Bundesamt für Sicherheit in der Informationstechnik

M 4.285 Deinstallation nicht benötigter Client-Funktionen von Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Standardinstallation von Windows Server 2003 enthält verschiedene Funktionen, die als Clientzubehör von Windows XP bekannt sind. Auf einem Server werden sie nicht benötigt und sollten deinstalliert oder, falls Deinstallation nicht möglich, zumindest deaktiviert werden, um die Angriffsfläche zu verringern und die damit verbundenen unnötigen Risiken zu reduzieren.

Deinstallieren von Programmen unter Start | Alle Programme | Zubehör

  • Als Administrator am Server anmelden
  • Sicherheitskopie der Datei C:\WINDOWS\inf\sysoc.inf anlegen, z. B. als Kopie von sysoc.inf
  • Folgende Zeilen in C:\WINDOWS\inf\sysoc.inf ändern und abspeichern:
    OEAccess=ocgen.dll,OcEntry,oeaccess.inf,hide,7
    ändern in
    OEAccess=ocgen.dll,OcEntry,oeaccess.inf,,7
    und
    MultiM=ocgen.dll,OcEntry,multimed.inf,HIDE,7
    ändern in
    MultiM=ocgen.dll,OcEntry,multimed.inf,,7
  • Zu Start | Systemsteuerung | Software | Windowskomponentenhinzufügen/entfernen wechseln und folgende Checkboxen deaktivieren:
    • Outlook Express
    • Zubehör und Dienstprogramme / Multimedia / Audiorecorder
    • Zubehör und Dienstprogramme / Multimedia / Mediaplayer
    • Zubehör und Dienstprogramme / Kommunikation / Telefon

Hinweis: Durch die Schritte 1 bis 3 werden die Software-Optionen in Schritt 4 erst sichtbar gemacht.

Deaktivieren von Mediaplayer, Outlook Express und Netmeeting

Die Deinstallationsroutinen der integrierten Komponenten Mediaplayer, Outlook Express und Netmeeting entfernen die Programme nicht vollständig, das ungewollte Ausführen ist weiterhin möglich. Deshalb sollten diese Programme mit Hilfe der Richtlinien für Softwareeinschränkungen (siehe M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003 ) deaktiviert werden.

Werden Active Directory und Gruppenrichtlinien verwendet, so muss die Wirksamkeit der Einstellungen auf dem einzelnen Server durch korrekte Konfiguration der Gruppenrichtlinien sichergestellt sein (siehe M 2.231 Planung der Gruppenrichtlinien unter Windows ).

Anpassen der lokalen Softwareeinschränkungsrichtlinie:

  • Die lokale Sicherheitsrichtlinie über Start | Systemsteuerung | Verwaltung | LokaleSicherheitsrichtlinie öffnen
  • In den Zweig Richtlinien für Softwareeinschränkungen | ZusätzlicheRegeln wechseln
  • Neue Pfadregeln mit der Sicherheitsstufe Nicht erlaubt für folgende Pfade hinzufügen:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%\NetMeeting
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%\Outlook Express
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%\Windows Media Player

Falls eines der deaktivierten Programme bisher beim Start des Betriebssystems automatisch geladen wurde, können Fehlermeldungen auftreten. Die entsprechenden Autostart-Funktionen sollten vor der Aktivierung der Richtlinie abgeschaltet werden, z. B. mit msconfig.exe.

Weiterhin sollte die Internetkommunikation für Windows-Client-Komponenten eingeschränkt werden. Dazu ist in der lokalen Gruppenrichtlinie (Start | Ausführen... | gpedit.msc) der Zweig Computerkonfiguration | Administrative Vorlagen | System | Internetkommunikationsverwaltung | Internetkommunikationseinstellungen auszuwählen. Hier sollten alle Funktionen deaktiviert werden. Nur Automatische Aktualisierung von Stammzertifikaten und Windows Update sollten aktiviert bleiben, solange hierfür kein alternatives Verfahren für den Server festgelegt wurde.

Wenn weitere nicht benötigte Client-Anwendungen und -Funktionen auf dem Server aktiv sind, dann sind auch diese zu deinstallieren bzw. zu deaktivieren.

Prüffragen:

  • Sind alle auf dem Windows Server 2003 System nicht benötigten Dienste und Programme deinstalliert beziehungsweise deaktiviert, insbesondere die Client-Funktionen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK