels GUI ausschalten kann. Download: http://www.majorgeeks.com/files/det..._optimizer.htmlWeiterführende Informationen für alle aktuellen Windows Versionen: http://www.winfaq.de/faq_html/Conte...p?h=tip0995.htmhttp://www.blackviper.com/service-configurations/Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden!Benützung auf eigene Gefahr!NetBios deaktvieren: wmic nicconfig where TcpipNetbiosOptions=0 call SetTcpipNetbios 2
wmic nicconfig where TcpipNetbiosOptions=1 call SetTcpipNetbios 2
Unnötige Services ausschalten: rem Aero Lookup Service
sc config "AeLookupSvc" start= disabled
rem disable file and print sharing
sc config "LanmanServer" start= disabled
rem Lanmanager Workstation Service
sc config "LanmanWorkstation" start= disabled
rem Diagnostics Policy Service
sc config "DPS" start= disabled
rem set WIA to on demand
sc config "stisvc" start= demand
rem disable Program Compatibility Assistent
sc config "PcaSvc" start= disabled
rem disable Windows Mobile ActiveSync
sc config "RapiMgr" start= disabled
rem disable Windows CE connectivity
sc config "WcesComm" start= disabled
rem disable RDP redirection
sc config "UmRdpService" start= disabled
rem disable System Event Notification Service, do NOT disable on notebooks!´
sc config "SENS" start= disabled
rem disable branch cache
sc config "PeerDistSvc" start= disabled
rem disable host system diagnosis
sc config "WdiSystemHost" start= disabled
rem disable Distributed Transaction Coordinator
sc config "MSDTC" start= disabled
rem disable DNS cache
sc config "Dnscache" start= disabled
rem disable interactive service detection
sc config "UI0Detect" start= disabled
rem disable ressource publication
sc config "FDResPub" start= disabled
rem disable IP-Helper service
sc config "iphlpsvc" start= disabled
rem disable IPsec Policy Agent
sc config "PolicyAgent" start= disabled
rem disable internet SCSI initiator
sc config "MSiSCSI" start= disabled
rem disable shadowcopy manager
sc config "swprv" start= disabled
rem disable Network Access Protection agent
sc config "napagent" start= disabled
rem set netprofm to on demand
sc config "netprofm" start= demand
rem disable offline files
sc config "CscService" start= disabled
rem disable P2P IPv6 identification
sc config "p2pimsvc" start= disabled
sc config "p2psvc" start= disabled
rem disable Peer Name Resolution Protocol
sc config "PNRPsvc" start= disabled
sc config "PNRPAutoReg" start= disabled
rem disable PnP-X-IP
sc config "IPBusEnum" start= disabled
rem disable Lan Browser
sc config "Browser" start= disabled
rem disable Simple Network Management Protocol
sc config "SNMPTRAP" start= disabled
rem disable Simple Service Discovery Protocol
sc config "SSDPSRV" start= disabled
rem disable tablet input service
sc config "TabletInputService" start= disabled
rem disable Network Location Awareness
sc config "NlaSvc" start= disabled
rem disable Network Topology Discovery
sc config "LLTDSVC" start= disabled
rem disable NTFS-Shortcuts on networks
sc config "TrkWks" start= disabled
rem disable telephony and fax services
sc config "TapiSrv" start= disabled
rem disable fax service
sc config "Fax" start= disabled
rem disable internet time sync
sc config "W32Time" start= disabled
rem disable Smartcards and Fingerprint Scanners
sc config "SCardSvr" start= disabled
rem disable Smartcard Certificates
sc config "CertPropSvc" start= disabled
rem disable WWAN autoconfig
sc config "WwanSvc" start= disabled
rem disable HID-Device access and special buttons
sc config "hidserv" start= disabled
rem disable WinHTTPAutoProxySvc
sc config "WinHttpAutoProxySvc" start= disabled
rem disable WebDAV functions
sc config "Webclient" start= disabled
rem disable Trusted Platform Module
sc config "TBS" start= disabled
rem disable Media Player network sharing
sc config "WMPNetworkSvc" start= disabled
rem disable Media Center Receiver service
sc config "ehRecvr" start= disabled
rem disable Media Center Scheduler
sc config "ehSched" start= disabled
rem disable Windows Search
sc config "WSearch" start= disabled
rem disable biometric services
sc config "WbioSrvc" start= disabled
rem disable network WMI functions
sc config "wmiApSrv" start= disabled
rem don't send errors to Microsoft
sc config "WerSvc" start= disabled
rem don't search for solutions online
sc config "wercplsupport" start= disabled
rem disable Universal Plug & Play
sc config "upnphost" start= disabled
rem disable Windows Remote Management service
sc config "WinRM" start= disabled
rem disable auto RAS-connections
sc config "RasAuto" start= disabled
rem disable NetBIOS over TCP/IP helper
sc config "lmhosts" start= disabled
rem disable Windows Event Collector service
sc config "Wecsvc" start= disabled
rem disable light sensor service
sc config "SensrSvc" start= disabled
rem disable bluetooth server
sc config "bthserv" start= disabled
Fragwürdige interfaces ausschalten: netsh int ipv6 isatap set state disabled
netsh int ipv6 6to4 set state disabled
netsh int teredo set state disabled
Registry Tweaks: rem disable active probing
reg add "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet" /v "EnableActiveProbing" /t "REG_DWORD" /d "0" /f
rem disable windows scripting host
reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v "Enabled" /t "REG_DWORD" /d "0" /f
Uninstall IE & WMP: rem Windows Media Player
start /w ocsetup WindowsMediaPlayer /uninstall
rem Internet Explorer
dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64
Hier all in one: http://pastebin.com/RcWddU4D
|
Nico
former person of interest
|
danke, sowas hatte ich schon für mich im sinn. Sollte noch das OS dabeistehen. Vielleicht der auftakt zu einer oc.at-sicherheitsecke! 
|
flying_teapot
Undiskutant
|
oc.at sicherheitsecke könnte doch locker das Treiber Subforum als "Driver+Bios+Antivirus" aufwerten.
ftp.
Bearbeitet von flying_teapot am 24.11.2013, 23:54
|
Indigo
raub_UrhG_vergewaltiger
|
nett, hab ich gleich mal kopiert und für mich angepasst 
|
Valera
Here to stay
|
Hmm... naja, das Skript dreht aber recht undifferenziert so ziemlich alles ab. Also da muß ich den Hinweis "Dieses Skript sollte keinesfalls ohne Studium und ggf. notwendige Modifikationen ausgeführt werden." nochmals deutlich wiederholen. Der Sicherheitsgewinn ist dabei meiner Meinung nach aber eher minimal - natürlich vermeidet jeder nicht laufende Dienst einen Einbruch der einen Fehler darin ausnutzt. Aber wenn ich mir die Sicherheitsprobleme in letzter Zeit ansehe, so sind die Einfallstore eher Programme wie Adobe, Java, Browser.. Wer um die Sicherheit des System so in Sorge ist, sollte auf jeden Fall 1) Die UAC aktiviert lassen (ja, es gibt Leute die drehen die ab). 2) Die Datenausführungsverhinderung für alle Programme aktivieren 3) Microsoft EMET installieren und die Programme damit konfigurieren 4) Onlinebanking und dergleichen nur aus einem schreibgeschützten Linux System machen. Entweder überhaupt von einem schreibgeschützten USB Stick starten oder mit VirtualBox eine virtuelle Maschine installieren und das Image als CD-ROM einbinden. Letzteres ist bequemer weil es im laufenden Win System erledigt werden kann aber deswegen natürlich viel weniger sicher. 5) Online Shopping wo Zb Kreditkarteninformationen eingegeben werden auch in einer virtuellen Maschine starten. ZB ein kleines Linux wo nur ein Webbrowser läuft - mehr brauchts ja nicht. Es gilt natürlich auch hier das gleiche wie bei 5) Aber das Skript ist an sich nicht uncool - so eine Art AntiSpy für Win7.  Nur meine 2 Cents..
|
-caRty-
Here to stay
|
könnts sein, das nach dem script kein zugriff auf ein share im lokalen netzwerk mehr möglich ist?!
|
Neo-=IuE=-
Here to stay
|
Deswegen sollte man Funktionen nur deaktivieren, wenn man auch weiß wozu sie sind!
|
userohnenamen
leider kein name
|
man könnte die liste ja mit etwas genaueren beschreibungen erweitern und dann gegebenenfalls noch ein tool basteln zur aktiven auswahl was man will
|
-caRty-
Here to stay
|
RLY??!! wollts einfach probiern SORRY!
|
Nico
former person of interest
|
du meinst ein gui oder nur ja/nein im prompt?
|
userohnenamen
leider kein name
|
ginge beides, wobei das gui sicher netter wäre
man könnte aber im prompt auch die jeweilige option erklären
das gui hätte eventuell noch den vorteil das man verschiedene presets an einstellungen laden/speichern könnte
irgendwie würds mich ja reizen sowas zu machen, hab eh schon ewig nix mehr getan, aber wenn dann könnt ichs nur in c# dablasen und wennst dann für sowas zuvor .net framework installieren musst is es auch wieder irgendwo fad
|
Nico
former person of interest
|
so ein oc.at-win7-hardening-tool in c-sharp mit profilen im xml-format, aller klar.
|
stevke
in the bin
|
Windows 7 kam mit .NET Framework 3.5, also wenn du nicht in einem höheren Framework entwickelst muss keines zusätzlich installiert werden
|
Denne
Here to stay
|
Ist ne gute Idee. Hätte leider nur Java anbieten können :/
|
userohnenamen
leider kein name
|
@stevke: stimmt bei win8 is standardmäßig dann wiederum nur 4 vorinstalliert und 3 zum nachinstallieren 
|
Anmeldung