Wenn Windows Server 2016 / 2019 hochfahren, werden 1 – 5 Dienste angezeigt die nicht laufen.
Bei einem sauberen Monitoring kann das schon echt nervig sein.
In diesem Tutorial möchte ich euch eine Liste mit den Diensten zeigen, die bei einer gewöhnlichen Servernutzung deaktiviert werden können.
Seit ich Windows Server 2016 / 2019 einsetzte, habe ich im Server Manager immer ein paar Dienste die mir rot angezeigt werden.
Daraufhin habe ich mir eine List erarbeitet mit Diensten die deaktiviert werden können, da sie nach dem Start eh ausgeschaltet werden, oder aus sind und als Fehler angezeigt werden.
Durch die Deaktivierung wird man keine Performanceverbesserung merken.
In diesem Beitrag geht es im Vordergrund darum die Fehlermeldungen aus dem Server Manager heraus zu bekommen und das System ein Stück sicherer zu machen, da aktive Dienste die man nicht benötigt immer eine Sicherheitslücke darstellen.
Jetzt gibt es den Ansatz, was deaktiviert ist kann man auch wieder aktivieren, aber ich sage es mal so, ein deaktivierter Dienst ist besser als ein Dienst der im Leerlauf ist und nicht genutzt wird, oder der auf Warteposition ist.
[asa]3960090188[/asa]
Es gibt drei Wege die Dienste zu deaktivieren, eigentlich sogar vier.
Die ersten drei spielen sich auf dem betroffenden System ab.
- In der Windows Suche “Dienste” suchen und öffnen,
- per MMC per Plugin’s. Hier die Auswahl Dienste öffnen,
- oder per PowerShell mit Get-Service
Wer gerne Remote arbeitet, hat ebenfalls zwei ganz nette Möglichkeiten
- Einmal wie oben auch per PowerShell, in dem zuvor mit Invoke-Command oder Enter-PSSession eine Remotesitzung aufgebaut wird,
- oder ebenfalls per MMC, in dem man beim Start des Plugins nicht lokal wählt, sondern ein anderes System mit Eingabe des Hostnames.
Ich möchte hier nur die Varianten PowerShell lokal auf dem System und im Fenster “Dienste” per MMC oder Windows Suche behandeln, da es in erster Linie nicht darum geht wie der Weg dahin geht, sondern welche Dienste ohne Bedenken deaktiviert werden können.
Am Ende des Akrtikels werde ich das fertige PowerShell Script anfügen, um alle Services nacheinander zu deaktivieren.
Dienst 1: MapsBroker | Manager für heruntergeladene Karten
Tja bis heute weiß ich nicht wie dieser Dienst richtig funktionieren. Fest steht, dass er benötigt wird, wenn ihr z.B. auf einer Seite oder in einem Programm irgendwelche Kartendaten anbieten wollt. Ich kenne bis dato noch kein Anwendungszenario, wenn ihr eins kennt, so teilt es mir doch gerne mit.
Set-Service "MapsBroker" -StartupType disabled
Dienst 2: lfsvc | Geolocation-Dienst
Der dienst wird benötigt, um Standortinformationen des Servers bekannt zu machen.
Ich weiß nicht ob man diesen Service in großen Umgebungen benötigt, aber bei einer handvoll Systemen denke ich mal nicht das man diese Dienst benötigt.
Set-Service "lfsvc" -StartupType disabled
Dienst 3: AxInstSV | ActiveX-Installer
Dieser Dienst wird benötigt falls die ActiveX Installation aus dem Internet angewiesen werden soll, oder aus einer Gruppenrichtlinie heraus.
Ist der Dienst deinstalliert, werden die Einstellungen aus dem IE übernommen.
Set-Service "AxInstSV" -StartupType disabled
Dienst 4: bthserv | Bluetooth-Unterstützungsdienst
Dieser Dienst unterstützt die Ermittlung und Zuordnung von Bluethooth Remotegeräten.
Hm naja, meiner Meinung nach ein Dienst den man auf einem Server eher selten benötigt, daher kann auch dieser deaktiviert werden.
Set-Service "bthserv" -StartupType disabled
Dienst 5: PimIndexMaintenanceSvc | Kontaktdaten
Dieser Dienst identifiziert Kontaktdaten in der Suche. Tja keine Ahnung, aber ich suche auf einem Server nicht so oft Kontakte, daher kann auch dieser Dienst deaktiviert werden.
!!! ACHTUNG !!! Es kann sein das der Dienst auf manchen Systemen anders heißt, z.B Kontaktdaten_5f8c73. Der Dienst lässt sich dann mit dem Grundbefehl in PowerShell nicht deaktiveren. Ihr müsstet dann den Teil _5f8c73 noch hinzufügen.
Set-Service "PimIndexMaintenanceSvc" -StartupType disabled
Dienst 6: dmwappushservice | WAP Push-Nachrichtenroutingdienst
Dieser Dienst routed von Geräten empfangene WAP-Push-Nachrichten weiter.
Noch nie benötigt. Wüsste bis dato auch kein Anwendungsszenario, daher kann auch dieser Dienst deaktiviert werden.
Ihr kennt ein Anwendungsszenario? Dann teilt es mir gerne mit.
Set-Service "dmwappushservice" -StartupType disabled
Dienst 7: SharedAccess | Gemeinsame Nutzung der Internetverbindung
Diesen Dienst habe ich so noch nicht in Verwendung gesehen. Er bietet allen im Heim- oder kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringungsschutz an.
Kann meiner Meinung nach deaktiviert werden, da man diese Aufgaben eigentlich anders im Netzwerk organisiert.
Set-Service "SharedAccess" -StartupType disabled
Dienst 8: lltdsvc | Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm
Der dienst sorgt dafür das die Netzwerkdarstellung richtig dargestellt wird.
Windows beschreibt diesen Service etwas kritischer und zwar wenn dieser Dienst deaktiviert wird, dass dann die Netzwerksuche und Darstellung nicht mehr oder nur noch eingeschränkt funktioniert.
Ist so erst einmal nicht ganz richtig, sie funktioniert immer noch, ist nur etwas langsamer.
Aber ich sag mal so, braucht man das auf einem Server? Eher nicht, daher kann auch dieser Dienst deaktiviert werden.
Set-Service "lltdsvc" -StartupType disabled
Dienst 9: wlidsvc | Anmelde-Assistent für Microsoft-Konten
Dieser Dienst ermöglicht Benutzeranmeldungen unter Verwendung der Microsoft-Konto-Identitätsdienste.
Hm noch nie gebraucht, eventuell interessant wenn man in der Azure unterwegs ist, ich kenne bis heute kein Anwendungsszenario, daher kann auch dieser Dienst deaktiviert werden.
Set-Service "wlidsvc" -StartupType disabled
Dienst 10: NgcSvc | Microsoft Passport
Dieser Dienst wird ebenfalls nicht benötigt. Dieser Dienst stellt die Prozessisolation für kryptografische Schlüssel her.
Hab diesen Dienst mal Recherchiert, jedoch findet man herzlich wenig drüber, außer das er zu den Diensten gehört den man nicht braucht und sogar löscht.
Set-Service "NgcSvc" -StartupType disabled
Dienst 11: NgcCtnrSvc | Microsoft Passport-Container
Das gleiche gilt für den Microsoft Passport-Container. Wie schon unter Dienst 10 beschrieben, kann man diesen Dienst ohne Probleme deaktivieren.
Set-Service "NgcCtnrSvc" -StartupType disabled
Dienst 12: NcbService | Netzwerkverbindungsbroker
Dieser Dienst handelt Verbindungen aus, über die Windows-Store Apps Benachrichtigungen aus dem Internet empfangen können. Kenne auch hier kein Verwendung des Dienstes, daher kann auch dieser deaktiviert werden.
Set-Service "NcbService" -StartupType disabled
Dienst 13: PhoneSvc | Telefondienst
Dieser Dienst verwaltet den Status des Gerätes. Keine Ahnung wozu man den braucht, aber der kann auf jeden Fall deaktiviert werden.
Set-Service "PhoneSvc" -StartupType disabled
Dienst 14: PcaSvc | Programmkompatibilitäts-Assistent-Dienst
Mit dem PCA Dienst werden die vom Benutzer installierte und ausgeführte Programme überwacht. Braucht man nicht und kann damit auch deaktiviert werden.
Set-Service "PcaSvc" -StartupType disabled
Dienst 15: QWAVE | Verbessertes Windows-Audio/Video-Streaming
Dieser Dienst kann Sinn machen, kann nach Bedarf aber deaktiviert werden.
Der Dienst sorgt dafür, dass die Audio- / Videostreamqualität verbessert wird.
Auf einem AD- / DNS- / Exchange- / etc-Servern macht es kein Sinn.
Auf Servern die natürlich Medien streamen macht es Sinn.
Set-Service "QWAVE" -StartupType disabled
Dienst 16: RmSvc | Funkverwaltungsdienst
Dieser Dienst ist zuständig für die Funkverwaltung (WLAN / Bluethooth) und dem Flugzeugmodus.
Schon mal wer nen Flugzeugmodus auf dem Server benötigt?
WLAN und Bluethooth hat ja nun auch nicht so oft im Server, daher kann man auch dieser Dienst ohne Probleme deaktivieren.
Set-Service "RmSvc" -StartupType disabled
Dienst 17: SensorDataService | Sensordatendienst [EDIT 19.06.2020]
Einen Dank an Holger für den Hinweis, wofür die Dienste 17-19 benötigt werden. Dank seinem Hinweis habe ich meine Aussage revidiert.
Dieser Dienst liefert Daten von verschiedenen Sensoren.
Die Dienste 17 – 19 sollten nur deaktiviert werden, wenn man auf dem Server kein Threat Protection und Antivirus von Microsoft einsetzt.
Nutzt ihr kein MDATP, so könnt ihr die Dienste 17 – 19 deaktivieren.
Set-Service "SensorDataService" -StartupType disabled
Dienst 18: SensrSvc | Sensorüberwachungsdienst
Hier gilt das gleiche wie bei Dienst 17.
Set-Service "SensrSvc" -StartupType disabled
Dienst 19: SensorService | Sensordienst
Hier gilt das gleiche wie bei Dienst 17.
Set-Service "SensorService" -StartupType disabled
Dienst 20: ShellHWDetection | Shellhardwareerkennung
Dieser Dienst zeigt Meldungen für Hardwareereignisse für automatische Wiedergabe an.
Kann man auch beruhigt deaktiveren.
Set-Service "ShellHWDetection" -StartupType disabled
Dienst 21: ScDeviceEnum | Smartcard-Geräteaufzählungsdienst
Dieser Dienst kann sogar zu Problemen führen. Dauert eine Anmeldung an Servern länger (man sieht das Willkommen einige Sekunden bis 1 Minute), kann das an dem ScDeviceEnum Dienst liegen.
Dieser Dienst kann deaktiviert werden, wenn man nichts Smart-Kart’s macht.
Set-Service "ScDeviceEnum" -StartupType disabled
Dienst 22: SSDPSRV – SSDP-Suche
SSDP ist ein Dienst sucht Geräte im Netzwerk, die SSDP unterstützten.
Meinstens kommt SSDP zum Einsatz im Zusammenhang mit UPnP.
Nach dem der Dienst deaktiviert wurde, konnte ich auch bei UPnP keine Nachteile feststellen.
Daher kann dieser Dienst ohne weiteres deaktiviert werden.
Set-Service "SSDPSRV" -StartupType disabled
Dienst 23: WiaRpc | Ereignisse zum Abrufen von Standbildern
Tja was dieser Dienst genau macht kann man echt schwer erklären. Ich konnte kein Szenario finden wo dieser Dienst zum Einsatz kommt.
Daher kann auch dieser Dienst ohne Probleme deaktiviert werden.
Set-Service "WiaRpc" -StartupType disabled
Dienst 24: TabletInputService | Dienst für Bildschirmtastatur und Schreibbereich
Dieser Dienst aktiviert die Stift- und Freihandfunktionalität der Bildschirmtastertur und dem Schreibbereich.
Braucht man beim Server eher weniger, daher kann dieser Dienst ohne weiteres deaktiviert werden.
Set-Service "TabletInputService" -StartupType disabled
Dienst 25: upnphost | UPnP-Gerätehost
Dieser Dienst ermöglicht es UPnP-Geräte zu hosten.
Braucht man weitesgehend auch nicht und kann daher auch deaktiviert werden.
Set-Service "upnphost" -StartupType disabled
Dienst 26: UserDataSvc | Benutzerdatenzugriff
Dieser Dienst ermöglicht Apps den Zugriff auf struktuierte Benutzerdaten, einschließlich Kontaktinformationen, Kalender, Nachrichten und anderer Inhalte.
Diesen Dienst benötigt man auch nicht wirklich auf einem Server, daher kann auch dieser Dienst deaktiviert werden.
Set-Service "UserDataSvc" -StartupType disabled
Dienst 27: UnistoreSvc | Benutzerdatenspeicher
Hier gilt das gleiche wie bei Dienst 27.
Set-Service "UnistoreSvc" -StartupType disabled
Dienst 28: WalletService | WalletService
Ich glaube zu diesem Dienst muss man nicht viel sagen. Ich glaube kaum das man einen WalletService auf einem Server benötigt, daher kann auch dieser Dienst deaktiviert werden.
Set-Service "WalletService" -StartupType disabled
Dienst 29: Audiosrv | Windows-Audio
Dieser Dienst verwaltet Audioinhalte für Windows basierte Inhalte.
Da man ja nicht all zu oft Audiosachen auf einem Server abspielt, kann auch dieser Dienst deaktiviert werden.
Set-Service "Audiosrv" -StartupType disabled
Dienst 30: AudioEndpointBuilder | Windows-Audio-Endpunkterstellung
Hier gilt das gleiche wie bei Dienst 29.
Set-Service "AudioEndpointBuilder" -StartupType disabled
Dienst 31: FrameServer | Windows-Kamera-FrameServer
Dieser Dienst ermöglicht mehreren Clients die Zugriff auf Videosframes von Kameras.
Ist auch ein Dienst den man absolut nicht braucht und daher kann dieser deaktiviert werden.
Set-Service "FrameServer" -StartupType disabled
Dienst 32: stisvc | Windows-Bilderfassung (WIA)
Dieser Dienst stellt Bilderfassungsdienste für Scanner und Kameras zur Verfügung.
Dieser Dienst ist ein typischer Clientdienst den man auf einem Server nicht gebrauchen kann, daher kann man diesen ohne Probleme deaktivieren.
Set-Service "stisvc" -StartupType disabled
Dienst 33: wisvc | Windows-Insider-Dienst
Dieser Dienst bietet Infrastrukturunterstützung für das Windows-Insider-Programm.
Es ist ein Dienst den man nicht benötigt und somit deaktivieren kann.
Set-Service "wisvc" -StartupType disabled
Dienst 34: icssvc | Windows-Dienst für mobile Hotspots
Dieser Dienst ermöglicht die Freigabe einer Datenverbindung für ein anderes Gerät. Da dies auch wieder ein Clientdienst ist den man auf einem Server nicht gebrauchen kann, zu mindestens eher selten, kann man auch diesen Dienst deaktivieren.
Set-Service "icssvc" -StartupType disabled
Dienst 35: WpnUserService | Druckererweiterungen und -benachrichtigungen
Dieser Dienst ist nur wichtig, wenn ihr einen Printserver betreibt.
Sollte dies nicht zutreffen, könnt ihr ihn ohne Probleme deaktivieren.
Set-Service "WpnUserService" -StartupType disabled
Dienst 36: Spooler | Druckerwarteschlange
Diesen Dienst könnt ebenso deaktivieren, wenn der Server kein Printserver oder Domänencontroller ist.
Set-Service "Spooler" -StartupType disabled
Abschluss
Diese 36 Dienste gehören zu den Diensten die man ohne Probleme deaktivieren kann.
Der nachfolgende Code lässt alle Set-Service nacheinander ablaufen.
Sollte eine Fehlermeldung hoch kommen, prüft ob die Dienste vorhanden sind, oder eine Namensänderung vorliegen haben wie z.B. _df987a
!!! HINWEIS !!! Alle Dienste die ohne Einschränkunden deaktiviert werden können stehen nacheinander.
Am Ende des Codes stehen die Dienste auskommentiert, die z.B. bei einem Domänencontroller Probleme verursachen können.
Solltet ihr diesen aktivieren wollen, so entfernt einfach die # am Anfang der Zeile.
Set-Service "MapsBroker" -StartupType disabled #Manager für heruntergeladene Karten
Set-Service "lfsvc" -StartupType disabled #Geolocation-Dienst
Set-Service "AxInstSV" -StartupType disabled #ActiveX-Installer
Set-Service "bthserv" -StartupType disabled #Bluetooth-Unterstützungsdienst
Set-Service "PimIndexMaintenanceSvc" -StartupType disabled #Kontaktdaten
Set-Service "dmwappushservice" -StartupType disabled #dmwappushsvc (WAP Push-Nachrichtenroutingdienst)
Set-Service "SharedAccess" -StartupType disabled #Gemeinsame Nutzung der Internetverbindung
Set-Service "lltdsvc" -StartupType disabled #Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm
Set-Service "wlidsvc" -StartupType disabled #Anmelde-Assistent für Microsoft-Konten
Set-Service "NgcSvc" -StartupType disabled #Microsoft Passport
Set-Service "NgcCtnrSvc" -StartupType disabled #Microsoft Passport-Container
Set-Service "NcbService" -StartupType disabled #Netzwerkverbindungsbroker
Set-Service "PhoneSvc" -StartupType disabled #Telefondienst
Set-Service "PcaSvc" -StartupType disabled #Programmkompatibilitäts-Assistent-Dienst
Set-Service "RmSvc" -StartupType disabled #Funkverwaltungsdienst
Set-Service "SensorDataService" -StartupType disabled #Sensordatendienst
Set-Service "SensrSvc" -StartupType disabled #Sensorüberwachungsdienst
Set-Service "SensorService" -StartupType disabled #Sensordienst
Set-Service "ShellHWDetection" -StartupType disabled #Shellhardwareerkennung
Set-Service "ScDeviceEnum" -StartupType disabled #Smartcard-Geräteaufzählungsdienst
Set-Service "SSDPSRV" -StartupType disabled #SSDP-Suche
Set-Service "WiaRpc" -StartupType disabled #Ereignisse zum Abrufen von Standbildern
Set-Service "TabletInputService" -StartupType disabled #Dienst für Bildschirmtastatur und Schreibbereich
Set-Service "upnphost" -StartupType disabled #UPnP-Gerätehost
Set-Service "UserDataSvc" -StartupType disabled #Benutzerdatenzugriff
Set-Service "UnistoreSvc" -StartupType disabled #Benutzerdatenspeicher
Set-Service "WalletService" -StartupType disabled #WalletService
Set-Service "Audiosrv" -StartupType disabled #Windows-Audio
Set-Service "AudioEndpointBuilder" -StartupType disabled #Windows-Audio-Endpunkterstellung
Set-Service "FrameServer" -StartupType disabled #Windows-Kamera-FrameServer
Set-Service "stisvc" -StartupType disabled #Windows-Bilderfassung (WIA)
Set-Service "wisvc" -StartupType disabled #Windows-Insider-Dienst
Set-Service "icssvc" -StartupType disabled #Windows-Dienst für mobile Hotspots
### Dienste die nach Bedarf deaktiviert werden sollten ###
#Set-Service "QWAVE" -StartupType disabled #Verbessertes Windows-Audio/Video-Streaming
#Set-Service "WpnUserService" -StartupType disabled #Druckererweiterungen und -benachrichtigungen
#Set-Service "Spooler" -StartupType disabled #Druckerwarteschlange
Moin Tobias!
17, 18, 19 sind Dienste für MDATP. Falls Du keine Threat Protection und Antivirus von Windows auf Deinem Server hast, dann benötigst Du diese nicht. Falls doch, dann würde ich diese definitv nicht deaktivieren, sonst ist der Schutzdienst blind.
Viele Grüße
Holger
Hallo Holger,
vielen Dank für deinen Hinweis. Ich habe meinen Beitrag entsprechend angepasst.
Ich hab mich sehr über deinen Hinweis gefreut.
Gruß
Tobias