Windows Dienste optimieren

Wer kennt das Problem nicht? Ihr installiert einen neuen Windows Server 2012 R2, 2016 oder 2019 und was begrüßt Euch als erstes? Eine dicke, rote Fehlermeldung im Server Manager über nicht ausgeführte Windows Dienste. Außerdem erstellt Windows automatisch sogenannte Per-User Dienste (sowas wie „Sync Host_39b79“), die man in der Regel nicht benötigt. Das stört mich schon eine ganze Weile, aber jetzt gibt es eine einfache Möglichkeit, das per Gruppenrichtlinie zu korrigieren.

Für die „unnötigen“ Dienste, die Windows Server mitbringt, habe ich mich der Vorgaben beim Microsoft Security Guidance Blog bedient. Dort gibt es eine Excel Liste, in der beschrieben ist, welche Dienste man unter welchen Umständen abschalten kann.

Auch die Per-User Dienste lassen sich relativ einfach per Registry-Eintrag deaktivieren (ab Server 2019 lässt sich deren Erstellung sogar verhindern – ist in meiner Vorlage schon mit drin). Die entsprechende Anleitung findet Ihr direkt bei Microsoft Docs.

Die Lösung

Nun ist es allerdings nicht wirklich schön, diese ganzen Änderungen bei jeder Installation wieder neu zu machen, also habe ich eine passende Gruppenrichtlinienvorlage erstellt. Die Vorlage findet Ihr in meinem Github Repository und folgende Dateien sind enthalten:

DisableServices.admx Das ist die eigentliche Vorlagendatei, die die Definition der Registry Keys enthält, die pro Einstellung gesetzt werden.
en-US\DisableServices.adml Hier sind die Beschreibungen der Optionen in englischer Sprache zu finden.
WindowsServer2012R2AndUp.mof Eine Vorlage für einen WMI-Filter, der auf Windows Server 2012 R2 und höher greift. Passt perfekt für die hier definierten Einstellungen.

Die ersten beiden Dateien speichert Ihr auf euren Domain Controllern entweder in

  • den GPO Central Store, also unter C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions (dann nur auf einem DC, der Store wird auf alle anderen repliziert).
  • den GPO Local Store, also unter C:\Windows\PolicyDefinitions (dann auf jedem DC und jeder Management-Station, auf der GPOs verwaltet werden).

Die WMI-Filter Vorlage könnt ihr im Gruppenrichtlinieneditor einfach importieren, ist aber nicht zwingend notwendig.

So sieht es dann aus

Sobald die Dateien an der richtigen Stelle liegen, könnt Ihr entweder eine neue Policy erstellen, oder aber eine bestehende weiterverwenden, um die Dienste der Windows Server zu konfigurieren. Ihr seht dann im Gruppenrichtlinien-Editor folgende zusätzliche Einstellungen:

Unter „Other Services“ findet ihr alle „normalen“ Dienste, die Ihr in der Regel deaktivieren könnt. In den genauen Beschreibungen könnt Ihr nachlesen, in welchen Fällen das Microsoft SCM Team die Deaktivierung der Dienste empfiehlt und in welchen nicht.

Die „Per-User Services“ sind die oben genannten Sync Service_XXXXXX usw., die Ihr auch per einfacher Einstellung deaktivieren könnt.

Wichtig: Wenn Ihr eine der Einstellungen Aktiviert, also den Dienst  deaktiviert, wird der Dienst in der Registry „Deaktiviert“. Stellt Ihr die Policy danach auf „Nicht konfiguriert“, wird diese Änderung nicht rückgängig gemacht. Das ist normal, eine GPO Vorlage gibt das so nicht her. Wollt Ihr also die Einstellung wieder auf Standard zurücksetzen, müsst ihr sie zuerst auf Deaktiviert stellen. Wartet jetzt, bis alle Server diese Einstellung übernommen haben (sollte nach 1 Tag passiert sein). Danach könnt Ihr auf „Nicht konfiguriert“ umstellen und habt auch wieder die Standardeinstellung.

Falls Ihr es bis hier hin geschafft habt und den Download Link übersehen habt … den Download gibt es >>> hier <<< 😉

Für Feedback bin ich jederzeit dankbar, also wenn Ihr z.B. eine Übersetzung in Deutsch braucht, oder weitere Dienste deaktivieren wollt, Fehler findet, usw. – schreibt mir einen Kommentar. Ich beantworte eigentlich alle, auch wenn es mal etwas länger dauert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.