Unwichtige Dienste in Server 2019 deaktivieren

Das Deaktivieren nicht benötigter Dienste gehört zwingend zu jeder Installation von Windows Server 2016 und 2019. Aus Sicht der Performance spielt diese Maßnahme eine weniger große Rolle, denn die meisten optionalen Dienste hat Microsoft von Haus aus im Status „Manuell“ konfiguriert. Sie werden also nur gestartet, wenn sie benötigt werden. Ganz anders sieht es aber beim Thema Sicherheit aus: Jeder Dienst, der gestartet werden kann, stellt ein potentielles Angriffsziel dar.

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

Welche Dienste in Server 2019 deaktivieren?

Dabei stellt sich zunächst die Frage, welche Dienste kann ich überhaupt unter Windows Server 2019 deaktivieren und welche sind vielleicht doch wichtig. Glücklicherweise stellt Microsoft eben diese Informationen selbst beriet. In diesem Technet Blogbeitrag könnt Ihr Euch ein Excel Dokument herunterladen, dass Euch über die empfohlenen Einstellungen aufgeklärt.

Ich habe mir einmal die Mühe gemacht, ein Powershell-Skript zu schreiben, mit dem Ihr genau diese Einstellungen in einem Rutsch umsetzen könnt. Das Skript ist in vier Bereiche unterteilt, welche je nach Einsatzzweck zur Anwendung kommen können:

Die beiden XBox-Live Dienste empfiehlt Microsoft zu deaktivieren:

Set-Service "XblAuthManager" -StartupType disabled #XBOX Live Authentifizierung 
Set-Service "XblGameSave" -StartupType disabled #XBOX Live-Spiele speichern

Ich denke, diese Einstellung bedarf keiner Erklärung. Im Business Umfeld dürften diese Dienste auch nie zur Anwendung kommen.

Diese Dienste können bedenkenlos deaktiviert werden

Jetzt wird es aber erst richtig interessant: Nicht weniger als 38 Dienste stehen mit dem Status „OK to disable“ auf der Liste. Je nach Einsatzzweck solltet Ihr natürlich prüfen, ob der ein oder andere Dienst nicht doch von irgendeiner Serveranwendung benötigt wird. Für gewöhnlich könnt Ihr aber die nachfolgenden Dienste komplett auf „Deaktiviert“ stellen.

Set-Service "MapsBroker" -StartupType disabled #Manager für heruntergeladene Karten
Set-Service "lfsvc" -StartupType disabled #Geolocation-Dienst
Set-Service "AxInstSV" -StartupType disabled #ActiveX-Installer (AxInstSV)
Set-Service "bthserv" -StartupType disabled #Bluetooth-Unterstützungsdienst
Set-Service "CDPUserSvc" -StartupType disabled #CDPUserSvc
Set-Service "PimIndexMaintenanceSvc" -StartupType disabled #Kontaktdaten
Set-Service "dmwappushservice" -StartupType disabled #dmwappushsvc (WAP Push-Nachrichtenroutingdienst)
Set-Service "SharedAccess" -StartupType disabled #Gemeinsame Nutzung der Internetverbindung
Set-Service "lltdsvc" -StartupType disabled #Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm
Set-Service "wlidsvc" -StartupType disabled #Anmelde-Assistent für Microsoft-Konten /ACHTUNG: appx-Pakete nicht mehr ausführbar
Set-Service "NgcSvc" -StartupType disabled #Microsoft Passport
Set-Service "NgcCtnrSvc" -StartupType disabled #Microsoft Passport-Container
Set-Service "NcbService" -StartupType disabled #Netzwerkverbindungsbroker
Set-Service "PhoneSvc" -StartupType disabled #Telefondienst
Set-Service "PcaSvc" -StartupType disabled #Programmkompatibilitäts-Assistent-Dienst
Set-Service "QWAVE" -StartupType disabled #Verbessertes Windows-Audio/Video-Streaming
Set-Service "RmSvc" -StartupType disabled #Funkverwaltungsdienst
Set-Service "SensorDataService" -StartupType disabled #Sensordatendienst
Set-Service "SensrSvc" -StartupType disabled #Sensorüberwachungsdienst
Set-Service "SensorService" -StartupType disabled #Sensordienst
Set-Service "ShellHWDetection" -StartupType disabled #Shellhardwareerkennung
Set-Service "ScDeviceEnum" -StartupType disabled #Smartcard-Geräteaufzählungsdienst
Set-Service "SSDPSRV" -StartupType disabled #SSDP-Suche
Set-Service "WiaRpc" -StartupType disabled #Ereignisse zum Abrufen von Standbildern
Set-Service "OneSyncSvc" -StartupType disabled #Synchronisierungshost
Set-Service "TabletInputService" -StartupType disabled #Dienst für Bildschirmtastatur und Schreibbereich
Set-Service "upnphost" -StartupType disabled #UPnP-Gerätehost
Set-Service "UserDataSvc" -StartupType disabled #Benutzerdatenzugriff
Set-Service "UnistoreSvc" -StartupType disabled #Benutzerdatenspeicher
Set-Service "WalletService" -StartupType disabled #WalletService
Set-Service "Audiosrv" -StartupType disabled #Windows-Audio
Set-Service "AudioEndpointBuilder" -StartupType disabled #Windows-Audio-Endpunkterstellung
Set-Service "FrameServer" -StartupType disabled #Windows-Kamera-FrameServer
Set-Service "stisvc" -StartupType disabled #Windows-Bilderfassung (WIA)
Set-Service "wisvc" -StartupType disabled #Windows-Insider-Dienst
Set-Service "icssvc" -StartupType disabled #Windows-Dienst für mobile Hotspots
Set-Service "WpnService" -StartupType disabled #Windows-Pushbenachrichtigungssystemdienst
Set-Service "WpnUserService" -StartupType disabled #Windows-Pushbenachrichtigungs-Benutzerdienst

Die Dienste „Druckerwarteschlange“ und „Druckerweiterungen und -benachrichtigungen“ können abhängig vom Verwendungszweck des Servers ebenfalls deaktiviert werden.

Für den Fall, dass es sich bei dem Server nicht um einen Printserver (Druckdienste) handelt, könnt Ihr beide Dienste beenden und deaktivieren. Bei einem Domänencontroller sollte der Dienst „Druckerwartschlange“ (Spooler) allerdings nicht deaktiviert werden.

# Wenn kein Printserver
Set-Service "PrintNotify" -StartupType disabled #Druckererweiterungen und -benachrichtigungen
# Wenn kein Printserver oder Domaämnencontroller
Set-Service "Spooler" -StartupType disabled #Druckerwarteschlange

Wie bereits oben genannt, geht es hierbei um den Sicherheitsaspekt. Einen großen Performancegewinn wird man durch diese Maßnahme nicht erreichen. Dennoch sollte man die unwichtigen Dienste in Server 2019 deaktivieren, um möglichst wenig Angriffsfläche für Schadsoftware zu bieten.

Ebenfalls interessant:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen. Bitcoins gerne hier hin: 17zAdJSDYkukxeWFfSu5qjnmMtKamWzRuD.

6 Gedanken zu „Unwichtige Dienste in Server 2019 deaktivieren“

  1. im letzten Abschnitt ist ein Typo (Zeile 3 im Code)
    es müsste
    Set-Service „PrintNotify“ -StartupType disabled #Druckererweiterungen und -benachrichtigungen
    heißen und nicht
    Set-Service „WpnUserService“ -StartupType disabled #Druckererweiterungen und -benachrichtigungen

    Antworten
  2. Sie sollten darauf Hinweisen, dass nach Ausführen der Zeile das Installieren von appx-Paketen nicht mehr möglich ist. Er kann die Lizenz nicht mehr laden/generieren.
    Set-Service „wlidsvc“ -StartupType disabled #Anmelde-Assistent für Microsoft-Konten

    Antworten
  3. Schade dass in dem Technet Blog Artikel der Link zur Excel Tabelle nicht mehr geht.
    Gottseidank haben Sie die Liste in diesem Beitrag „gesichert“. Vielen Dank dafür.

    Antworten

Schreibe einen Kommentar