blog · git · desktop · images · contact & privacy · gopher


Windows XP: Unnötige Ports dichtmachen

Es gibt sicherlich so einige Guides, wie man Windows XP "sicher" einrichtet, aber die meisten beziehen sich entweder auf Firewalls oder legen es nicht darauf an, wirklich alle Systemports von Windows zu schließen. Daher nun der Versuch, einen Guide zu veröffentlichen, um bei Windows XP Professional mit Service Pack 2 alle überflüssigen Ports ohne eine Software-Firewall zu schließen.

Vorsicht: Es sollte klar sein, dass nach diesem Guide die Windows-Freigaben nicht mehr funktionieren - diese werden nämlich komplett deaktiviert. Auch gewisse andere Funktionen können beeinträchtigt oder deaktiviert werden (bspw. die interne Firewall). Daher bitte den Anweisungen nur dann folgen, wenn man auch eine grobe Vorstellung davon hat, was man tut.

– Nachtrag vom 18.07.2012: Ich habe diesen Eintrag eben noch einmal überflogen und mich an dem Wörtchen "überflüssig" gestört. Gerade im Zusammenhang mit dem obigen Warnhinweis sind die dichtgemachten Ports ja vielleicht gar nicht überflüssig. Als ich das damals schrieb, hatte ich im Wesentlichen FTP benutzt statt der Windows-Freigaben, weshalb ich sie nicht brauchte. Die Freude war dann einfach zu groß, als ich endlich herausgefunden hatte, wie man die Freigaben deaktivieren kann. ;)

TCPView

Um nachvollziehen zu können, was überhaupt Sache ist, benötigt man etwas wie TCPView, welches (mittlerweile) bei Microsoft bezogen werden kann und Freeware ist. Die rundimentäre Funktionsweise ist auch auf dieser Seite erklärt, ich gehe hier nicht näher darauf ein, da das Programm sowieso simpel ist.

XP Antispy

Sollte stets als allererstes gemacht werden, wenn man ein Windows XP neu aufspielt. Kann hier bezogen werden. Das kleine Programm ist dann zu starten und alle Optionen außer den Folgenden sollten aktiviert werden:

Natürlich kann man auch welche davon aktivieren, falls man das wünscht - kann aber nachteilige Effekte haben: Wird z.B. die Auslagerungsdatei beim Herunterfahren "gelöscht", so wird sie mit lauter Nullen überschrieben, was ewig dauert.

Ein Klick auf "Einstellungen übernehmen" und fertig.

Lösen der Protokolle von den Netzwerkinterfaces

Irgendwo stand, dass es genügt, z.B. die Windowsfreigaben nur von den Interfaces zu lösen, welche auch "sicher" werden sollen. Da Windows aber keine Sockets richtig bindet, sondern immer auf 0.0.0.0 hört, stehe ich dem etwas sehr skeptisch gegenüber, weshalb die folgenden Schritte für alle Netzwerkverbindungen gemacht werden sollten.

Dazu auf dem Desktop oder in der Systemsteuerung "Netzwerkumgebung" rechts anklicken -> "Eigenschaften". Nun den Reihe nach für jede Verbindung folgendes tun (falls eine Option bei dem ein oder anderen Interface nicht existiert, einfach überspringen):

Damit hätten wir schon einmal die Ports 137 bis 139 geschlossen.

epmap beenden

Wir starten "DCOMCNFG.EXE" per "Start" -> "Ausführen" oder sonstwie. Dort klicken wir dann der Reihe nach folgendes an: "Konsolenstamm" -> "Komponentendienste" -> "Computer". Der im folgenden auftauchende "Arbeitsplatz" wird rechts angeklickt und "Eigenschaften" ausgewählt.

Im Tab "Standardeigenschaften" nun den Haken vor "DCOM ... aktivieren" entfernen. Den Tab "Standardprotokolle" aufrufen und alle dort gelisteten Protokolle entfernen.

Falls einer der Tabs nicht sichtbar ist, muss vorrübergehend der Dienst "Distributed Transaction Coordinator" aktiviert werden.

Nach einem Reboot des Rechners sollte nun auch Port 135 dicht sein.

Dienste deaktivieren

Der nächste Schritt ist nun, alle überflüssigen Hintergrundprogramme zu deaktivieren, die Windows so für einen bereithält. Zu erreichen über "Start" -> "Einstellungen" -> "Systemsteuerung" -> "Verwaltung" -> "Dienste". Anhand des folgenden Screenshots lässt sich nun ablesen, wie es aussehen sollte. Natürlich hat nicht jeder dasselbe, daher wird das ein oder andere da und dort fehlen oder zu viel sein.

Übersicht über die zu ändernden Dienste

Jup, ich weiß, das ist viel Arbeit.

Besondere Schwerpunkte hierbei auf folgenden Sachen, welche unbedingt deaktiviert werden müssen:

Nach dieser Odyssee erstmal rebooten.

SMBDevice

Von einem gewissen Torsten Mann kursiert im Internet folgende Lösung, um den Port 445 dicht zu kriegen. In der Registry muss im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters ein DWORD-Wert namens "SMBDeviceEnabled" mit dem Wert "0" erstellt werden. Nach einem weiteren Reboot sollte 445 auch dicht sein.

Schlussendlich sollte nach dem erfolgten Reboot alles noch einmal von vorne durchgegangen werden. Windows ist manchmal vergesslich.

Ein leeres TCPView

Schöner Anblick, hum?