Auf Windows-Rechnern ist eine grosse Zahl von System- und anderen Diensten aktiv: Welche das sind, was sie leisten und wie User sie in den Griff bekommen, zeigt dieser Artikel.
Systemdiensten auf der Spur: das Programm AutoRuns aus der Sysinternals-Sammlung
Thomas Bär und Frank-Michael Schlede sind IT-Consultants und freiberufliche Mitarbeiter unserer Schwesterpublikation TecChannel. Unter Windows laufen im Hintergrund diverse Systemdienste, deren Nutzen und Zweck nicht gleich ersichtlich ist. Einige Dienste sind für den Betrieb des Windows-Systems notwendig. Sie werden typischerweise schon beim Start des Betriebssystems geladen. Daneben gibt es genügend Anwendungen, die beim ersten Aufruf einen Hintergrunddienst starten, den sie allerdings zur Ausführung ihrer Aufgabe benötigen. Leider habe viele dieser Programme die Eigenschaft, Dienste mittels Autostart im System zu verankern. Die Dienste werden immer zusammen mit Windows gestartet – auch wenn das entsprechende Programm nicht aktiv ist. Eine mindestens ebenso grosse Zahl von Entwicklern scheint zu «vergessen», solche Dienst spätestens bei der Deinstallation des Programms auch wieder aus dem System zu entfernen. Wir stellen Tipps und Tools vor, um solche Dienste-Leichen zu beseitigen. Ein Grossteil der Systemdienste ist für Verwaltung und Betrieb des Windows-Rechners verantwortlich: Das reicht von der Anmeldung an einem Domänen-Controller mittels «netlogon» bis hin zur Verwaltung von Netzwerkfunktionen. Viele dieser Dienste beginnen ihre Arbeit mit dem Systemstart und werden erst mit dem Herunterfahren des Rechners wieder beendet.
Systemdienste und Sicherheit
Für die Betriebssicherheit können Systemdienste durchaus ein Risiko darstellen: Schliesslich müssen diese Programme in der Regel mit weitreichenden Zugriffsrechten ausgestattet sein: Häufig besitzen die Dienste erweiterte Rechte wie «Lokales System» oder «Netzwerkdienst», die teilweise bis zu den Möglichkeiten eines Administrators reichen. Wurde ein solcher Dienst kompromittiert oder gar durch eine schädliche Variante ersetzt, kann das weitreichende Folgen für die Sicherheit von PC und Netzwerk haben. Bekannte Beispiele sind die Schädlinge «Blaster» und «Sasser», die in den 00-er Jahren massenhaft Windows-Rechner kompromittieren. Aus diesem Grund gilt es gerade für Administratoren, immer ein wachsames Auge auf die Systemdienste zu haben. Nächste Seite: Systemdienste im Griff Moderne Windows-Systeme sind nach der Installation im Hinblick auf die Belastung durch Systemdienste recht gut ausbalanciert. Auch besitzen aktuelle PCs genügend Leistung, um auch noch mehrere Hintergrunddienst ohne Einbussen zu bewältigen. In der Regel sind es eher nicht die Standard-Systemdienste von Windows, die einen PC langsam machen. Während Microsoft bei Windows 7 standardmässig noch einige unnötige Dienste mit auf das System bringt und startet, ist dies mit Windows 8 besser geworden. So wurden bei früher die Tablet-Dienste automatisch installiert und aktiviert, auch wenn es sich um einen normalen Desktop-PC handelte. Diese Dienste werden bei Windows 8 nur noch dann installiert, wenn es sich um ein Tablet-System handelt.
Vier Kontrollinstanzen
Trotzdem gibt es immer wieder Gründe, die Systemdienste und deren Ausführung zu überwachen. Denn auch Anwendungsprogramme können solche Dienste auf das System bringen. Wer diese Art von Diensten ausschalten oder sogar aus dem System entfernen will, sollte die verschiedene Möglichkeiten kennen, die Windows zu deren Kontrolle bereitstellt. 1.) Der klassische Weg ist der Zugriff über die Systemkonsole. Sie steht auf allen aktuellen Windows-Versionen bereit und kann über die Kommandozeile mit «services.msc» gestartet werden. Auch der Zugriff über die «Computerverwaltung» ([Windows]+[X]) und die Auswahl von «Dienste» unter dem Menüpunkt «Dienste und Anwendungen» bringt die Systemkonsole auf den Windows-8-Bildschirm. 2.) Das Hilfsprogramm «msconfig» der Systemkonfiguration: Der Anwender startet es über die Kommandozeile mit dem Befehl «msconfig». Danach bringt ein Mausklick auf den Reiter «Dienste» alle Systemdienste auf den Schirm. 3.) Im Task-Manager anzeigen: Der Task-Manager kann solche Programme über den Reiter mit der Bezeichnung «Dienste» auflisten. Nach Auswahl eines der Dienste lässt sich hier über einen Rechtsklick auch aus dem Kontextmenü direkt zu diesem Dienst in der Systemkonsole oder in die Prozesstabelle zum dazugehörigen Systemprozess wechseln. 4.) Das Kommandozeilenprogramm «sc»: Die beste Lösung, wenn auch hartnäckige Dienste aus dem System entfernt werden sollen. Nächste Seite: Arbeiten mit System-Diensten Die Systemkonsole zur Verwaltung von Systemdiensten dürfte den meisten Anwendern geläufig sein. Hier öffnet ein Doppelklick auf den jeweiligen Dienst ein Fenster mit den Eigenschaften, während durch ein Rechtsklick ein Kontextmenü geöffnet wird, in dem Anwender einen Dienst direkt starten oder anhalten können. Ein Blick auf den «Eigenschaften»-Dialog präsentiert im Reiter «Allgemein» die Möglichkeit, den Starttyp des jeweiligen Programms anzuzeigen. Dabei steht die folgende Auswahl zur Verfügung:
Automatisch: Dienst startet mit dem Start von Windows
Automatisch (Verzögerter Start): Dienst startet kurz nach dem Booten von Windows
Manuell: Dienst wird nicht automatisch gestartet. Hinweis dazu: Das Windows-System ist trotzdem dazu in der Lage, einen auf «manuell» gesetzten und nicht gestarteten Dienst zu starten, wenn dieser beispielsweise von einem anderen Dienst benötigt wird.
Deaktiviert: Dieser Dienst wird nie gestartet, selbst dann nicht, wenn er zum Funktionieren des Windows-Systems notwendig ist. Der Dienst und das dazu gehörende Programm sind aber immer noch auf dem System installiert.
Grundsätzlich ist zu den Starttypen zu sagen: Wer einen Systemdienst mit diesen Einstellungen entfernen will, wird scheitern. Dienste lassen sich lediglich deaktivieren, nicht aber aus dem Windows-System entfernen.
Praxistipp: Zu Testzwecken besteht der sichere Weg grundsätzlich darin, zunächst einmal einen Dienst auf «manuell» zu setzen und dann das System neu zu starten und zu beobachten. Wird der Dienst trotzdem nach einer gewissen Zeit gestartet, so besteht eine Abhängigkeit zu einem anderen Dienst. Dann ist eine weitere Überprüfung erforderlich. Grundsätzlich hilft hier in Blick auf die in den Eigenschaften des Dienstes aufgeführten Abhängigkeiten. Arbeiten nach dem Deaktivieren alle Funktionen des Betriebssystems weiterhin normal, kann der Dienst deaktiviert werden. Das kann beispielsweise mit dem Bitlocker-Dienst unter Windows 7 geschehen. Unter Windows XP galt es vielfach als Profi-Tipp, den Indexdienst abzuschalten, um die Performance des Systems zu steigern. Seit Windows Vista und damit natürlich auch unter Windows 8 suchen Anwender diesen Dienst vergeblich, denn er heisst nun Windows Search. Das Abschalten bringt aber erfahrungsgemäss kaum einen Geschwindigkeitsgewinn – allein die Suche wird umständlicher. Wer noch sehr alte Festplatten in seinem Computer betreibt, die wegen dieses Dienstes permanent rotieren, sollte besser die Indizierung im Windows-Explorer in den «Eigenschaften» des entsprechenden Laufwerks ausschalten. Nächste Seite: Systemdienste deaktivieren Doch was können und sollen die Anwendern denn nun wirklich stilllegen, wenn es um die Systemprozesse geht? Wie finden sie die entsprechenden Dienste und Programme? Wer für die Systemkonfiguration das Programm «msconfig» nutzt, sollte bei deren Anzeige zunächst die Option «Alle Microsoft-Dienste ausblenden» auswählen. Dann werden nur noch die Dienste angezeigt, die nicht direkt zum Betriebssystem gehören. Da zeigen sich häufig im System installierte Programme, wie Lizenz-Server. Auch Dienste, bei denen in der Sparte «Hersteller» ein «Unbekannt» steht, verdienen eine nähere Untersuchung. Auch hier gilt: Anwender sollten solche Dienste sollte zunächst stilllegen, prüfen, ob noch alle Programme funktionieren und dann den Dienst in der Systemkonsole deaktivieren.
Insbesondere Programme zum Abgleichen von Dateien, etwa Allway Sync, hinterliessen auf unseren Testsystemen diverse Systemdienste, obwohl die Tools korrekt deinstalliert wurden. Auch Apples iTunes richtet unter Windows unnötig viele Systemdienste ein: Neben dem Dienst Bonjour zur Erkennung von Netzwerkkomponenten, kommen ungefragt noch der Dienst für mobile Apple-Geräte und der iPod-Dienst hinzu. Wer allerdings nur Musik bei iTunes einkaufen will und keine Apple-Hardware verwendet, benötigt diese Dienste sicher nicht. Aber auch PDF-Reader der unterschiedlicher Anbieter sowie die verschiedenen Google-Anwendungen sparen nicht gerade an Ressourcen. Viele Tools werden ausserdem als Autostart-Programm im System verankert. Wer ganz sicher gehen will, kann zusätzlich noch auf das Programm «AutoRuns for Windows» aus der Microsoft-Sammlung Windows Sysinternals zurückgreifen: Das Programm bringt einen Schalter mit, der entweder sämtliche Einträge von Microsoft oder nur die Windows-Einträge ausblendet. Nächste Seite: Dienste-Killer «sc.exe» Wenn ein Dienst nicht nur zu deaktivieren, sondern endgültig aus dem Windows-System entfernt werden soll, hilft das Kommandozeilenprogramm «sc.exe». Das Tool bezeichnet Microsoft als zentrale Schnittstelle zur Kommunikation mit dem Dienststeuerungs-Manager und den Diensten. Ein Aufruf des Befehls zeigt eine Liste mit Parametern. Für ungewollt installierte Dienste besitzt das Programm den Parameter «delete». Die grundsätzliche Syntax lautet:
! KASTEN !
Wichtig: Der Anwender muss jedoch eine kleine Schwierigkeit bewältigen: Ein Dienst kann unter Windows durchaus unterschiedliche Namen haben und selbst die Systemprogramme zeigen zwar alle die gleichen Dienste an, sortieren sie aber nach anderen Kriterien. Während der Task-Manger die Namen der Prozesse unter «Name» auflistet, zeigt die Systemkonsole in der Spalte «Name» die Beschreibung des Dienstes. Wer diesen Umstand nachvollziehen möchte, sollte den «Gatewaydienst auf Anwendungsebene» in der Systemkonsole suchen. Dort ist er unter diesem Namen zu finden ist. Im Task-Manager ist er aber in der Spalte «Name» als «ALG» gelistet, was dem Namen des Programm «alg.exe» entspricht. «Gatewaydienst» findet sich im Task-Manger hingegen in der Spalte «Beschreibung». Woher bekommt der Anwender den Namen des Dienstes, wenn er diesen mittels «sc.exe» entfernen möchte? Er ist am einfachsten über die Konsole und das Eigenschaftenfenster des jeweiligen Dienstes zu identifizieren. Der Dienst «BotKind Service» dient hier als Beispiel. Er kam durch eine Software, die bereits wieder deinstalliert wurde, auf das Testsystem. Ein Blick in die Konsole und in die Eigenschaften des Dienstes enthüllte, dass sein Dienstname «BotKindSyncService» lautet. Stellt sich dabei heraus, dass der Dienst noch aktiv ist, muss der Anwender ihn zunächst einmal stoppen.
! KASTEN !
Danach kann der Dienst aus dem System entfernt werden:
! KASTEN !
Der Befehl meldet direkt zurück, dass der Dienst (service) erfolgreich gelöscht wurde. Davon kann sich der Anwender durch einen Blick in die Konsole überzeugen. Alternativ können Anwender einen Dienst auch aus dem System löschen, in dem sie in die Registry eingreifen. Die Dienste finden sie unter folgendem Schlüssel:
Dort ist nur jeweils der Namen des Dienstes zu suchen und der Schlüssel zu löschen. In der Praxis ist diese Methode aber nicht ratsam, da sie erwiesenermassen zu instabilen Systemzuständen führen kann.
