Archiv der Kategorie: Grundlagen

Terminal- und Bash-Optimierung

Grafische Terminals und die darin laufende Kommando-Shell bieten reichhaltige Optionen, um sie optisch und funktional zu optimieren und zu individualisieren. Das ist zum Teil einfach, zum Teil knifflig. Die notwendigen Tipps finden Sie hier.

Dieser Artikel zeigt alle wichtigen Optionen, um das grafische Terminal, aber auch die virtuellen Konsolen und die SSH-Konsole so komfortabel wie möglich einzurichten. Nur Punkt 1 bezieht sich ausschließlich auf den Desktop und das grafische Terminalfenster. Alle anderen Punkte 2 bis 6 zur Bash-Optimierung gelten auch für SSH und für die Konsolen (Strg-Alt-F1 und weitere). Bei den grafischen Terminal-Emulatoren nehmen wir das Gnome-Terminal als Referenz, wie es in Ubuntu-Varianten und Linux Mint zum Einsatz kommt. Andere Terminal-Emulatoren wie etwa die „konsole“ unter KDE bieten ganz ähnliche Einstellungen, aber nicht immer an gleicher Stelle. Bei der Shell selbst, also dem eigentlichen Kommandointerpreter, gehen wir von der Bash-Shell aus, die praktisch überall Standard ist.

1. Das grafische Terminal

Terminals in Gestalt des Gnome-Terminal, Mate-Terminal, Xfxe4-Terminal oder Konsole (KDE) sind grafische Programme mit zahlreichen Einstellungen. Sie sind unabhängig von der Shell, die im Terminal läuft. Die Optionen und Optimierungen, die Sie dort vornehmen, haben daher mit der Bash-Shell zunächst nichts zu tun. Lediglich bei Farbeinstellungen für das grafische Terminal und solchen für die Bash-Shell gibt es Kombinationen, welche die Lesbarkeit und Übersicht fördern – oder eben nicht. Insbesondere engagierte Nutzer, die sich das Terminal optisch bestmöglich einrichten möchten, sollten sich beim Aussehen des grafischen Terminals farblich festlegen, bevor sie Ausgabefarben und Prompt der Bash-Shell optimieren.

Einstellungen und Profile: Das Gnome-Terminal zeigt im Menü „Bearbeiten“ die zwei Untermenüs „Einstellungen“ und „Profileinstellungen“. Beides sind benutzerspezifische Optionen: Was unter „Einstellungen“ festgelegt wird, gilt für jedes Terminal im aktuellen Konto. Die „Profileinstellungen“ erlauben darüber hinaus verschiedene Layouts, die man entweder im Gnome-Terminal selbst mit „Terminal -> Profil wechseln“ umschalten oder auch über Programmstarter schon beim Aufruf anwählen kann:

gnome-terminal --profile big_black

Ob Sie tatsächlich verschiedene Profile brauchen, ist Ihre Entscheidung. Das als „Unbenannt“ oder als „Vorgabe“ betitelte Standardprofil sollten Sie aber unter „Bearbeiten -> Profileinstellungen“ in jedem Fall bearbeiten. Die Registerkarte „Allgemein“ bestimmt die Größe des Terminalfensters über die Spaltenzahl (Breite) und Zeilenzahl (Länge) sowie die verwendete Schriftart. Beachten Sie, dass Sie das Terminal-Fenster unabhängig von der Schrift mit Strg-+ und Strg– skalieren können, in einigen Terminals auch mit Strg und mittlerer Maustaste. Die Registerkarte „Farben“ definiert die Farb- und Transparenzeinstellungen (in einigen Terminals auch als Extra-Registerkarte „Hintergrundtyp“). Wer Experimente mit eventuell kontrastarmen Ergebnissen vermeiden will, kann das Systemschema oder vorgegebene Schemata verwenden.

Unter „Bildlauf“ sollte der „Zeilenpuffer“ deutlich vierstellig eingestellt sein, damit Sie auch bei umfangreichen Dateilisten (find, ls, rsync) bis zum Beginn zurückblättern können.

Der allgemeinere Punkt „Bearbeiten -> Einstellungen“ spielt für die Terminal-Optik keine Rolle. Hier können Sie aber unter „Tastenkürzel“ die Hotkeys ermitteln oder neu bestimmen, die in Ihren Terminals gelten. Der Tipp, hier auch die Hotkeys für Kopieren (Strg-Shift-C) und Einfügen (Strg-Shift-V) auf gebräuchliches Strg-C und Strg-V umzustellen, ist zweischneidig, weil Strg-C in der Bash-Shell traditionell für den Abbruch des aktuellen Befehls reserviert ist.

Startparameter: Größe und Position des Terminals können Sie auch per Startparameter festlegen. Global und mit zusätzlicher Angabe der Fensterposition arbeitet der Parameter „–geometry“ (fast überall Standard: Gnome, KDE, XFCE, Mate):

gnome-terminal --geometry=120x24+1+1

Dies würde ein Terminal mit 120 Zeichen Breite und 24 Zeilen Länge in der linken oberen Ecke starten (1 Pixel von links, 1 Pixel von oben). Diesen Aufruf definieren Sie am besten in der globalen Verknüpfung „/usr/share/applications/gnome-terminal.deskop“ in der Zeile „Exec=“ mit root-Recht.

Neben dem schon genannten „–profile“-Schalter gibt es weitere Optionen via Startparameter, welche die grafischen Profileinstellungen nicht vorsehen:

gnome-terminal --zoom=1.4 --working-directory=/media/ha

Dies erhöht den Zoomfaktor um 40 Prozent und startet gleich im gewünschten Verzeichnis. Letzteres ist natürlich auch über die Bash-Shell leicht zu erzielen.

Terminal-Profile: Wer im Terminal verschiedene Profile anlegt, kann mit drei Mausklicks zu einer komplett anderen Darstellung wechseln.

2. Bash-Zeileneditor und History

Kaum ein Terminalthema klingt langweiliger als die Regeln des „line editing“ – also Texteingabe, Textbearbeitung, Autocompletion und Befehlssuche am Bash-Prompt. Es entscheidet aber fundamental darüber, wie viel oder wenig Sie tippen müssen – und „Tippen“ bedeutet hier ja meistens nicht das Schreiben von natürlicher Sprache, sondern von oft komplexen Befehlen oder gar von Escape- und Regex-Sequenzen.

Autocompletion: Lange Dateinamen müssen nicht getippt werden: Wenn Sie die ersten zwei, drei Buchstaben eingeben und dann die Tab-Taste drücken, ergänzt das Terminal den vollständigen Namen automatisch, desgleichen Ordnerpfade, sofern die eingegebenen Buchstaben stimmen (Groß- und Kleinschreibung beachten!).

History: Das Terminal vergisst nichts – jedenfalls nicht so schnell. Die Befehle werden im Speicher und dauerhaft in der ~/.bash_history gespeichert. Damit die Befehle über Sitzungen und Neustarts hinaus gesammelt werden, sorgt diese Anweisung:

shopt -s histappend

Diese werden Sie in jeder Standardstartdatei ~/.bashrc antreffen. Bei welcher Zeilenmenge Schluss sein soll, also die ältesten Einträge gelöscht werden, bestimmen folgende Variablen:

HISTSIZE=5000
HISTFILESIZE=5000

Auch diese stehen in jeder ~/.bashrc, wenn auch eventuell mit geringeren Zeilenangaben. „HISTSIZE“ ist die maximale Zeilenmenge im Speicher, „HISTFILESIZE“ die maximale Zeilenmenge in der Datei ~/.bash_history. Je höher die Zahlen, desto umfangreicher wird das Gedächtnis der Bash-Shell. Mit der Variablen

HISTCONTROL=ignoredups

können Sie verhindern, dass die History von Dubletten wimmelt: Bereits vorhandene, identische Kommandos werden dann nicht aufgenommen. Eine weitere Option, die History effizienter zu machen, ist der Ausschluss von Allerweltsbefehlen:

HISTIGNORE="ls:cd*:free"

Soviel zur Optimierung der History. Für die eigentliche, praktische Verwendung gibt es mehrere Möglichkeiten. Fast jedem Anwender bekannt ist das Zurückblättern zu den letzten Kommandos mit der Taste Cursor-oben, die den gewünschten Befehl wieder auf den Prompt holt. Eine systematische Suche bietet der Hotkey Strg-R: Nach Eintippen etwa von „tar“ erscheint der letztgenutzte tar-Befehl in kompletter Länge. Ist dieser passend, kann er mit Eingabetaste sofort ausgeführt oder mit Alt-Eingabetaste (eventuell auch Strg-Eingabetaste) zum Editieren auf den Prompt geholt werden. Ist der angezeigte History-Treffer nicht der passende, geht es mit Strg-R zum vorletzten und so fort.

Eine einfache Alternative oder auch Ergänzung zur Rückwärtssuche mit Strg-R ist eine Filtersuche mit der Taste Bild-oben. Nach Eingabe etwa von „tar“ befördert diese Taste den letzten, kompletten tar-Befehl direkt auf den Prompt, ein weiteres Bild-oben den vorletzten und so fort. Diese Suche funktioniert aber nur, wenn Sie Taste entsprechend belegen – und zwar in der Datei /etc/inputrc. Das Editieren erfordert root-Recht. Sie werden dort die beiden Zeilen

\"e[5~\": history-search-backward
\"e[6~\": history-search-forward

antreffen und müssen dort nur das führende Kommentarzeichen „#“ entfernen.

Zum Editieren vorhandener Zeilen, seien es selbst getippte oder aus der History gefischte, helfen Lösch- und Rücktaste, Pos1, Ende, Strg-Cursor-rechts/links (wortweise springen), Strg-K und Strg-U (Löschen nach und vor der Cursorposition, siehe dazu auch Punkt 4).

History-Filter: Mit dieser Einstellung in der Datei /etc/inputrc filtert die Bash nach Bild-oben/Bild-unten die Einträge, die mit dem bereits eingegebenen Teilbefehl übereinstimmen.
Hübsche Prompts sind hartes Handwerk. Ein funktionaler Prompt liefert aber automatisch Informationen, für die Sie sonst externe Systemwerkzeuge starten müssten.

3. Farben am Prompt und in Dateilisten

Der Prompt, also die Anzeige bei jeder Befehlseingabe, kann beliebige statische und dynamische Informationen anbieten, die Sie zur Orientierung erwarten. Die Prompt-Anzeige definieren Sie interaktiv zum Testen mit dem Befehl „PS1=‘…‘“. und dauerhaft in der Datei ~/.bashrc. Einige dynamische Variablen wie das aktuelle Verzeichnis, Datum oder Uhrzeit bietet der Prompt durch vordefinierte Escape-Zeichenfolgen selbst an, etwa „\w“ für das aktuelle Verzeichnis, „\u“ für das angemeldete Konto oder „\h“ für den Rechnernamen. Einfache Prompts sehen dann so aus:

PS1="\w => "
PS1="\u@\h:\w => "

Eine gute Infoquelle für alle Prompt-Optionen ist die Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen. Über die eingebauten Codes hinaus können Sie jede allgemeine oder selbst definierte Variable einfach mit „$Variable“ in die PS1-Definition setzen:

PS1="\w [$LOGNAME] => "

Mehr noch: Der Prompt kann sogar beliebige Befehle aufnehmen. Wir demonstrieren das mit einem Beispiel, das freilich als Prompt dauerhaft nicht praktikabel ist:

PS1="\nSPEICHERAUSLASTUNG: \n\$(free -m)\[\033[0m\]\n\n => "

Um Infos gegeneinander abzugrenzen, sind ferner Farbdefinitionen vorgesehen, die stets mit der Sequenz „\[\033“ starten. Ein komplexer Prompt wie

PS1="\n\[\033[47;30m\]\d, \A \[\033[41;37m\] \u on \H \[\033[47;30m\] MB free=$freemem \[\033[41;37m\] $CPU \[\033[40;37m\] [$timediff] \[\033[42;30m\] \w \[\033[0m\]\n"

ist praktisch unlesbar. Immerhin geht es Schritt für Schritt von einer Escape-Sequenz zur nächsten – „\n“ bedeutet einen Zeilenumbruch, „\[\033“ schaltet dann die Farben um, „\d“ setzt das Datum ein, „\A“ die Uhrzeit. Erläuternder Text oder Zeichen wie Komma oder Blank sind an jeder Stelle möglich, ferner auch Variablen mit „$“.Wichtig ist, Farbdefinitionen am Ende wieder zurückzusetzen

(*\[\033[0m\]“).

Die unsäglichen Farbsequenzen einerseits, die Variablen-Tauglichkeit des Prompts andererseits veranlassen Bash-Freaks, alle nötigen Codes in Variablen abzulegen (in der ~/.bashrc)

GREEN="\[\033[01;32m\]"

und dann als handlichere Variablen ($GREEN) in den Prompt einzubauen. Auch dies ist aber ein mühsamer Notbehelf, dem wir folgende Online-Hilfe vorziehen:

Easy Bash PS1 Generator: Ein nützlicher Helfer für farbenfrohe Prompts ist die Seite http://ezprompt.net/. Hier gehen Sie von ersten Position zur letzten durch, was der Prompt zeigen soll, und bestimmen für das jeweils markierte Element Vorder- und Hintergrundfarbe („FG“ und „BG“). Die einzelnen Elemente lassen sich auch nachträglich umsortieren. Im untersten Feld erscheint der zugehörige Code für die PS1-Variable, den Sie einfach kopieren, im Terminal einfügen und mit Eingabetaste testen. Wenn das Ergebnis passt, übernehmen Sie die Codezeile in Ihre Datei ~/.bashrc. Die Webseite deckt längst nicht alle Möglichkeiten des Bash-Prompts ab, liefert aber zuverlässig die heiklen Farbcodes.

Dynamische Infos durch Prompt_Command: Wenn Variablen Echtzeit-aktuell im Prompt landen sollen (etwa die CPU-Auslastung), dann muss diese Variable unmittelbar vor der Prompt-Darstellung ermittelt werden. Dafür bietet die Bash-Shell einen speziellen Service: Mit

PROMPT_COMMAND=[function-name]

definieren Sie eine Function der Datei .bashrc, die bei jedem Befehl in der Kommandozeile abgerufen wird. Da dies sehr oft geschieht, sollten Sie den Rechenaufwand in Grenzen halten. Ein Beispiel für einen selbstgebauten Prompt mit Echtzeitinfos aus einem Prompt_Command sehen Sie in der Abbildung auf dieser Seite.

Farbige Dateien und Ordner: Das Terminal stellt Dateitypen und Ordner standardmäßig in unterschiedlichen Farben dar. Wenn Sie bestimmte Farben ändern möchten, erstellen Sie mit folgendem Befehl eine persönliche Konfigurationsdatei im Home-Verzeichnis:

dircolors -p > ~/.dircolors

Die versteckte Datei .dircolors können Sie dann mit einem beliebigen Editor bearbeiten. So werden zum Beispiel Ordnernamen gelb gefärbt:

DIR 01;33

Die Einstellungen dieser eigenen Farbtabelle dominieren über die Standardeinstellungen. Die Farbcodes können Sie der bereits genannten Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen entnehmen. Achten Sie auf die Tatsache, dass solche Farbdefinitionen durch Umstellen der allgemeinen Terminalfarben (siehe Punkt 1) unter Umständen unlesbar bis unbrauchbar werden. Wer hier Zeit investiert, sollte an der allgemeinen Terminaloptik nichts mehr verändern.

Diese Seite erspart das Recherchieren der Farbcodes: Auf http://ezprompt.net/ stellen Sie sich die Basis des Bash-Prompts per Mausklicks zusammen.

4. Bash-Aliases und Bash-Hotkeys

Ohne in das Bash-Scripting einzusteigen, das dieser Beitrag weitestgehend ausklammert, können einfachste Alias-Kurzbefehle und (weniger einfache) Bind-Hotkeys die Effektivität der Bash-Shell enorm steigern.

Bash-Hotkeys: Mit Tastendefinitionen sollte man sparsam umgehen, damit der Durchblick nicht verlorengeht, jedoch sind einige Nachbesserungen sinnvoll und produktiv. So ist etwa beim Editieren am Prompt zwar das Löschen vor und nach der Cursorposition mit den Hotkeys Strg-U und Strg-K vorgesehen, aber nicht das Löschen der kompletten Zeile mit einem Hotkey. Folgende Bind-Kommandos

bind '“\C-l“:kill-whole-line'
bind '“\el“:kill-whole-line'

legen den internen Befehl „kill-whole-line“ auf die Hotkeys Strg-L und Alt-L. Die Strg-Taste ist mit „\C“ einzugeben, Alt mit „\e“. Dass bei Strg die Folgetaste mit Bindestrich abzugrenzen ist, bei der Alt-Taste hingegen nicht, ist kompliziert, aber nicht zu ändern.

Folgender Befehl

bind '"\e[15~":"xdg-open . \n"'

belegt die Funktionstaste F5 so, dass sie den Standarddateimanager mit dem aktuellen Verzeichnis auslöst. Die Funktionstasten sind mit „\e[nn~“ anzugeben, wobei die Ziffer „nn“ in der Regel den Wert plus 10 der tatsächlichen Taste benötigt. Im Zweifel kann der Befehl „read“ und anschließendes Drücken der Funktionstaste über die Ziffer „nn“ informieren.

Bind-Befehle können Sie interaktiv ausprobieren; sie gelten dann bis zum Schließen des Terminals. Für permanente Gültigkeit benötigen sie einen Eintrag in die Datei ~/.bashrc.

Aliases: Kurzbefehle können die schnelle Ordnernavigation vereinfachen oder komplexe Befehle abkürzen. Der Platz für Aliases ist wieder die Datei ~/.bashrc, und die Befehle werden in einfachsten Fällen so aussehen:

alias ini='$EDITOR ~/bashrc'
alias mc='mc /srv/dev-disk-by-label-Data /srv'
alias ll='ls -alF --group-directories-first'

Aliases entschärfen die interaktive Nutzung mächtiger Terminaltools erheblich. Ein Beispiel ist etwa folgendes Alias für den Find-Befehl:

alias fn='read -p "Dateimaske (z.B. *.pdf): " TMP; find . -type f -name "$TMP"'

Nach Aufruf des Kürzels fn werden Sie mittels „read“ nach der Dateimaske gefragt, die dann etwa „*.odt“ oder auch „2018*.jpg“ lauten kann (ohne Anführungszeichen). Diese Eingabe wird mit der Variable $TMP an find weitergereicht. Das Alias geht davon aus, dass man zuerst in das gewünschte Verzeichnis gewechselt hat, denn dort startet find seine Suche (Punkt nach „find .“).

Ähnlich übergibt hier

alias ft='read -p "Alter in Tagen (z.B. 7): " TMP; find . -type f -mtime "-$TMP"'

die Variable $TMP eine Zahl an find, das dann über den Schalter „-mtime“ alle Dateien ermittelt, die in den letzten Tagen erstellt wurden.

Hotkeys für die Bash-Shell: Mit bind können Sie Tasten und Tastenkombinationen neu definieren und Programme auslösen. „bind -P“ informiert über aktuelle Belegungen.
Weniger tippen und nicht über die Syntax nachdenken: Aliases machen komplexe Bash-Kommandos – wie hier find – deutlich komfortabler.

5. Ordnernavigation im Terminal

Verzeichniswechsel mit cd gehören zu den meistgenutzten Kommandos. Auch hier gibt es eine Reihe kleiner Optimierungen.
Die häufigsten Zielordner sind am besten über ein knappes Alias zu erreichen – etwa um nach

alias d = 'cd ~/Schreibtisch'

mit der Eingabe „d“ zum Desktop zu gelangen.
Eine effiziente Lösung für schnelles Springen in wichtige Verzeichnisse ist die Variable CDPATH. In ihr lassen sich mehrere Ordnerpfade speichern. Danach kann man überall mit „cd [Verzeichnis]“ in ein Unterverzeichnis eines der gespeicherten Verzeichnisse springen. Um also etwa den Pfad „/var/www/html“ in die Variable CDPATH aufzunehmen, geben Sie

export CDPATH='.:/var/www/html/'

ein. Danach wechseln Sie von beliebiger Stelle mit „cd htdocs“ und „cd logs“ in Unterordner von „/var/www/html/“. Die CDPATH-Variable lässt sich durch eine beliebige Anzahl weiterer Verzeichnisse erweitern – jeweils durch Doppelpunkt getrennt:

export CDPATH='.:~:/var/www/html/:/media/985c9fb3-14a6-449e-bec5-4666a283fbf4/'

Hier besteht der „CDPATH“ aus dem aktuellen Verzeichnis („.“), dem Home-Verzeichnis („~“), dem Webserver-Verzeichnis und einem Mountordner. Am Anfang sollte mit „.:“ immer das aktuelle Verzeichnis stehen, damit dieses die höchste Priorität behält. Für einen dauerhaften „CDPATH“ müssen Sie die Export-Anweisung in die Datei .bashrc eintragen.

Die meisten Nutzer verwenden cd für den Verzeichniswechsel, obwohl die Alternativen pushd und popd mehr Komfort bieten, vor allem dann, wenn es häufig von einem Ordner zum anderen und wieder zurückgehen soll. Daher sorgen folgende simplen Alias-Definitionen:

alias +='pushd'
alias _='popd'

dafür, dass sich die Bash-Shell nach „+“ das letzte Verzeichnis merkt. Mit „_“ kehren Sie danach umstandslos zurück zum letzten Verzeichnis. Das normale Minuszeichen („-„) ist als Alias-Kürzel nicht möglich.

Die Bash besitzt eine optionale Autokorrektur, um Vertipper bei Verzeichnisnamen auszubessern. Diese Autokorrektur ist standardmäßig abgeschaltet, erst diese drei Befehle schalten sie ein:

shopt -s direxpand
shopt -s dirspell
shopt -s cdspell

Danach wird die Shell den Eingabefehler

cd /ect/samba/

nach /etc/samba/ korrigieren und korrekt landen. Soll die Autokorrektur permanent aktiv sein, dann müssen die Befehle in die ~/.bashrc eingetragen werden.

Effiziente Navigationshilfe: Einträge wichtiger Verzeichnisse in die Variable CDPATH erlauben den direkten Ordnerwechsel quer über Verzeichnisstruktur und Laufwerke.

6. Die wichtigsten Terminaltools

Die Aufwertung der Shell durch externe Tools ist für SSH-administrierte Server unentbehrlich, für die virtuellen Konsolen im Falle des Falles sinnvoll und selbst am Desktop erwünscht. Der letztgenannte Aspekt gilt vor allem für Nutzer, die für Datei- und Verwaltungsaufgaben generell das Terminal bevorzugen.

Taskmanager Htop: Htop (mit gleichnamigem Paketnamen) zeigt beliebig detaillierte Infos zu allen laufenden Prozessen, CPU- und Speicherauslastung und Uptime. Es beherrscht sämtliche Kill-Methoden für randalierende Tasks. Über „F2 Setup“ lässt sich das Tool hinsichtlich Anzeigeinfos und Optik sorgfältig einrichten.

Dateimanager MC: Der Midnight Commander (Paketname „mc“) kann es mit jedem grafischen Pendant aufnehmen und dabei mit 256-Farben-Skins auch noch attraktiv aussehen („Optionen -> Appearance“). Voraussetzung dafür ist der Befehl „TERM=xterm-256color“ in der Datei ~/.bashrc.

Multiterminal Screen: Terminal-Multiplexer wie Screen (mit gleichnamigem Paketnamen) verwalten mehrere Terminal-Sitzungen in einem Fenster. Solche Tools sind auf der grafischen Oberfläche unnötig, aber alternativlos auf Servern, die per SSH verwaltet werden. Wenn Sie Screen starten, scheint gar nichts zu passieren. Um die Vorzüge zu erkennen, beginnen Sie am besten von vornherein mit einer Konfigurationsdatei ~/.screenrc im Home-Verzeichnis. Diese könnte etwa so aussehen wie in der nebenstehenden Abbildung. Hier werden beim Aufruf screen drei Terminals gestartet. Die „Caption“-Anzeige sorgt dafür, dass Sie in der Fußzeile über die geladenen Terminals informiert bleiben. Die Escape-Sequenzen für „Caption“ sind mühsam, aber unter www.gnu.org/software/screen/manual gut dokumentiert.

Fundamentaler Hotkey ist Strg-a, gefolgt von einer Kommandotaste: Strg-a und nachfolgendes n oder p wechselt zur nächsten oder vorherigen Konsole. Strg-a und c startet ein weiteres Terminal, Strg-d schließt das aktuelle. Ein wichtiger Hotkey ist außerdem Strg-a und Esc, weil Sie nur dann im Screen-Fenster mit Taste oder Maus in Listen scrollen können.

Datenträgerbelegung mit Ncdu: Ncdu (mit gleichnamigem Paketnamen) sortiert Verzeichnisse nach der enthaltenen Datenmenge und bietet eine sehr viel bequemere Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu beherrscht wie ein Dateimanager die Navigation zwischen den Verzeichnissen und kann aktiv löschen. Die einzig wichtige Bedienregel, die sich nicht sofort erschließt, ist die Auswahl des Startordners. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie ncdu mit

ncdu /

starten. Ncdu sortiert nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größe („size“).

Screen und seine Konfigurationsdatei: Das Tool screen macht die typische Terminalvermehrung bei Administratoren zur übersichtlichen Angelegenheit.

7. Befehle suchen

Bash-History mit Schlüsselwörter: Ein hübscher Trick, um interessante, aber seltener genutzte Befehle bei Bedarf schnell wiederzufinden, besteht in der Kommentierung der Kommandos durch Schlüsselwörter. Ein Beispiel:

lsblk -o name,fstype,uuid,size,owner,type,mountpoint,label,model # disk partition detail

Der interaktiv so eingegebene Befehl funktioniert wie gewohnt; alles ab dem Kommentarzeichen „#“ wird einfach ignoriert. Der Befehl landet aber inklusive Kommentar in der Datei ~/.bash_history. Folglich können Sie später in der History-Suche mit Strg-R ein Schlüsselwort wie „detail“ oder „partition“ eingeben, und die Suche wird Ihnen die Befehle mit diesem Kommentar anbieten. Die Wahl der Stichwörter ist dabei die anspruchsvollste Aufgabe: Sie sollten so assoziativ ausfallen, dass Sie bei späterer Suche die Sache schnell eingrenzen können – etwa durch Kategorien wie „task, folder, partition, disk, size, user, right, info, hardware“. Natürlich sind auch deutsche Kommentierungen möglich. Wer diese Möglichkeit nicht nur künftig, sondern rückwirkend nutzen möchte, kann seine .bash_history nachträglich mit solchen Kommentaren erweitern.

Exkurs: Falls Ihre Bash-Shell interaktive Eingaben mit Kommentarzeichen nicht akzeptiert, ist eine Standardeinstellung verstellt. Sie lautet „interactive_comments“ und kann bei Bedarf mit

shopt -s interactive_comments

in der Datei ~/.bashrc explizit aktiviert werden.

Apropos-Programmsuche mit Stichwort: Eine gewaltige Hürde bei der Verwendung der Shell ist die schlichte Frage, welches Kommando sich für welche Aufgabe eignet. Infoportale im Internet sind da oft enttäuschend: Alphabetische Listen sind denkbar unpraktisch, vollständige Bash-Referenzen definitiv nicht das, was man für eine schnelle Kommando-Recherche benötigt, und vorsortierte Präsentationen der „wichtigsten“ Befehle verzichten von vornherein auf Vollständigkeit.

Für eine grobe thematische Suche eignet sich der Befehl apropos, der die Datenbank der Man-Pages nach Stichworten durchsucht (identischer Befehl „man -k [Stichwort]“). So liefert apropos zumindest einen ersten Überblick:

apropos samba

Hier erhalten Sie alle Befehle, die im Zusammenhang mit Samba-Netzwerkfreigaben stehen. Mit dem Schalter „–and“

apropos --and file rename

ist ein UND-Suche nach mehreren Stichwörtern möglich.

Whatis: Was kann ein bestimmter Befehl? Whatis ist das Gegenstück zu Apropos: Es liefert für einen angegebenen Befehl genau dieselbe Kurzbeschreibung aus den Man-Pages wie Apropos. Während Sie also mit Apropos geeignete Programme für eine bestimmte Aufgabe suchen, fragen Sie mit Whatis ab, was ein bestimmtes Programm kann:

whatis diff

Wer einen systematischen Überblick über alle auf seinem System installierten Kommandozeilenprogramme erreichen will, kann diese mit

compgen -c

auflisten und diese Liste gleich mit whatis kombinieren:

for p in $(compgen -c|sort);do whatis $p >> liste.txt;done

Das Ergebnis ist eine Textdatei liste.txt mit alphabetischer Abfolge sämtlicher Systembefehle und jeweiliger Kurzcharakterisierung durch whatis.

8. Alternative Terminals

Wie Punkt 1 zeigte, geben die Standard-Terminals der Linux-Distributionen kaum Anlass, nach Alternativen zu suchen. Die gibt es natürlich: So ist Terminator (mit gleichnamigem Paketnamen) eine Fortentwicklung von Gnome-Terminal mit etlichen Zusatzfunktionen, die etwa den Textzoom mit Strg-Mausmitteltaste erlauben (wie die Konsole unter KDE) oder automatisches Ausblenden bei Fokusverlust. Weitere Funktionen fallen gegenüber dem Gnome-Terminal eher marginal aus.

Das Terminal Terminology (mit gleichnamigem Paketnamen) stammt aus dem Enlightenment-Desktop und ist so eigenwillig wie jener. Terminology entspricht weitgehend dem Gnome-Terminal, hält aber Spezialitäten bereit, die sich nach Rechtsklick automatisch einblenden. Die hier angebotenen Split-Funktionen sowie Kopieren und Einfügen per Mausklick erhöhen den Terminal-Komfort. Unter „Einstellungen“ gibt es weitere Raffinessen wie Hintergrundbilder. Trotz dieser Vorzüge ist Terminology insgesamt gewöhnungsbedürftig und hat auch Nachteile: Schriften-, Farbdarstellung und Zoomfunktion fallen gegenüber den Standard-Terminals ab.

Tilda und Guake: Diese Dropdown-Terminals haben kein interaktiv skalierbares Fenster und keine Titelleiste, sondern blenden sich in fester, aber exakt einstellbarer Größe nach Hotkey F1 (Tilda) oder F12 (Guake) ein und aus. Das Ausblenden kann auch automatisch bei Fokusverlust eingestellt werden, also durch beliebigem Klick außerhalb des Terminalbereichs. Die Einstellungen bieten Transparenz, Einblendanimation, Farbanpassung, Shell-Tabs, Suchleiste und vieles mehr. Im Fenster läuft die Bash – alle Bash-Einstellungen werden also übernommen. Für Terminal-Vielnutzer sind diese stets im Hintergrund wartenden Bash-Dauerläufer eine klare Empfehlung. Die Unterschiede zwischen Tilda und Guake sind marginal und letztlich Geschmackssache. Tilda und Guake sind über die gleichnamigen Paketnamen überall verfügbar.

Fish ist kein alternatives Terminal, sondern eine eigene Shell. Sie ist über den Paketnamen „fish“ überall verfügbar, die aktuellste Version über ein PPA (ppa:fish-shell/nightly-master). Fish bringt Farbe ins Spiel, macht selbständig ergänzende Angebote zu partiellen Eingaben und informiert bei Syntaxfehlern vorbildlich über Korrekturen. Ein Alleinstellungsmerkmal ist die Konfiguration im Browser nach diesem Befehl:

fish_config

Unter „colors“ und „prompt“ wählen Sie aus vorgegebenen Farbschemata und Prompts, und mit „Set Theme“ oder „Set Prompt“ übernehmen Sie das Ergebnis. Wichtig sind die „abbreviations“, da Sie damit Alias-Kurzbefehle anlegen können. Für Scripts verwendet Fish „functions“ mit eigener Syntax. Zielgruppe für die Fish-Shell sind Einsteiger, denen Fish den Terminal-Umgang zunächst in der Tat vereinfacht. Das Problem ist nur, dass sich Bedienung und Script-Konzept von den Standard-Terminals stark unterscheidet: Wer der Fish-Shell wieder den Rücken kehrt, fängt mit Gnome-Terminal & Co. sowie Bash praktisch wieder von vorne an.

Fensterlos und automatisch im Hintergrund: Das Dauerterminal Tilda kann sich in den Hintergrund verabschieden, wenn ein Desktop-Element außerhalb geklickt wird (Fokusverlust).

Zurück zur Linux-Übersichtsseite…

Tipps & Tools fürs Internet

Der kompakte Ratgeber erklärt wesentliche Aspekte der Internet-Nutzung hinsichtlich Effizienz und Sicherheit. Neben typischen Client-Rollen mit Browser und Mail geht es auch um öffentliche Home- und Web-Server.

Das öffentliche Netz, sprich: Internet, scheint auf den ersten Blick unkomplizierter als das lokale Netzwerk. Der Aspekt Hardware fällt unter den Tisch, denn dafür sorgen der Internet-Provider beziehungsweise die Millionen Web-Server mit ihren Mail-, Download-, Kommunikations-, Info-Diensten. Wer nur Download-technisch unterwegs ist, hat nur die Sicherheitssorge: Er muss dafür sorgen, dass kein digitaler Schmutz im eigenen lokalen Netz landet – und dabei ist Linux per se ein effizienter Schutzwall. Aber Internet ohne Uploads ist nicht realistisch: Mail, Cloud, soziale Netzwerke, Banking, Online-Konten und Synchronisierungsdienste summieren sich zu einer Entropie-Wolke veröffentlichter Upload-Daten. Hier geht es um Datenschutz, also um Schutz durch Verschlüsselung, um Überblick und um Reduktion der Datenmenge. Technisch anspruchsvoll wird es, wenn Daten von Home-Servern und Web-Servern über das Internet erreichbar sein sollen, aber vielleicht nicht für alle und jeden.

Internet-Grundlagen

Bandbreiten und MBit/s

Die Währung der Internet-Provider sind die relativ unhandlichen MBit/s, Megabits pro Sekunde. Um aus MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10 und runden großzügig auf: Bei 16 MBit/s gehen also gut 1,6 MB (2,0) pro Sekunde durch die Leitung, bei 50 MBit/s gut 5 MB (6,25). Aktuell reichen die angebotenen Bandbreiten von 2 bis 400 MBit/s. Welche Bandbreite wofür notwendig ist, soll folgende Grobübersicht zeigen:

Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe wird aber bereits bei mäßiger Qualität grenzwertig.

16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und mit Abstrichen den Zugang zu IPTV und TV-Mediatheken.

25-50 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.

100-200 MBit/s sind Bandbreiten für anspruchsvolles Home-Office und Download-Junkies mit keinerlei Limits auf der Empfängerseite. Noch schnellere Leitungen sind derzeit kaum sinnvoll, weil Internetserver solche Datenmengen selten ausliefern.

Die Übertragungstechniken

DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kommt aber durch technische Optimierung auf maximal 52 MBit/s.

Internet via Fernsehkabel ist schneller als (V)DSL und mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Vodafone und Unitymedia reichen derzeit von 32 bis 400 MBit/s.

Glasfaser direkt zum Endkunden (Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze sind in Deutschland nur sporadisch anzutreffen.

Das Funknetz UMTS erzielt theoretisch bis zu 42 MBit/s. Typische Angebote liegen bei 7, 14 und 21 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem knappen Downloadlimit auskommen. Wer dies überschreitet, wird auf mageren Kilobyte-Durchsatz gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.

Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert – in der Theorie – bis zu 375 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich überwiegend zwischen 7 und 50 MBit/s. Auch hier gibt es enge Downloadlimits, deren Überschreitung die Leitung drosselt.

Verfügbarkeit prüfen: Simpelster Rat ist es, positive Erfahrungen der Nachbarn zu erfragen. Eine systematische Recherche-Quelle ist der Breitbandatlas unter www.zukunft-breitband.de, der Techniken und Anbieter für die Region anzeigt und dabei auch einen Filter für die gewünschte Bandbreite vorsieht. Mit einer Verfügbarkeitsprüfung beim passenden Anbieter mit genauer eigener Adresse erhalten Sie dann zuverlässige Auskunft.

Downloads und Uploads: Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen Server betreibt oder beruflich große Datenmengen an Server verschicken muss, sollte auch an die Upload-Leistung denken. Die liegt oft nur bei 1 bis 3 MBit/s. Schnellere Uploads sind in der Regel nicht gesondert, sondern nur über teurere Gesamtpakete zu erreichen, die dann zugleich schnellere Downloads erlauben.

Breitbandatlas

 

Die zwei IP-Adressen (LAN und WAN)

Im lokalen Netzwerk (LAN – Local Area Network) hat jedes Gerät hat seine IP-Adresse. Der Zugang ins Internet bedeutet den Schritt in ein anderes Netzwerk – ins WAN (Wide Area Network), und dafür ist eine zweite, öffentliche IP-Adresse notwendig. Alle PCs, Tablets oder sonstige Geräte in Ihrem Heimnetz gehen mit dieser einen WAN-IP ins Internet. Die öffentliche IP-Adresse können Sie nicht beeinflussen: Sie wird dem Router einmal täglich neu vom Provider zugewiesen. Auch beim manuellen Neustart des Routers erhalten Sie eine neue öffentliche WAN-IP. Feste WAN-IPs gibt es nur noch bei einigen Uralt- oder teuren Business-Verträgen.

Für typische Internet-Nutzung ist es unerheblich, seine WAN-IP zu kennen: Das Gerät im lokalen Netz fordert eine Seite im öffentlichen Internet an (meist via Browser), der Router merkt sich die lokale IP, geht mit der öffentlichen WAN-IP zum angefragten Internet-Server, der schickt die angefragten Daten über die WAN-IP zum Router zurück, und der Router leitet sie schließlich an jenes Gerät weiter (an dessen lokale IP-Adresse), das die Anfrage ausgelöst hatte.
Der skizzierte Vorgang der „Network Address Translation“ (NAT) des Routers sorgt dafür, dass der Benutzer über den permanenten Wechsel vom lokalen Netz ins öffentliche Netz und wieder zurück nichts wissen muss. NAT sorgt ferner dafür, dass das lokale LAN-Netz und die dort befindlichen Teilnehmer vor unerwünschten Anfragen aus dem Internet abgeschottet sind: Alle Teilnehmer (IPs) im lokalen Netz sind nicht direkt erreichbar, sondern nur über die WAN-IP. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Router verwirft alle Datenpakete aus dem Internet an die öffentliche WAN-IP, die von keinem Gerät im lokalen Netzwerk angefordert wurden.

Externe WAN-IP ermitteln

Die externe WAN-IP wird wichtig, wenn Sie über das Internet auf irgendeinen Serverdienst Ihres lokalen Netzwerks zugreifen oder die Sicherheit Ihres Netzes von außen prüfen wollen (etwa mit nmap). Die WAN-IP zeigt der Router in seiner Konfigurationsoberfläche, so etwa die Fritzbox unter „Übersicht“. Ferner gibt es zahlreiche Webdienste wie etwa www.browsercheck.pcwelt.de/firewall-check, welche die öffentliche IP via Browser zurückliefern.
Auf der Kommandozeile genügt der Befehl:

curl ifconfig.co

Sie erhalten ohne Umschweife die öffentliche WAN-IP. Auch das beliebte Kommandozeilen-Tool inxi, das über den gleichnamigen Paketnamen schnell nachinstalliert ist, beherrscht mit Parameter inxi -i die Abfrage der WAN-IP.

Das Heimnetz über Portfreigaben öffnen

Wer Daten oder Dienste seines lokalen Heimnetzes unterwegs aus dem öffentlichen Internet erreichen will, steht vor technischen und sicherheitstechnischen Problemen. Hinsichtlich der Benutzerauthentifizierung müssen weit strengere Regeln gelten als im lokalen Netz, da mit permanenten Einbruchsversuchen zu rechnen ist. Daher verbieten sich standardisierte User-Namen wie „root“ oder „gast“, und bei den Zugangskennwörtern sind komplexe Passwörter zwingend, an denen Wörterbuchattacken scheitern. Technisch entstehen drei Aufgaben:

1. Der Router benötigt eine Portfreigabe. Welche Portnummer (1- 65535) Sie nach außen öffnen, ist unerheblich – Sie müssen sie sich nur merken. Mit einer Portnummer größer 1000 erhöhen Sie theoretisch die Sicherheit, da Portscanner oft nur prominente Standardports abfragen (etwa 21 FTP, 22 SSH, 80 HTTP, 110 POP-Mail, 143 IMAP-Mail) oder die ersten 1000. Die Portfreigabe geschieht im Router, in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Bei anderen Routern mag das „Portforwarding“, „Portmapping“ oder „Virtual Server“ heißen, das hier für die Fritzbox erklärte Prinzip ist aber überall gleich: Sie tragen neben „von Port“ und „bis Port“ eine frei gewählte Portnummer ein, die nach außen geöffnet wird. Unter „an Port“ müssen Sie genau den Port-Kanal angeben, mit dem der Serverdienst arbeitet. Das kann beispielsweise 22 für SSH oder 80 für einen Webserver sein. Die Abbildung zeigt ein Beispiel für den SSH-Fernzugriff.

2. Der Heimserver benötigt eine feste lokale IP. Damit der Router Anfragen aus dem Web über die definierte Portnummer (frei wählbar) an das richtige Gerät schickt, ist es zuverlässiger, sich nicht auf dessen Hostnamen zu verlassen, sondern mit einer festen IP zu arbeiten. Die Fritzbox erledigt dies unter „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen“ mit der Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

3. Für den Fernzugriff auf den heimischen Server benötigen Sie die öffentliche WAN-IP. Der Fernzugriff für das abgebildete SSH-Beispiel kann dann mit ssh -p [Port] [User]@[WAN-IP] erfolgen, also etwa mit:

ssh -p 10880 ha@178.27.34.204

Dabei stellt sich jedoch das Problem, dass Sie die aktuelle WAN-IP Ihres Heimnetzes nicht ermitteln können, wenn Sie sich außerhalb Ihres Netzwerks befinden. Dafür gibt es zwei Lösungen:

3a. Sie registrieren eine Pseudo-Domain etwa bei www.noip.com oder www.dlinkddns.com (für D-Link-Router). Kontodaten und Hostnamen geben Sie dann in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigaben -> Dynamic DNS“. Der Router wird ab sofort bei jeder Einwahl seine WAN-IP an diesen Dienst weitergeben. Folglich führt die Angabe der Pseudo-Domain weltweit in Ihr Heimnetz.
3b. Sie sorgen selbst dafür, dass die aktuelle WAN-IP Ihres Netzwerks irgendwo im Internet hinterlegt ist. Für diese Methode ohne externe Fremdhilfe liefert der nachfolgende Haupttext dieses Artikel Tipps und Anregungen.

Portfreigabe

Speedtest mit und ohne Browser

Wie schnell ist die Internetverbindung? Als aussagekräftig haben sich die Messwerte von Speedtest.net erwiesen (www.speedtest.net), und viele Provider, die scheinbar eigene Speedtests anbieten, nutzen im Hintergrund ebenfalls Speedtest.net. Die typische Messung erfolgt mit dem Browser, der dazu aktuelles Adobe Flash benötigt. Auf Linux-Systemen, zumal auf Servern ohne grafische Oberfläche, gibt es eine universellere Testmethode im Terminal. Das Python-Script speedtest.py benötigt keinen Browser, lässt sich mit

wget -O speedtest.py https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

in das aktuelle Verzeichnis laden und danach mit

python speedtest.py

starten. Durch Pings ermittelt das Script den optimalen Testserver und führt dann die Messungen für die Download- und Upload-Geschwindigkeit durch. Technische Basis ist auch hier der weltweite Web-Service von speedtest.net.

Speedtest

Wie schnell ist der Web-Server?

Wer seinen eigenen Webserver testen will, nutzt am besten das Kommandozeilen-Tool Siege, das unter diesem Paketnamen überall unter Linux verfügbar ist. Siege erzeugt auf dem Zielserver mit einer konfigurierbaren Flut von Anfragen eine ordentliche Last. Siege hat die Anlagen eines Denial-of-Service-Tools und sollte nur zeitlich und numerisch begrenzt, außerdem nur auf eigene Server losgelassen werden. Einen Stresstest mit 50 Verbindungen startet dieses Kommando:

siege -c50 -b www.meinserver.de

Die Anfragen laufen endlos, bis Sie mit Strg-C abbrechen. Nach Abbruch der Belagerung zeigt Siege eine Statistik der Messwerte an. Weitere Server-Tests mit zusätzlichen Ratschlägen zur Leistungsverbesserung bieten Web-Dienste wie https://developers.google.com/speed/pagespeed/insights von Google oder die Pingdom-Analysen unter http://tools.pingdom.com/fpt/.

Downloads und Uploads mit wget und curl

Für automatisierte Downloads und Uploads sind Browser und grafische FTP-Programme ungeeignet. Die wichtigsten Kommandozeilen-Werkzeuge wget und curl sind daher auf den meisten Linux-Systemen standardmäßig installiert. Wget beherrscht den rekursiven Download und kann somit eine komplette Website lokal speichern:

wget –r -l8 http://meineseite.de

Dieser Befehl holt bis in die achte Verzeichnisebene (-l8) alle Dateien von der angegebenen Website. Einzeldownloads sind natürlich mit wget http://seite.de/Datei.txt ebenfalls möglich. Über wget-Downloads lassen sich auch PHP-Scripts auf Web-Servern auslösen. Wo nötig, kann sich wget über die Parameter „–user=“ und „–password==“ auf dem Webserver ausweisen.

Curl beherrscht Uploads und Downloads, allerdings nicht rekursiv. Da Sie alle Downloads mit wget erledigen können, ist Curl vor allem für automatische Uploads relevant. Der entscheidende Parameter für Uploads ist „-T“. Die meist nötige Authentifizierung für FTP-Uploads beherrscht Curl über den Parameter „–user [ftpuser]:[kennwort]“. Das folgende konkrete Beispiel

curl -T ha.kbdx ftp://meinserver.de/ordner/ha.kbdx --user ha:geheim

ist im nachfolgnden Haupttext genauer erläutert.

Domain-Abfragen mit Host und Whois

Das standardmäßig installierte Tool host gibt die IP-Adresse einer Web-Domain zurück:

host google.de

Wer weitere Details erfragen will, sollte whois nachinstalieren, das mit gleichnamigen Paketnamen unter jedem Linux zu beziehen ist. Das Tool liefert zur angegebenen Site mindestens ausführliche Angaben zum Hoster, oft aber weitere Infos zum Domain-Besitzer einschließlich Adresse und Telefon. Whois ist auch hilfreich, um bei Spam-Mails mit gefälschten Adressen den realen Web-Server zu ermitteln.

 

Tipps und Tricks fürs Internet

1. Sicherheit im Browser: Die Schutzmechanismen

Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der durch Add-ons erweitert werden sollte. Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option “ Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß die Option technisch klarer „Phishing- und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden.

Weitere empfohlene Browser-Erweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium. Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten die Scripts explizit erlaubt werden müssen. Einmal erlaubte Sites landen aber in der Whitelist und müssen später nicht mehr bestätigt werden.

Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Web-Seiten nicht mehr funktionieren (etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung, steht nach der Einstellung von Notscript 2014 aus.
HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Daten eingeben.

Die über Jahre empfohlene Erweiterung Web of Trust (WOT) ist nach Bekanntwerden zweifelhafter Verkaufspraktiken disqualifiziert. WOT basiert auf einer an sich zuverlässigen Community-Datenbank mit betrügerischen oder jugendgefährdenden Websites und warnt vor dem Betreten solcher Seiten. Ende 2016 wurde allerdings bekannt, dass WOT die gesammelten Benutzerdaten an Big-Data-Kollektoren verkauft. Mozilla Firefox nahm WOT umgehend aus seinem Add-on-Angebot, und wo es bereits läuft, rät der Browser zur Abschaltung. Für Google Chrome ist es weiter erhältlich. WOT erhöht weiterhin die Sicherheit bei der Internet-Nutzung, ist aber aus Datenschutzgründen mehr als bedenklich.

Firefox blockt WOT: Die Browser-Erweiterung WOT verkauft gesammelte Nutzerdaten und hat sich damit aus Datenschutzgründen disqualifiziert.

2. Maximale Sicherheit: Banking mit Livesystem

Die Mehrzahl der Bankgeschäfte – Überweisungen, Buchungen, Daueraufträge – werden heute online mit SMS-TANs erledigt. In diesem Fall ist der Browser die Schnittstelle zur Bank, und dessen Sicherheitslücken können potenzielle Angreifer ausnutzen. Voraussetzung bei allen bisher bekannten Angriffsmethoden war aber immer, dass unabhängig von der eigentlichen Banking-Aktion bereits vorher schädlicher Code auf dem System eingeschleust wurde. Daher bietet das virenresistente Linux deutlich höhere Sicherheit als Windows. Überhaupt keine Chance haben Schädlinge, wenn Sie Bankgeschäfte mit Linux und einem schreibgeschützten Livesystem erledigen.
Spezialisierte Livesysteme mit Sicherheitsfokus sind Tails (https://tails.boum.org/index.de.html), Porteus (www.porteus.org) oder Trusted End Node Security (früher Lightweight Portable Security, https://www.spi.dod.mil/lipose.htm). Im Prinzip minimiert aber jedes beliebige Livesystem alle Risiken drastisch. Auf Livesystemen überleben Systemveränderungen vom Benutzer oder von einem Virus keinen Neustart. Da Sie als Software nicht mehr als den Browser benötigen, eignen sich am besten kleine, schnell startende Livesysteme wie etwa Puppy Linux, Quirky, Antergos oder Bunsenlabs.

Mit einem Linux-Livesystem sicher zur Bank: Da nur ein Browser notwendig ist, genügt jedes minimale Livesystem wie hier Puppy Linux.

3. Datenschutz durch Spezialsystem Tails

Tails (The Amnesic Incognito Live System) ist eine populäre Linux-Distribution im Zeichen von Anonymität und Datenschutz. Wenn Sie auf der Projektseite https://tails.boum.org auf „Installieren Sie Tails“ klicken, startet ein deutschsprachiger Installations-Assistent, der Sie Schritt für Schritt bei der Erstellung eines USB-Sticks begleitet. Tails erfüllt als Livesystem alle Sicherheitsansprüche, geht aber wesentlich weiter: Es nutzt das Tor-Netzwerk, das sämtlichen Internetverkehr (Browser, Mail, FTP) über jeweils drei Zwischenstationen abwickelt. Zielserver erfahren also nie Ihre öffentliche WAN-IP, sondern nur die des letzten Tor-Knotens.

Das Livesystem ist vorab so konfiguriert, dass alle Internet-Programme wie Browser oder Mail-Client das Tor-Netzwerk einsetzen. Sobald Sie sich angemeldet haben, dauert es ein paar Sekunden und Sie erhalten die Benachrichtigung, dass Tor gestartet ist. Das Zwiebelsymbol im Systempanel färbt sich grün. Ein Rechtsklick und der Aufruf des „Kontrollpanel“ bestätigt die Verbindung zum Tor-Netz. Somit können Sie mit dem anonymisierten Surfen beginnen. Wenn Sie eine der zahlreichen Seiten zur Ermittlung Ihrer externen IP-Adresse aufrufen (www.wieistmeineip.de), werden Sie sehen, dass sich die externe Adresse regelmäßig ändert.

Als Tor-Knoten kann sich allerdings jeder zu Verfügung stellen („Einstellungen -> Beteiligung -> Relais-Verkehr…“). Es gibt keine technische (Bandbreite) oder personelle Kontrolle. Die Surfgeschwindigkeit kann daher je nach Zwischenstationen beträchtlich sinken. Gelingt es Überwachungsstellen, Tor-Knoten zu kontrollieren, können Nutzer wieder de-anonymisiert werden. Außerdem ist es bei strafrechtlichen Tatbeständen zwar ein ungleich höherer Aufwand, aber keineswegs ausgeschlossen, durch Analyse aller Tor-Verbindungsdaten die Spur zum Täter zurückzuverfolgen.
Für (technische) Sicherheit im Web ist Tails nicht notwendig. Es handelt sich um ein Anonymisierungswerkzeug für besonders misstrauische Nutzer, die dafür auch langsame Verbindungen in Kauf nehmen. Wer nur Datensammler wie Google mit Re-Targeting und nachfolgender Werbebelästigung loswerden will, kommt mit dem „Private“- oder „Inkognito“-Modus von Firefox und Chrome aus (-> Punkt 5).

4. Datenschutz im Browser: Verschlüsselte Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Online-Kennwörtern, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.
Der Mozilla-Browser Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf Mozilla zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
In Chrome/Chromium werden standardmäßig nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterten Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Keine Infos an Google verschenken: Die Browser-Synchronisierung in Chrome und Chromium lässt sich so einstellen, dass Google nichts mehr zu lesen hat.

5. Datenschutz im Browser: „Inkognito“ und „Do not Track“

„Inkognito“ Surfen bietet keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen. Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist aber eine nützliche Datenschutzmaßnahme: Es unterbindet den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Web-Protokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Online-Shops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.

Neben dem nützlichen Inkognito-Modus bietet mittlerweile fast jeder Browser eine „Do not track“-Option. Dieser Info-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, diese Bitte zu berücksichtigen. In Chrome/Chromium wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Auch beim Firefox ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“.

6. Datenschutz: Mailverschlüsselung mit Thunderbird

Das Verschlüsseln der Mail-Korrespondenz ist wie jede Datenschutzmaßnahme mit gewissem Mehraufwand verbunden. Die Kombination von GnuPG plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, erfordert aber etwas Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Thunderbird und GnuPG (GNU Privacy Guard) sind auf Linux-Desktops meist vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet (für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie in Thunderbird über „Add-ons“.

GnuPG verwendet zwei Schlüssel: Der öffentliche Schlüssel eines Mail-Teilnehmers wird dafür genutzt, Nachrichten an diesen Teilnehmer zu verschlüsseln. Der Teilnehmer selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel.
Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch angebotenen Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später, um auf Ihre Schlüssel zugreifen zu können. Es bildet auch die Grundlage für die Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar (öffentlich/privat) an. Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn Ihnen dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche GnuPG-Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Enigmail lässt sich auch so einstellen, dass Mails automatisch verschlüsselt gesendet werden, wenn für die Empfänger-Adresse schon ein Schlüssel vorliegt („Enigmail -> Einstellungen -> Senden“). Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, aber kein Empfänger-Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine E-Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich dann auf dem nächsten Rechner in einem Rutsch importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

7. Datenschutz: Verschlüsseln der Cloud-Daten

Dateien auf Dropbox, Onedrive, Hidrive & Co. sollten verschlüsselt werden, zumindest jene mit sensiblem Inhalt. Ohne Vorbereitung praktikabel, aber etwas unkomfortabel sind passwortgeschützte Packer-Archive etwa mit 7-Zip. Wenn Sie eine Cloud wie Dropbox über einen lokalen Synchronisierungsordner nutzen, dann ist der Einsatz von EncFS (Encrypted File System) mit grafischem Frontend Cryptkeeper komfortabler. EncFS und Cryptkeeper sind unter Debian, Ubuntu oder Linux Mint mit

sudo apt-get install encfs cryptkeeper

schnell nachinstalliert. Die Ersteinrichtung müssen Sie auf der Kommandozeile mit encfs erledigen, da Cryptkeeper Quellordner und Mountordner auf gleicher Ebene anlegt. Das wäre in diesem Fall kontraproduktiv, weil die Cloud neben den verschlüsselten auch die unverschlüsselten Dateien erhielte:

 encfs ~/dropbox/privat ~/Dokumente/dropbox

Sie arbeiten dann unter „~/Dokumente/dropbox“ normal mit den Dateien, die unter „~/dropbox/privat“ verschlüsselt werden. In der Cloud landen demnach nur verschlüsselte Daten.
Den bequemen cryptkeeper mit seinem Schlüsselsymbol in der Systemleiste können Sie später über die Option „Importiere EncFS Ordner“ mit dem Dropbox-Ordner bekannt machen. Der erlaubt einfache Auswahl zwischen mehreren EncFS-Ordner und schnelles Mounten und Aushängen per Mausklick.
Beachten Sie, dass alle sonstigen Dateien im Cloud-Verzeichnis weiter unverschlüsselt bleiben. Wenn Sie diese nachträglich verschlüsseln möchten, müssen Sie diese in den verschlüsselten Unterordner verschieben.

8. Datenschutz: Keepass-X mit Synchronisierung

Die Browser-Synchronisierung (-> Punkt 4) ist eines der komfortabelsten Cloud-Angebote. Dennoch hat sie zwei Mängel: Erstens machen Sie sich abhängig von Google oder Mozilla, zweitens speichern Firefox und Chrome keine lokalen Kennwörter. Wenn Sie alle Passwörter im Griff haben wollen, brauchen Sie zusätzliche Hilfe.
Der Passwort-Manager Keepass-X, der in gängigen Distributionen in den Paketquellen liegt (Debian/Ubuntu/Mint: sudo apt-get install keepassx) arbeitet als lokale Software und öffnet die maßgebliche KBDX-Datenbankdatei nach Eingabe des Keepass-Masterpassworts. Eine Synchronisierung der KBDX-Datei über mehrerer Rechner ist leider nicht vorgesehen, lässt sich aber über einen Trick erreichen, etwa über den lokalen Synchronisierungs-Ordner von Dropbox. Dann genügt es, Keepass-X mit der aktuellen KBD-Datei über den Aufruf

keepassx ~/Dropbox/[name].kbdx

zu laden. Dieser direkte Aufruf der Datenbankdatei funktioniert auch unter Windows.
Wer selbst einen Server besitzt, kommt ohne Cloud-Dienst aus und kann mit einem simplen Bash-Wrapper wie

cd ~
curl -O ftp://server.de/ordner/[name].kbdx --user 
  ftpuser:ftpkennwort
keepassx ~/[name].kbdx
curl -T [name].kbdx ftp://server.de/ordner 
  /[name].kbdx --user ftpuser:ftpkennwort

dafür sorgen, dass Keepass immer die aktuelle Datenbank nutzt und Änderungen wieder auf den Server zurückschreibt. Die KBDX-Datei ist per se verschlüsselt und kann ohne weiteren Schutz auf jedem Server liegen.

Verschlüsselte Keepass-Datenbank: Ohne Kenntnis des Datenbank-Kennworts bleibt der Keepass-Safe verschlossen. Die KBDX-Datei liegt daher auch auf öffentlichen Servern sicher.

9. Server: Homepage – öffentlich statt privat?

Eine Homepage kann neben öffentlichen Aufgaben auch dazu dienen, wichtige Downloads oder Infos bereitzustellen, die Sie überall erreichen wollen. Dabei sollten Sie aber sichergehen, dass nicht öffentlich wird, was Sie für den privaten Bedarf bevorraten. Google und andere Suchmaschinen durchsuchen praktisch alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF- und Postscript-Dateien. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen ist also eine Methode, um die Crawler von Privatinhalten fernzuhalten. Eine weitere, noch einfachere Lösung ist ein „Disallow“ in der robots.txt. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: *
Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar an die robots.txt halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

10. Server: Homepage ohne Dateiauflistung

Ohne spezielle Vorkehrungen ist theoretisch jede Datei im Web von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine index.php oder index.html verwenden, die den Inhalt des Verzeichnisses auflistet. Der für Websites meist verantwortliche Apache-Server kann sogar so eingestellt sein, dass er Verzeichnislisten automatisch anbietet, ohne dass dafür eine Index-Datei notwendig wäre („/etc/apache2/apache2.conf“ und Einstellung „Options Indexes FollowSymLinks“). Hier genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“, „uploads“), um den Inhalt anzuzeigen und herunterzuladen. Standardmäßig schalten die Web-Hoster diese Einstellung allerdings ab.

Ungewöhnlich benannte Verzeichnisse oder PHP- und HTML-Datei erschweren das Erraten von privaten Daten. Allerdings gibt es spezialisierte Tools wie Dirbuster, die öffentliche Webserver hartnäckig nach Verzeichnisnamen durchkämmen, die in einer Wörterbuchdatei definiert sind. Deutlich sicherer ist es, den Zugriff mit einer htaccess-Datei zu beschränken. Das müssen Sie nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bieten etwa Strato oder 1&1 einen „Verzeichnisschutz“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, danach das gewünschte Verzeichnis schützen und drittens dem vorher angelegten Benutzer eine Freigabe für das Verzeichnis erteilen.

Homepage als Cloud: Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist. Der Schutz via htaccess ist am einfachsten über das Kundencenter des Hosters zu aktivieren.

11. Server: Portfreigabe ohne Fremdhilfe

Wie Sie einen Web-, FTP- oder SSH-Server im heimischen Netzwerk für das Internet freigeben, ist im Kasten „Internet-Grundlagen“ beschrieben. Wie dort skizziert, ist das Problem der wechselnden WAN-IP durch die tägliche Zwangstrennung auch ohne Hilfe durch Dyndns-Anbieter wie www.noip.com zu lösen. Die Zutatenliste hierfür ist keine große technische Herausforderung. Im Wesentlichen geht es nur darum, dass Sie Ihre aktuelle WAN-IP zuverlässig irgendwo im Internet vorfinden. Damit und mit der Portnummer, die Sie im Router freigegeben haben, kommen Sie dann von außen an den Home-Server. Im einfachsten Fall erkundigt sich ein Rechner im Heimnetz einmal täglich bei einem Web-Dienst nach der WAN-IP und schreibt sie in eine Textdatei:

curl ifconfig.co > wan-ip.txt

Diese Textdatei kopieren Sie dann etwa in den lokalen Synchronisierungsordner der Dropbox, wonach sie umgehend im Internet erreichbar ist. Oder Sie kopieren sie mit

curl -O ftp://meinserver.de/ordner/wan-ip.txt  
  --user [user]:[ftpkennwort]

auf einen FTP-Server im Web.
Wenn Sie eine Webseite besitzen oder einen Bekannten, der Ihnen dort Zugriff und ein paar Kilobyte einräumt, dann geht es auch ganz ohne Cloud und Web-Dienste:
1. Die Abfrage der WAN-IP muss aus dem heimischen Netz erfolgen. Am besten erledigt das der Server, dessen Dienste Sie freigeben wollen, mit einem Cronjob (nach crontab -e):

0 8 * * * wget --user=sepp --password=G3H3IM 
   http://server.de/ip/wan-ip.php

2. Das täglich um acht Uhr mit wget angestoßene PHP-Script liegt auf Ihrer oder Ihres Bekannten Website und enthält im Minimalfall folgende Zeilen:

Der Webserver ermittelt die WAN-IP Ihres Heimnetzes, da die Anfrage von dort kommt, und legt sie als TXT-Datei am Server ab – im gleichen Verzeichnis, wo auch das Script liegt. Somit können Sie die IP weltweit abgreifen und damit Ihr Heimnetz betreten.
Beachten Sie bei einer frei gewählten Nummer für die Portfreigabe (siehe „Internet-Grundlagen“), dass Sie beim Fernzugriff unbedingt auch den Port angeben müssen. Einen Apache-Webserver erreichen Sie dann etwa mit der Adresse http://[WAN-IP]:[Port] oder gegebenenfalls mit zusätzlicher Angabe des Verzeichnisses (etwa http://[WAN-IP]:[Port]/dokuwiki).

Portfreigabe und Adresse: Das im Router fürs Web freigebenene Wiki ist über die WAN-IP erreichbar. Die zusätzliche Port-Angabe ist erforderlich, weil der freigebenene Port auf 11080 gelegt wurde.

13. Server: Datentransfer über SSH (SFTP)

Ein über das Internet mit SSH zugänglicher Server bietet nicht nur Fernwartung im Terminal, sondern auch direkten Dateitransfer. Der verläuft verschlüsselt und ist somit sicherer FTP. Auf der Kommandozeile gibt es die Befehle scp (Secure Copy) und sftp (Secure File Transfer Protocol):

scp test.txt sepp@[WAN-IP]:~/sftp sepp@[WAN-IP]

Portfreigaben mit abweichender Portnummer (Standard ist 22) können Sie beiden Tools dem Parameter „-P“ mitteilen.

Weit komfortabler ist der Einsatz grafischer Dateimanager. Nautilus & Co. verstehen URLs wie ssh://[WAN-IP]:[Port] in der Adresszeile (die Adresszeile lässt sich mit Strg-L einblenden). Selbst unter Windows gibt es einen bequemen Zugriff: Filezilla beherrscht neben FTP auch SFTP: Sie können daher einen freigegebenen SSH-Server mit der WAN-IP, seinen Authentifizierungsdaten („Verbindungsart: Normal“) und SFTP-Protokoll in den Servermanager eintragen und sich verbinden.

Achtung: SFTP hat ein historisches Problem, das nach erfolgreicher Anmeldung zu Zeitüberschreitungsfehlern führt. Relativ einfache Abhilfe schafft eine Korrektur der Datei /etc/ssh/sshd_config auf dem SSH-Server. Ersetzen Sie dort

Subsystem sftp /usr/lib/openssh/sftp-server

durch „Subsystem sftp internal-sftp“ und starten Sie den SSH-Dienst mit sudo service ssh restart neu.

Via Internet am SSH-Server: Mit den Linux-Dateimanagern Nautilus & Co. gelingt der Datenaustausch problemlos und komfortabel. Unter Windows kann Filezilla aushelfen.

13. Server: Benutzer bei SSH ausschließen

Standardmäßig kann sich jeder Benutzer, der ein Konto auf einem Linux-Server hat, per SSH mit Kontonamen und Passwort anmelden. Im lokalen Heimnetz ist das meist in Ordnung, bei öffentlich erreichbaren Servern nicht. Der Benutzer root beispielsweise sollte sich nicht anmelden können, denn hier ist von den beiden Zugangshürden (Benutzer plus Kennwort) schon mal eine bekannt. Wenn ein Angreifer das root-Passwort durch eine Wörterbuchattacke errät, ist das System kompromittiert. Um root und andere Benutzer von SSH auszuschließen, ist eine Anpassung der Konfigurationsdatei /etc/ssh/sshd_config nötig. Tragen Sie die Zeile

 PermitRootLogin no

an einer beliebigen Position ein, um einen root-Login zu verbieten. Wichtige Voraussetzung für diese Maßnahme ist, dass sudo für einen oder mehrere Benutzer eingerichtet ist, damit man sich als Admin nicht selbst über das Netzwerk aussperrt. Weitere Benutzer schließen Sie durch die Zeile

DenyUsers [Benutzer1] [Benutzer2]

aus, wobei die Platzhalter [Benutzer] durch die tatsächlichen Namen der Benutzerkonten ersetzt werden. Die Einstellung wird nach

sudo service ssh restart

aktiv.

Zurück zur Linux-Übersichtsseite…

Linux-Systemtools in der Praxis

Um ein Linux-System zu beherrschen, greifen die Klicks in den „Systemeinstellungen“ zu kurz. Lesen Sie hier, wo Sie Systeminfos einholen, Protokolle und Konfiguration abgreifen, über User, Rechte und Tasks herrschen und Ihre Datenträger verwalten.

Systemtools

Wie viel Speicher steckt im Rechner? Sind noch Bänke frei? Wo ist die Konfigurationsdatei für den Samba-Server? Wie beende ich ein eingefrorenes Programmfenster? Und wo ist das Mount-Verzeichnis für das eingehängte Netzlaufwerk? Diese und viele weitere Fragen soll der folgende Beitrag praxisnah beantworten. Dabei kommen prominenteste grafische Programme unter den Desktop-Systemen Ubuntu und Linux Mint zu Wort, aber den größeren Anteil erhalten die typischen Terminalprogramme. Diese haben nämlich zwei entscheidende Vorteile: Erstens funktionieren sie auf allen Linux-Distributionen, zweitens sind sie alternativlos, wenn ein Server per SSH im Terminal administriert wird.

Alle Themen zu Netzwerk, Freigaben, Fernwartung, Internet bleiben außen vor. Einzige kleine Ausnahme sind Tipps zum Mountpunkt von Netzressourcen. Ein vergleichbares Praxis-Special zum Thema „Netzwerk“ ist für die nächste LinuxWelt geplant.

Hardware- und Systeminfos (1): Grafische Werkzeuge

Ubuntu gibt an der grafischen Oberfläche wenig über Hardware und System preis: Was hier unter „Systemeinstellungen -> Informationen“ angezeigt wird, kommt über Gesamtspeicher, CPU und die Angabe der Ubuntu-Version nicht hinaus. Wer ein grafisches Übersichtsprogramm vermisst, kann mit

sudo apt-get install hardinfo

ein bewährtes Tool nachinstallieren. hardinfo nennt sich auf deutschem System „System Profiler und Benchmark“ und ist unter Linux Mint standardmäßig an Bord (im Menü unter den „Systemtools“). Das Tool hat links eine Kategorienspalte, zeigt im rechten Fenster die zugehörigen Werte und generiert auf Wunsch auch einen HTML-Export. Hardinfo ist übersichtlich, klickfreundlich und zeigt wesentliche Infos – auch zum Betriebssystem, zum Dateisystem und zum Netzwerk. Außerdem gibt es einige Standardbenchmarks.

Ein weiteres empfehlenswertes grafisches Tool ist i-nex 0.5.2, das Sie unter https://launchpad.net/i-nex als DEB-Paket erhalten und mit Doppelklick unter Ubuntu/Mint installieren und danach verwenden können. Das Programm ähnelt CPU-Z für Windows, ist übersichtlicher und präziser als hardinfo, beschränkt sich aber ausschließlich auf die Hardware-Komponenten.

Empfehlung für Deskop-Nutzer: „System Profiler und Benchmark“ (hardinfo) hat ein umfassendes Repertoire zur Recherche der System-, Hardware- und Netzwerk-Eigenschaften.
Ganz auf Hardware spezialisiert: i-nex ist das übersichtlichste und präziseste grafische Werkzeug zur Hardware-seitigen Rechner-Inventur.

Hardware- und Systeminfos (2): Terminal-Werkzeuge

Die meisten grafischen Tools gießen nur die Ausgabe von Konsolen-Kommandos in eine hübschere grafische Form. Daher suchen und filtern Sie die gewünschten Daten letztlich zielsicherer, wenn Sie sich mit Konsolenwerkzeuge wie dmidecode, hwinfo und dmesg anfreunden und häufiger benötigte Infos als Script oder als Alias-Abkürzungen für das Terminal ablegen.

hwinfo: Das Tool ist meistens nicht Standard, aber über den gleichnamigen Paketnamen überall schnell nachinstalliert. Während

hwinfo --short

nur einen knappen Überblick über CPU, Grafikkarte, Festplatten, Netzwerk-Adapter und Festplatten-Controller verschafft, sammelt hwinfo ohne Parameter einen sehr umfangreichen Hardware-Bericht, der dann allerdings kaum mehr lesbar erscheint. Daher gibt es eine Vielzahl von (kombinierbaren) Schlüsselwörtern, um die Recherche einzugrenzen:

hwinfo --disk --partition

Die insgesamt 50 verfügbaren Kategorien zeigt das Tool nach hwinfo –help an.

Sämtliche USB-Geräte und PCI-Ports können auch die spezialisierten Standardtools lspci und lsusb, wobei Sie die Gesprächigkeit der Ausgabe durch die Parameter „-v“ und „-vv“ erhöhen können.

dmidecode: Nicht ganz so ausführlich wie hwinfo, aber für alle prakitschen Zwecke ausreichend arbeitet dmidecode, das root-Rechte oder vorangestelltes sudo benötigt. dmidecode unterstützt nach dmidecode -t einige Schlüsselwörter wie „bios“, „system“, „baseboard“, „processor“, „memory“, erwartet aber normalerweise eine Kennziffer (siehe man dmidecode). Eine detaillierte Aufstellung der Speicherbestückung liefert dmidecode beispielsweise mit der Kennziffer „17“:

sudo dmidecode -t 17

Hier erhalten Sie für jedes „Memory Device“ eine exakte Info über Größe, Typ und Geschwindigkeit. dmidecode kann auch gezielt mehrere Infos abfragen:

sudo dmidecode -t 5,6,16,17

Dieses Beispiel entspräche diesem Befehl

sudo dmidecode -t memory

mit dem Schlüsselwort „memory“.

dmesg: Bei Boot- und Hardware-Problemen ist dmesg („driver message“) das einschlägige Tool. Es zeigt die Kernel-Meldungen der laufenden Sitzung. Die Hauptmenge des dmesg-Protokolls fallen naturgemäß beim Booten des Rechners an. Wenn Sie den ungefähren Zeitpunkt des Hardware-Problems kennen, lassen Sie sich mit Schalter „-T“ die exakte Zeit der Kernelmeldung ausgeben:

dmesg -T

Damit können Sie die Mehrzahl der Meldungen zeitlich ausfiltern. Bei reproduzierbaren Problemen hilft auch dmesg -c: Das löscht nämlich alle bisherigen Meldungen, und Sie können dann die problematische Aktion ausführen und anschließend noch einmal dmesg -T befragen. Die Interpretation der Meldung ist dann freilich ein weiteres Problem: Eventuell enthält diese einen Hinweis auf ein konkretes Gerät. Details müssen Sie aber in der Regel über das Web recherchieren.

Hardware- und Systeminfos (3): Das Tool inxi

Das Kommandozeilen-Tool inxi ist nicht so detailliert wie hwinfo oder dmidecode, aber eine kompakte und schnelle Info-Perle für den Blick aufs Wesentliche. Sie erhalten das Bash-Monster unter Ubuntu/Mint über die Paketquellen:

sudo apt-get install inxi

Wer die aktuellste Version haben will, kann das Installationspaket für Ubuntu und Co. auch mit

wget ftp://cathbard.com/binary/inxi*.deb

laden und das Deb-Paket dann per Doppelklick installieren. Die Terminal-Eingabe

inxi –v7 –c12

wirft alle wesentlichen Hardware-Infos aus. „-v7“ steht für maximale Gesprächigkeit, „-c12“ ist nur eine Farbcodierung zur besseren Lesbarkeit. Selbstverständlich kann inxi auch gezielt Einzelinfos abrufen, etwa inxi –S zur detaillierten Anzeige des Betriebssystems oder inxi –s zur Abfrage der Temperatursensoren. man inxi zeigt die ganze, nicht ganz triviale Schalterpalette des Tools.

Komprimierte Anzeige nach typischer Parameterkombination: Was inxi auf wenigen Zeilen an Infos anbietet, ist beeindruckend.

Zur Abfrage der CPU- und System-Temperatur nutzt inxi das Tool lm-sensors, das daher ergänzend installiert werden sollte:

sudo apt-get install lm_sensors

Danach konfigurieren Sie das Tool mit

sudo sensors-detect

ein, wobei Sie alle Fragen bejahen. Nach dem Scan nach vorhandenen Sensoren erhalten Sie dann durch die Eingabe sensors oder auch mit inxi die aktuellen Temperatur-Infos.

Ausgabe des Kommandos sensors: Das Tool nennt auch gleich kritische Vergleichswerte, so dass Sie die aktuellen Werte beurteilen können.

inxi durch Aliases vereinfachen: Das Tool inxi hat annähernd 100 Schalter zur Auswahl bestimmter Infos und ihrer Darstellung (siehe inxi –help). Am einfachsten ist der Einsatz der Verbose-Level v0 bis v7, so etwa der Befehl inxi –v7 mit maximaler Gesprächigkeit innerhalb dieser Levels. Diese vereinfachenden Levels decken aber nicht das ganze Spektrum ab. So ist folgende Task-Analyse in diesen Levels gar nicht vorgesehen:

inxi –tc3 –tm3

Dies liefert die drei jeweils Ressourcen-intensivsten Tasks für CPU (c) und Speicher (m). Genauso wenig ist eine Anzeige der Repositories mit inxi –r in den Verbose-Level enthalten.

Wer mit einem Befehl noch mehr Infos abrufen will, kann dies mit einem Alias in der Datei ~/.bashrc erzielen, das mehrere inxi-Schalter kombiniert:

alias info='inxi -v7; echo " "; inxi -tm3; echo " "; inxi -tc3

Da inxi die Informationen äußerst komprimiert präsentiert, erzielen Sie ein besser lesbareres Resultat, wenn Sie mit einem Alias obigen Musters einzelne Infos abfragen und durch Leerzeilen trennen.

An dieser Stelle finden Sie ein Beispiel-Script ii.sh, das die Benutzung von inxi weiter vereinfacht. Es zeigt, wie Sie sich das Memorieren und Durchsuchen der zahlreichen inxi-Schalter ersparen und wie Sie außerdem weitere Informationen einbauen. Das Script ist am besten unter /usr/bin aufgehoben und benötigt das Execute-Flag (chmod +x ii.sh). Eine Alternative ist der Einbau als function in die versteckte Datei ~/.bashrc. Dazu ist der gesamte Code einfach zwischen

function ii ()
{
[Code]
}

zu kopieren.

Benutzung von inxi vereinfachen und erweitern: Ein einfaches Bash-Script nutzt inxi, sorgt aber für mehr Übersicht und zeigt Erweiterungsmöglichkeiten.

Hardware- und Systeminfos (4): Hardware Detection Tool (HDT)

Das Tool HDT (http://hdt-project.org/) verschafft einen umfassenden Überblick zur Hardware eines Computers, auf dem kein funktionierendes Betriebssystem installiert ist. HDT ist aber auch dann nützlich, wenn Sie mit dem installierten Betriebssystem nicht ausreichend vertraut sind, um damit schnell die erforderlichen Hardware-Informationen zu recherchieren.

Wählen Sie am besten den komfortableren „Menu Mode“. HDT zeigt alle Basisinformationen zur Hardware auf x86-kompatiblen Systemen an, unter anderem zu CPU, Hauptplatine, PCI-Karten, RAM-Speicher, DMI-Geräte, Soundchip, Festplatten und VESA-Fähigkeiten der Grafikkarte. Unter „Processor“ finden Sie auch sämtliche CPU-Extensions wie etwa die PAE-Fähigkeit (Physical Address Extension). Mit dem Eintrag „Reboot“ im textbasierten „Main Menu“ verlassen Sie das Tool und starten den Rechner neu.

Alle wichtigen Hardware-Infos mit HDT: Das Tool ist die schnellste Option einer Hardware-Inventur, wenn ein Betriebssystem fehlt oder dafür zu umständlich ist.

Verwaltung der User und Rechte

Der Kernel arbeitet mit numerischen User-IDs (UID) und Group-IDs (GID). Für die Übersetzung von Namen zu Nummern und umgekehrt sorgen die Konfigurationsdateien /etc/passwd (Benutzer) und /etc/group (Gruppen). So zeigt cat /etc/passwd alle Benutzerkonten einschließlich der impliziten Systemkonten. Eine Sortierung nach der User-ID mit

sort -t ":" -nk 3 /etc/passwd

macht die Liste übersichtlicher, da alle explizit eingerichteten Konten (Ids ab „1000“ aufwärts) ans Ende sortiert werden.

Desktop-Distributionen wie Ubuntu und Mint, aber auch NAS-Systeme wie Openmediavault bieten auch grafische Tools zur Benutzerverwaltung (Ubuntu: „Systemeinstellungen -> Benutzer“). Darauf verlassen kann man sich aber nicht. Der klassische Weg, neue Benutzer anzulegen, erfolgt mit daher root-Recht über diesen Befehl:

sudo useradd sepp

Das Home-Verzeichnis entsteht dabei automatisch. Die Dateien mit der Basis-Konfiguration im neu erstellen Home-Verzeichnis werden aus dem Vorlagenverzeichnis /etc/skel kopiert. Das neue Konto ist eröffnet, sobald mit

sudo passwd sepp

ein Kennwort hinterlegt ist. Löschen kann man Konten samt zugehörigen Ordner unter /home und dem Mail-Spool-Verzeichnis mit diesem Befehl:

userdel -r ich

Dateirechte rekursiv setzen: Um Zugriffsrechte für Dateien zu setzen, gibt es wieder die Wahl zwischen dem grafischen Dateimanager (Ubuntu: „Eigenschaften -> Zugriffsrechte -> Zugriff“) oder Terminalkommandos. Für rekursive Änderungen über ganze Verzeichnisse ist das Terminaltool chmod erste Wahl: Mit

chmod -R 777 ~/Dokumente

erlauben Sie allen Systemkonten die Rechte Lesen, Schreiben, Ausführen/Suchen für den Ordner „Dokumente“ inklusive aller enthaltenen Dateien und Ordner. Bei dieser numerischen Schreibweise gilt die erste Ziffer für das Konto, die zweite für die Gruppe, die dritte für alle anderen Konten. Nach dem Kommando

chmod -R 770 ~/Dokumente

hätten daher die andere Konten (dritte Stelle) keine Daterechte unter ~/Dokumente.

Zugriffsrechte: Über einen Dateimanager wie Nautilus ermitteln Sie, welche Rechte bei einer Datei oder einem Ordner gesetzt sind. Sie können die Berechtigungen hier auch ändern.

Systemprotokolle im Griff (1): Die Protokolldateien

Die Systemprotokolle sind unter „/var/log“ zu finden. Mit root-Rechten auf der Konsole können Sie diese mit den üblichen Kommando-Tools durchsuchen (cat, less oder tail). Beachten Sie dabei die Möglichkeit, gleich mehrere Dateien zu durchforsten und auf jüngste Einträge zu sichten (Beispiel):

tail -n20 auth.log syslog dpkg.log

auth.log protokolliert im Klartext und ausführlich alle Systemanmeldungen. Wer in aller Kürze die erfolgreichen und gescheiterten Log-ins kontrollieren will, kann sich zusätzlich an die Dateien „/var/log/wtmp“ (erfolgreich) und „/var/log/btmp“ (gescheitert) halten. Diese Dateien sind allerdings binär codiert und lassen sich am bequemsten mit last (erfolgreich) und lastb (gescheitert) auslesen:

last -200

lastb -200 root

Gezeigt werden hier jeweils die letzten 200 Anmeldungen, die sich – wie das zweite Beispiel zeigt – auch auf ein bestimmtes Konto filtern lassen.

syslog ist das Systemlogbuch und zeigt Ereignisse aller Art, die an den syslog-Daemon berichten – vorwiegend Kernel-, Hardware- und Cron-Ereignisse.

dpkp.log vermerkt alle manuellen (De-) Installationen und automatischen Updates. Ergänzend und in mancher Hinsicht übersichtlicher lohnt sich in diesem Zusammenhang auch der Blick in die Datei „/var/log/apt/history.log“.

Im Unterverzeichnis „/var/log/samba“ finden Sie für jedes zugreifende Netzgerät ein eigenes Protokoll – entweder mit Host-Namen oder lokaler IP-Adresse.

Die Webserver Apache und Nginx protokollieren unter /var/log/apache2 (oder ../nginx) in die Dateien access.log und error.log. Je nach Rechnerrolle sind auch diese Protokolle eine wichtige Infoquelle.

Systemprotokolle im Griff (1): Tools für Protokolldateien

Das grafische Standardprogramm „Systemprotokoll“ unter Ubuntu und Linux Mint (gnome-system-log) fasst immerhin vier wesentliche Protokolldateien in einem Fenster zusammen: Auth.log, Syslog, Dpkg.log, Xorg.0.log. Hübsch ist die Möglichkeit, bestimmte Ereignisse durch farbige Filter hervorzuheben und damit die Lesearbeit zu erleichtern. Diese Option ist recht unscheinbar in dem kleinen Zahnradsymbol rechts in der Titelleiste untergebracht („Filter -> Filter verwalten“).

Mehrere Dateien mit multitail im Blick: Der übliche Befehl zur Überwachung von Log-Dateien tail -f [Datei] zeigt die letzten Zeilen einer angegebenen Logdatei an und aktualisiert die Ausgabe in Echtzeit. Ein naher Verwandter von tail ist multitail, das in den Paketquellen der populären Linux-Distributionen zur Installation bereitsteht und mehrere Log-Dateien gleichzeitig und in Echtzeit anzeigt. Der Aufruf erfolgt einfach mit

sudo multitail [Datei1] [Datei2]

und der Angabe der gewünschten Dateien als Parameter. Vorangestelltes „sudo“ ist nur dann nötig, wenn nur root die Log-Datei lesen darf. Multitail teilt dazu das Konsolenfenster in mehrere Abschnitte auf, um alle angegebene Log-Dateien anzuzeigen. Praktisch ist  beispielsweise bei der Einrichtung von Webservern, um die Logs access.log und error.log im Auge zu behalten.

Ideal ist ein Script oder eine kleine Funktion, die immer das Wesentlichste einsammelt:

Echo Protokolle unter /var/log…
lastb
last -20
tail -20 /var/log/syslog
tail -20 /var/log/auth.log
tail /var/log/dpkg.log
tail /var/log/user.log
tail /var/log/apt/history.log

Ein solches Bashscript lässt sich mit einigen kommentierenden und abschnittsbildenden Echo-Befehlen natürlich noch lesbarer gliedern. Ein Grundgerüst finden Sie hier.

Konfigurationsdateien im Griff

Die meisten Konfigurationsdateien mit globaler Geltung liegen im Pfad „/etc“. Je nach Umfang erscheint die Datei dort als Einzeldatei wie etwa /etc/crontab oder in einem Unterverzeichnis wie /etc/samba/smb.conf, wenn die betreffende Software mehrere Konfigurationsdateien benötigt. Für die benutzerspezifische Konfiguration gibt es den Sammelordner unter ~/.config, also im Home-Verzeichnis.

Namen und Extensionen folgen keinen strengen Regeln: Manche Konfigurationsdateien tragen den Namen der betreffenden Software wie etwa „nginx.conf“ oder „vsftpd.conf“, andere heißen schlicht „ini“ oder „config“, und die Zuordnung zur Software erschließt sich durch einen Ordner wie „/mc/“ oder „/radicale/“, in dem sie liegen.

Das übliche Zeichen für Kommentare ist überall die Raute „#“. Es ist sehr zu empfehlen, eigene Eingriffe zu kommentieren, dies zweitens so, dass sich die eigenen Einträge von den Standardkommentaren unterscheiden. Möglich wäre etwa diese Form:

#ha# SSH-Standardport 22 geändert…

Dann erkennen Sie eigene Eingriffe sofort, auch wenn Sie die Datei monatelang nicht mehr angefasst haben.

In einfachen Fällen kann es genügen, für die wichtigsten Konfigurationsdateien einige Aliases in der Datei ~/.bashrc anzulegen, so etwa

alias ed1='nano /home/ha/.bashrc'

für das Editieren der bashrc selbst oder etwa

alias ed2='sudo nano /etc/ssh/sshd_config'

für das Ändern der SSH-Konfiguration.

Wer häufig mit diversen Dateien zugange ist, wird mit Alias-Abkürzungen schnell an seine Grenzen stoßen. Hier eignet sich ein kleines Shellscript, das alle wesentlichen Dateien anzeigt

echo " 0 /etc/ssh/sshd_config             SSH-Server"
echo " 1 …"

und dann mit

read -p " " answer
case $answer in
0) sudo nano /etc/ssh/sshd_config
1) …

die Auswahl mit Kennziffer oder Kennbuchstabe vorsieht. Das nebenstehende Bild zeigt, wie eine solche Config-Zentrale aussehen könnte. Das zugehörige Beispielscript config.sh finden Sie finden Sie hier. Die Pfade müssen an einigen Stellen angepasst werden und das Script muss über „Eigenschaften -> Zugriffsrechte“ ausführbar gemacht werden. Das Script bringen Sie am besten im home-Verzeichnis unter und spendieren ihm dann ein Alias

alias conf='sh ~/config.sh $1'

in der ~/bashrc. Dann können Sie Dateien noch schneller etwa mit „conf 1“ laden, deren Kennziffer Sie auswendig wissen.

Die nachfolgende Tabelle zeigt eine Anzahl prominenter Konfigurationsdateien inklusive Pfad.

Linux-Konfgurationsdateien

Selbst wenn Ihnen alle diese Dateien und Pfade geläufig sind, kann ein Script den Alltag vereinfachen: Ein für den betreffenden Pfad benötigtes „sudo“ ist schnell übersehen, und eine Sicherungskopie wäre nützlich gewesen, wenn man sich einmal schwer vergriffen hat.

Tipp: Wenn Sie erfahrungsgemäß gleichzeitig mehrere Konfigurationsdateien benötigen, dann können Sie alle gewünschten Dateien in den Editor Ihrer Wahl mit einem Befehl laden:

alias conf='sudo gedit ~/.bashrc /etc/inputrc /etc/rc.local'

Mit diesem Alias in ~/.bashrc lädt der Befehl conf alle genannten Konfigurationsdateien in gedit.

Config-Zentrale im Terminal: Wer sich die Mühe macht, ein kleines Script anzulegen, erreicht die meistgenutzten Konfigurationsdateien ohne lange Suche.

Datenträger (1): Dateimanager und Mountpunkte

Der Umgang mit internen Festplatten und Hotplug-Medien wie USB-Sticks oder DVDs ist auf jedem Desktop-Linux einfach. Sie schließen einen USB-Datenträger an oder legen eine DVD ein, und es erscheint umgehend ein Dateimanager-Fenster, das den Inhalt anzeigt, oder ein Dialog, der Zugriffsoptionen anbietet. Unter der Haube muss dabei jeder Datenträger oder auch eine Netzressource eingebunden werden (Automount) – standardmäßig unter /media. Die eingebundenen Datenträger sind in der Navigationsspalte des jeweiligen Dateimanagers unter „Mein Rechner“ oder unter „Geräte“ erreichbar sind. Wenn eingebundene Laufwerke nach dem ersten Hotplug erneut benötigt werden, empfiehlt sich daher der Gang zur Navigationsspalte des Dateimanagers. Im Terminal kann der Befehl

mount | grep /dev/sd

alle eingehängten Laufwerke und ihre Mountverzeichnisse anzeigen. grep ist nicht notwendig, filtert aber temporäre Dateisysteme weg. Für eine genauere Übersicht, die neben Gerätekennung, Mountpunkt und Label auch die eindeutige UUID anzeigt, sorgt der Befehl

blkid -o list

Tipp: Im Dateimanager geben Sie zur Auflistung aller angeschlossener Geräte „computer:///“ in das Adressfeld ein. Dazu müssen Sie vorher mit der Tastenkombination Strg-L von der Breadcrumb-Leiste zum editierbaren Adressfeld wechseln. Wenn Sie den realen Pfad, also den Mountpunkt eines Laufwerks im Dateisystem benötigen, etwa für Terminalarbeiten oder Scripts, dann hilft bei physischen Datenträgern ebenfalls das Adressfeld des Dateimanagers: Sie klicken erst das Gerät in der Navigationsspalte an und lassen sich dann mit Strg-L dessen Mountpunkt anzeigen.

Tipp: Standardmäßig sind einige Desktop-Distributionen so eingestellt, dass während der Sitzung gemountete Laufwerke nicht nur im Dateimanager auftauchen, sondern zusätzlich als Desktop-Symbol. Das kann lästig sein, wenn viele USB- oder Netzlaufwerke eingebunden werden. Unter „Systemeinstellungen -> Schreibtisch -> Eingehängte Datenträger“ können Sie das Verhalten unter Linux Mint abstellen, unter Ubuntu ist dafür das externe „Unity Tweak Tool“ erforderlich („Schreibtischsymbole“).

Datenträger (2): Automount von Netzfreigaben

Netzlaufwerke mountet Linux nicht unter /media, sondern in Gnome-affinen Systemen wie Ubuntu und Mint unter /run/user/1000/gvfs/. „1000“ ist die User-ID des ersteingerichteten Hauptkontos und lautet anders, wenn ein davon abweichendes Konto benutzt wird. „gvfs“ steht für Gnome-Virtual-Filesystem. Bei Netzlaufwerken führt das Adressfeld des Dateimanagers mit Protokollangaben wie „smb://server/data“ nicht zum Mountverzeichnis.

Tipp: Die Dateimanager typischer Linux-Desktops hängen angeklickte Samba- oder Windows-Freigaben automatisch ins Dateisystem ein (Automount). Unter Gnome-affinen Desktops wie Unity, Gnome, Cinnamon, Mate arbeitet dabei im Hintergrund das Gnome Virtual Filesystem (GVFS) und mountet unter /run/user/1000/gvfs/ in sprechende, aber unhandliche Mountordner.

Solange Sie im Dateimanager bleiben, kann es Ihnen gleichgültig sein, dass ein Mountordner etwa „/run/user/1000/gvfs/smb-share:server=odroid,share=data“ lautet. Wenn Sie die Ressource aber auf der Kommandozeile nutzen, etwa für rsync- oder cp-Befehle, ist der lange Pfad lästig. Abhilfe schafft manuelles Mounten in einen handlichen Pfad (Beispiel):

sudo mount -t cifs -o user=ha,domain=odroid,password=geheim //192.168.0.6/Data ~/mount/odroid

Das Mountverzeichnissen muss bereits existieren. Eine noch einfachere Alternative dazu ist eine Variable in der Datei ~/.bashrc:

data=/run/user/1000/gvfs/smb-share:server=odroid,share=data

Danach können Sie den unhandlichen Pfad im Terminal nun sehr handlich mit „$data“ ansprechen, und das Terminal bietet dabei sogar automatische Pfadergänzung (mit Tab-Taste).

Datenträger (3): Verwaltung mit gnome-disks

Unter den Gnome-affinen Oberflächen Cinnamon, Mate und XFCE hat sich das Programm gnome-disks als Standard etabliert, das auf deutschem Desktop als „Laufwerke“ im Hauptmenü oder Dash erscheint. gnome-disks kann alles, was für die Kontrolle und wichtigsten Partitionsarbeiten nötig ist. Links erscheint die Liste aller Datenträger, ein Klick auf einen Eintrag visualisiert dessen Partitionierung, zeigt Gerätenamen (/dev/…), Partitionsgrößen, Dateisystem und den Mountpunkt als Link, der auf Wunsch den Dateimanager öffnet. Die weiteren Bearbeitungsmöglichkeiten sind gewöhnungsbedürftig, aber durchaus logisch aufgeteilt:

Laufwerksoptionen: Schaltflächen rechts oben bieten Laufwerks-bezogene Aufgaben. Ob nur eine, zwei oder drei Schaltflächen erscheinen, hängt vom gerade markierten Laufwerkstyp ab. So lassen sich zum Beispiel interne Festplatten nicht aushängen oder abschalten, sodass in diesem Fall diese Schaltflächen fehlen. Immer vorhanden ist die Hauptschaltfläche, die das Formatieren, das Arbeiten mit Images („Laufwerksabbild erzeugen/wiederherstellen“), das Einstellen von Energieoptionen („Laufwerkseinstellungen“), ferner Tests und Smart-Analysen vorsieht. Funktionen, die der jeweilige Datenträger nicht hergibt, bleiben deaktiviert.

Die Möglichkeit, hier Images vom markierten Datenträger in eine IMG-Datei zu schreiben („erzeugen“) oder eine IMG-Datei wieder zurück auf einen Datenträger („wiederherstellen“), machen manche andere Tools überflüssig.

Partitionsoptionen: Was Sie mit einzelnen Partitionen auf Laufwerken anstellen können, ist in den kleinen Schaltflächen unterhalb des Partitionsschemas untergebracht. Sie müssen erst das Rechteck der gewünschten Partition markieren und dann die gewünschte Schaltfläche anklicken. Sie können Partitionen aus- und einhängen, löschen (Minus-Schaltfläche), formatieren und auch als Image sichern („Partitionsabbild erstellen“) oder ein Image auf die Partition zurückschreiben.

Tipp: Die Automount-Funktion hängt angeschlossene USB-Wechseldatenträger unter /media/[user]/ ein. Die dort anzutreffenden Mount-Ordner sind nicht immer aussagekräftig, sondern können etwa „144EB7A373084FB6“ lauten. Dies ist die UUID (Universally Unique Identifier) des Datenträgers, die als Mountpunkt einspringt, wenn keine Datenträgerbezeichnung vorliegt. In der Navigationsspalte der Dateimanager erscheint ein solches Laufwerk etwas freundlicher als „Datenträger XX GB“ unter „Geräte“. Wenn Sie sowohl im Mountpunkt als auch im Dateimanager eine aussagekräftige Bezeichnung sehen möchten, dann sollten Sie dem Laufwerk ein Label verpassen. Unter Ubuntu/Mint geht das am bequemsten mit „Laufwerke“ (gnome-disks). Sie müssen nur den Datenträger markieren, ihn mit dem ersten quadratischen Symbol unterhalb der Grafik „Datenträger“ aushängen und danach das Zahnradsymbol und hier die Option „Dateisystem bearbeiten“ wählen. Dann geben Sie einen sprechenden Namen ein, klicken auf „Ändern“ und hängen den Datenträger danach wieder ein (erstes Symbol). Mountverzeichnis und Name im Dateimanager halten sich nun an die Datenträgerbezeichnung.

Aussagekräftige Mount-Verzeichnisse: Wenn USB-Datenträger eine Bezeichnung haben, übernimmt die Automount-Funktion diesen Namen für den Mountpunkt.
Mächtiges gnome-disks („Laufwerke“): Das Standard-Tool beherrscht fast alle Datenträger-relevanten Aufgaben, unter anderem auch das Schreiben von System-Images.

Datenträger (4): Das meist unentbehrliche Gparted

Das Einzige, was gnome-disks nicht mitbringt, ist die Fähigkeit, bei Bedarf die Partitionsgrößen zu ändern. Software der Wahl hierfür ist Gparted. Zum Teil ist es bereits vorinstalliert, wo nicht, mit

sudo apt-get install gparted

schnell nachinstalliert. Gparted kann nicht nur nach Rechtsklick über „Größe ändern/verschieben“ bestehende Partitionsgrößen ohne Datenverlust ändern, sondern ist generell das umfassendste und zugleich übersichtlichste Programm für Formatierung, Partitionierung, Label- und UUID-Anpassung. Beachten Sie, dass das Hauptfenster immer nur die Partition(en) des rechts oben gewählten Datenträgers anzeigt. Beachten Sie ferner, dass Gparted angeforderte Aktionen niemals sofort tätigt, sondern in einem Auftragsstapel sammelt, den Sie erst mit „Bearbeiten -> Alle Vorgänge ausführen“ auslösen.

Das Standardprogramm gnome-disks verliert neben Gparted keineswegs seine Berechtigung: Es ist schneller und viel breiter angelegt mit seinen Image-Funktionen, Smart- und Leistungstests sowie Energieeinstellungen.

Datenträger (5): Tools für die Plattenbelegung

Unter Ubuntu und Linux Mint finden Sie die „Festplattenbelegungsanalyse“ oder „Festplattenbelegung analysieren“ im Hauptmenü. Dahinter steht das Tool Baobab, das nach dem Start erst einmal eine Übersicht der Datenträger zeigt. Hier sind die jeweilige Gesamtkapazität und der derzeitige Füllstand ersichtlich. Nach Klick auf dem Pfeil ganz rechts startet Baobab eine Ordneranalyse, die es wahlweise als Kreis- oder Kacheldiagramm visualisiert. Das sieht hübsch aus, doch der Erkenntniswert hält sich in Grenzen. Viele Linux-Nutzer werden sich von einem df -h oder

df -h | grep /dev/sd

schneller und besser informiert fühlen. Wer dann wirklich eine Größenanalyse der Verzeichnisse benötigt, ist mit einem weiteren Terminalwerkzeug

du -h

ebenfalls übersichtlicher beraten.

Belegung mit Ncdu prüfen: Ein Spezialist ist das nützliche Ncdu („NCurses Disk Usage“, wohl kaum zufällig auch als „Norton Commander Disk Usage“ auflösbar). Das Terminalprogramm sortiert die Verzeichnisse standardmäßig nach der enthaltenen Datenmenge und bietet eine sehr viel bequemer bedienbare Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu wechselt wie ein orthodoxer Dateimanager zwischen den Verzeichnissen und kann auch aktiv löschen, wo Sie dies für nötig erachten. Ncdu gehört auf jeden Server, verdient aber selbst auf Desktop-Systemen den Vorzug gegenüber den grafischen Alternativen wie Baobab. In Debian/Raspbian/Ubuntu/Mint-basierten Systemen ist Ncdu mit

sudo apt-get install ncdu

schnell installiert. Die einzig wirklich maßgebliche Bedienregel ist die Auswahl des Startverzeichnisses. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie das Tool daher mit

ncdu /

starten. Das Einlesen kann dauern, wenn Sie auf diese Weise das ganze Dateisystem untersuchen. Ncdu sortiert immer automatisch nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größen („size“). Wichtige Tastenkommandos sind ferner „g“ („graph/percentage“) für die Anzeige von Prozentzahlen (und wieder zurück) und „d“ als Löschbefehl („delete“). Wer nur kontrollieren, keinesfalls löschen will, kann das Tool mit „ncdu -r“ starten, wonach es im Readonly-Modus arbeitet.

Verzeichnisgrößen ermitteln mit „NCurses Disk Usage“: Ncdu ist ein Muss auf SSH-verwalteten Systemen und selbst auf Desktop-Installationen mit grafischer Oberfläche eine Empfehlung.

Task-Verwaltung (1): „Systemüberwachung“ und htop

Auf einem Desktop-System wie Ubuntu und Mint werden Sie die grafische „Systemüberwachung“ (gnome-system-monitor) bevorzugen, um Tasks zu kontrollieren oder zu beenden. Das Tool beherrscht nach Rechtsklick auf einen Prozess alle Aufgaben bis hin zur Prioritätsanpassung, sortiert nach der gewünschten Spalte und zeigt nach Rechtslick auf den Spaltenkopf auf Wunsch noch wesentlich mehr Spalten (etwa „CPU-Zeit“ oder „Befehlszeile“). Die Echtzeitüberwachung von CPU, Speicher und Netzwerk unter „Ressourcen“ ist ebenfalls vorbildlich.

Auf Servern oder wo sonst ein grafisches Werkzeug fehlt, liefert htop auf der Konsole einen präzisen und auch ästhetisch ansprechenden Überblick. Es macht andere Tools weitgehend überflüssig, so etwa das oft standardmäßig installierte Top oder spezialisiertere Tools wie iotop oder dstat. htop zeigt beliebig detaillierte Infos zu allen laufenden Prozessen und erlaubt den gezielten Abschuss einzelner Tasks, die aus dem Ruder laufen (F9). Zudem lässt sich die Prozesspriorität steuern (F7/F8). Htop ist in den Paketquellen aller Distributionen verfügbar und etwa unter allen Debian/Raspbian/Ubuntu/Mint-basierten System mit

sudo apt-get install htop

nachzurüsten. Es lohnt sich, das hervorragend anpassbare Tool über „F2 Setup“ sorgfältig einzurichten. Die Navigation im Setup erfolgt über Cursortasten:

„Meters“ betrifft den Kopfbereich mit den Basisinformationen in zwei Spalten. Hier sollten CPU-Auslastung, Speicher, Uptime und ähnlich grundlegende Angaben organisiert werden. Die verfügbaren Infos unter „Available meters“ können mit den angezeigten Funktionstasten in die rechte oder linke Spalte integriert werden. Die ideale Anzeige lässt sich mühelos finden, weil Htop die gewählte Einstellung sofort anzeigt.

„Columns“ betrifft die eigentliche Taskanzeige. Hier sind annähernd 70 Detailinfos pro Prozess möglich, fünf bis acht (etwa „Percent_CPU“, „Percent_MEM“, „Command“) sind ausreichend und noch übersichtlich. Wer die Prozesspriorität mit den Tasten F7 und F8 steuern will, muss sich zur optischen Kontrolle der Änderung den „Nice“-Wert einblenden. Je nachdem, was Sie genauer analysieren, können Sie die Taskliste jederzeit mit Taste F6 („SortBy“) nach einem anderen Kriterium sortieren – nach CPU-Anteil, Speicher oder Festplattenzugriffen. Zum Eingrenzen auf bestimmte Pfade oder Prozessnamen gibt es außerdem einen Textfilter (Taste F4)

Beachten Sie, dass die htop-Konfiguration sehr viel anbietet, jedoch nicht das Refresh-Intervall seiner Analyse. Dieses lässt sich mit

htop -d 20

beim Aufruf steuern, wobei die Angabe in Zehntelsekunden erfolgt.

Tipp: Das auf den meisten Distributionen standardmäßig installierte top verliert neben htop seine Berechtigung nicht ganz: Sein einziger, aber nicht unwesentlicher Vorzug ist die Weitergabe der Prozessinfos an eine Datei:

top -b -d 10.0 > top.txt

Der Schalter „-b“ sorgt für den Batchmodus, der die eigene Anzeige von top abschaltet. Die Prozessliste wird in diesem Fall alle 10 Sekunden („-d“ für „delay“) an die Ausgabedatei geschickt. Filter mit grep können die Prozessanalyse eingrenzen.

Mehr Spalten – mehr Infos: Wenn der grafische gnome-system-monitor („Systemüberwachung“) verfügbar ist, ist das der Taskmanager der Wahl. Er kann alles und zeigt alles.
Was läuft hier (falsch)? Htop ist glänzender Taskmanager für die Kommandozeile, weil er informativ und anpassungsfähig ist und aus dem Ruder laufende Prozesse beenden kann.

Task-Verwaltung (2): Die Tools xprop und xkill

xprop zeigt zahlreiche interne Eigenschaften grafischer Programme an. Das einfachste und häufigste Motiv, xprop zu verwenden, ist die Frage nach dem Programmnamen eines Fensters. Also etwa die Frage: Wie lautet der Name des Dateimanagers, den ich gerade benutze? Folgender Befehl filtert den xprop-Output auf die gewünschte Antwort:

xprop | grep CLASS

Der Mauszeiger verwandelt sich in ein Kreuz, mit dem Sie auf das gewünschte Fenster klicken. Im Terminal erscheint dann der zugehörige Programmname. Der herausgefundene Name ist nützlich, um Programme in Zukunft direkt über den Ausführen-Dialog zu starten, oder um hängengebliebene Anwendungen mit killall [name] zu beenden.

xkill kann grafische Programme zuverlässig beenden, wenn dessen Fenster nicht mehr reagiert. Bei xkill müssen Sie weder den Programmnamen noch die Prozess-ID kennen. Auch beim Aufruf von xkill im Terminal verwandelt sich der Mauszeiger in ein Kreuz, mit dem Sie das störrische Programm anklicken und beenden. Idealerweise ist xkill mit einer globalen Tastenkombination verknüpft, die es jederzeit aufruft. Einige Distributionen verwenden den Hotkey Strg-Alt-Esc, in den meisten Linux-Varianten ist allerdings kein globaler Hotkey voreingestellt. Holen Sie das unter „Systemeinstellungen -> Tastatur -> Tastaturkürzel“ manuell nach, indem Sie dort xkill unter „Eigene Tastaturkürzel“ eintragen und dem Programm durch Drücken der Tastenkombination Strg-Alt-Esc selbige zuweisen.

Task-Verwaltung (3): Autostarts im Griff

Unter Ubuntu und Linux Mint finden Sie das Applet „Startprogramme“ unter den Systemeinstellungen (gnome-session-properties). Durch Deaktivieren eines Häkchens schalten Sie dort Autostarts ab, über die Schaltfläche „Entfernen“ verschwindet es komplett aus dem Verwaltungstool (bleibt aber als Programm erhalten). Alle Autostarts des Benutzers werden als desktop-Dateien unter ~/.config/autostart, und die vom System benötigten Autostarts stehen unter /etc/xdg/autostart. Es handelt sich um Textdateien, die Sie mit jedem Editor bearbeiten können, wobei unter /etc/xdg/autostart root-Rechte notwendig sind.

bashrc: Die versteckte Datei ~/.bashrc liegt im Home-Verzeichnis jedes Benutzers und gilt folglich für den angemeldeten Benutzer. Alle dort enthaltenen Kommandos werden bei jedem Start des Terminals abgearbeitet.

/etc/rc.local: Für Befehle, die unabhängig vom angemeldeten Benutzer vor der Benutzeranmeldung abgearbeitet werden sollen, eignet sich auf allen Debian-Systemen einschließlich Ubuntu und Mint die Datei /etc/rc.local. Um die Datei zu bearbeiten, benötigen Sie root-Rechte:

sudo gedit /etc/rc.local

crontab: Der Zeitplaner Cron ist auf allen Linux-Systemen vorinstalliert und nutzt eine systemweite Datei /etc/crontab, die für alle Benutzer gilt und im Terminal mit root-Rechten bearbeitet werden kann:

sudo crontab –e

Zusätzlich kann es Benutzer-Crontabs geben, die unter /var/spool/cron/crontabs/ zu orten sind. Kontrolle über Systemdienste

Dienste: Neben automatisch gestarteten Programmen lädt jedes Linux zahlreiche Systemdienste, die das Tool „Startprogramme“ grundsätzlich nicht auflistet. Im Terminal ist mit

service --status-all

eine Übersicht möglich. Wer Systemdienste bequem kontrollieren und bei Bedarf auch deaktivieren will, kann den „Boot Up Manager“ nachinstallieren:

sudo apt-get install bum

Die Bedienung ist selbsterklärend. Sie können Dienste nach Rechtsklick „Jetzt stoppen“ (für die aktuelle Sitzung) oder dauerhaft abschalten, indem Sie das Häkchen entfernen. Das Abschalten von Diensten setzt aber gründliche Kenntnis über deren Funktion voraus.

Typische Crontab: Hier gibt es vier Jobs, die das System täglich um 8:00 und 9:00 Uhr sowie stündlich abarbeitet.

Zurück zur Linux-Übersichtsseite…

Windows-Dienste

Windows-Dienste (oder Services) sind größtenteils unentbehrliche Hintergrundprozesse, die Windows NT (XP, Vista, Windows 7, Windows 8, Windows 10) beim Systemstart automatisch lädt. Microsoft sorgt aber von jeher dafür, dass Windows für alle Situationen gerüstet ist. Daher lädt ein Standard-Windows auch diverse Dienste, die sich ungestraft beenden lassen.
Zu den nachfolgenden Windows-Diensten erhalten Sie eine knappe Erläuterung. Die Beschreibung soll vor allem Relevanz oder Irrelevanz des jeweiligen Dienstes verdeutlichen.

Die üblichen Werkzeuge zur Bearbeitung der Windows-Dienste sind

  • die Dienste-Konsole Services.msc
  • das Kommandozeilen-Programm SC.exe
  • die Registry unter HKEY_Local_Machines\System\CurrentControlSet\Services

Die Windows-Dienste sind nach ihren internen Namen sortiert. Der „empfohlene“ Starttyp folgt meiner praktischen Erfahrung. Ohne Gewähr!


AeLookupSvc [Anwendungserfahrung]

Friendly Name: Anwendungserfahrung
Interner Name: AeLookupSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung: Der Dienst berücksichtigt auf Basis einer Datenbank bekannte Kompatibilitätsprobleme von Anwendungen und sorgt automatisch für die geeigneten Speichereinstellungen. Nach unserer Erfahrung ist dieser Service entbehrlich.

Abhängig von: Keinem anderen Dienst
Benötigt für: Keinen anderen Dienst…


ALG [Gatewaydienst auf Anwendungsebene]

Friendly Name: Gatewaydienst auf Anwendungsebene
Interner Name: ALG
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Hierbei handelt es sich um einen Dienst, der erforderlich ist, wenn per Wählverbindung eine Internet Verbindung aufgebaut wird. Das ist nicht nur bei Modem oder ISDN der Fall, sondern auch bei direkter DSL-Anwahl per PPPoE. Wenn Sie allerdings über einen Router oder einen Netzwerk-Server mit dem Internet verbunden sind, dann können Sie auf diesen Dienst verzichten.

Abhängig von: keinem anderen Dienst
Benötigt für: keinen anderen Dienst

Appinfo [Anwendungsinformationen]

Friendly Name: Anwendungsinformationen
Interner Name: Appinfo
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Unentbehrlicher Bestandteil des Sicherheitskonzeptes von Vista: Der Dienst ändert entweder auf explizite Anforderung oder selbständig (bei Software-Installationen) die Benutzerrechte. Auch wenn ein Benutzer mit Administratoren-Rechten angemeldet ist, wird nicht jedes Programm blindlings mit diesen Rechten gestartet. Sobald ein Programm versucht, administrative Aktionen auszuführen, erscheint ein Dialog, in dem der Anwender seine Zustimmung geben muss. Wenn Sie diesen Dienst deaktivieren, können Benutzer keine Anwendungen mit zusätzlichen Administratorprivilegien ausführen. So scheitert etwa der Start des Registry-Editor (Regedit) oder der Dienste-Konsole (Services.msc).
Sollten Sie den Dienst bereits deaktiviert haben und möchten ihn wieder aktivieren, dann starten Sie den PC im abgesicherten Modus und rufen von dort aus den Dienste-Manager auf.

Abhängig von: Benutzerprofildienst, RPC-Locator, DCOM-Server-Prozesstart
Benötigt für: Keinen anderen Dienst


AppMgmt [Anwendungsverwaltung]

Friendly Name: Anwendungsverwaltung
Interner Name: AppMgmt
Starttyp: manuell
Starttyp (empfohlen): deaktiviert auf Home-PC

Beschreibung: Der Dienst ist nur in Firmennetzen mit Gruppenrichtlinien und Active Directory-Servern erforderlich. Er verarbeitet Installations- und Deinstallationsanforderungen für Software, die über Gruppenrichtlinien bereitgestellt wird. Den Home-Versionen von Vista fehlt dieser Service, unter Vista-Ultimate auf einem Home-PC kann er getrost deaktiviert werden.

Abhängig von: Keinem anderen Dienst
Benötigt für: Keinen anderen Dienst


Audiosrv [Windows-Audio]

Friendly Name: Windows-Audio
Interner Name: Audiosrv
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst vermittelt die angeschlossenen Audiogeräte an alle Windows-basierten Anwendungen. Wenn Sie diesen Dienst deaktivieren, bleibt die Soundkarte definitv stumm.

Abhängig von:
DCOM-Server-Prozessstart, Multimediaklassenplaner, Plug & Play,
Remoteprozeduraufruf (RPC), Windows-Audio-Endpunkterstellung

Benötigt für:
keinen anderen DienstBfe [Basisfiltermodul]

Friendly Name: Basisfiltermodul
Interner Name: BFE
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst sorgt für die grundlegenden Filterregeln der Windows-Firewall oder einer alternativen Firewall. Das Deaktivieren des Basisfiltermoduls würde die Sicherheit des Rechners verringern.

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
Gemeinsame Nutzung der Internet-Verbindung, Windows-Firewall, Routing und RAS


BITS [Intelligenter Hintergrundübertragungsdienst]

Friendly Name: Intelligenter Hintergrundübertragungsdienst
Interner Name: BITS
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Im Wesentlichen handelt es sich bei diesem Dienst um einen Downloadmanager. Er gewährleistet z.B. bei automatischen Windows Updates und anderen im Hintergrund ablaufenden Downloads, dass ungenutzte Bandbreite optimal ausgenutzt wird. Wird ein im Hintergrund ablaufender Download unterbrochen, so sorgt der Intelligente Hintergrundübertragungsdienst dafür, dass dieser zu einem späteren Zeitpunkt automatisch wieder aufgenommen wird.
Achtung: Wenn dieser Dienst deaktiviert wird, funktionieren automatische Windows Updates nicht mehr.

Abhängig von: COM+-Ereignissystem, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


Browser [Computerbrowser]

Friendly Name: Computerbrowser
Interner Name: Browser
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst führt eine aktuelle Liste aller Computer und Geräte (Router, NAS) im Windows-Netzwerk und gibt sie an als Browser fungierende Computer weiter. Die Liste wird nicht aktualisiert oder gewartet, falls Sie den Dienst beenden. Das heisst: Netzwerkgeräte werden unter Umständen nicht mehr angezeigt.
Der Dienst ist in jedem LAN-Netzwerk sinnvoll (ein PC mit DSL-Router ist bereits ein LAN!), lässt sich aber in größeren Netzen auf normalen Arbeitsrechnern deaktivieren, solange ein Server im Netz diesen Dienst anbietet. Wir empfehlen den Starttyp „automatisch“, für absolute Minimalkonfigurationen ist der Dienst theoretisch entbehrlich.
Um den Dienst „Server“ (für Netzwerkfreigaben) abzuschalten, müssen Sie auch diesen Dienst deaktivieren.

Abhängig von: Arbeitsstationsdienst, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Server, Sicherheitskonto-Manager, Netzwerkspeicher-Schnittstellendienst

Benötigt für: keinen anderen Dienst


CertPropSvc [Zertifikatverteilung]

Friendly Name: Zertifikatverteilung
Interner Name: CertPropSvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dient dem Management von Smartcard-Zertifikaten. Microsoft hat seit Vista zahlreiche Smartcard Dienste umgesetzt, aber der Standardanwender dürfte diese wohl in den seltensten Fällen nutzen. Smartcards werden von manchen Firmen statt eines Passworts für die Benutzeranmeldung verwendet. Wenn Sie keine Smartcard-Lesegeräte einsetzen, benötigen Sie diesen definitiv Dienst nicht.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst

clr_optimization_v2.0.50727_32 [Microsoft .NET Framework NGEN v2.0.50727_X86]

Friendly Name: Microsoft .NET Framework NGEN v2.0.50727_X86
Interner Name: clr_optimization_v2.0.50727_32
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst (Ngen.exe) erstellt Dateien, die Prozessor-spezifischen Maschinen-Code enthalten und legt diese im “Native Image Cache“ des betreffenden Computers ab. Zum Tragen kommt dies typischerweise nach System-Updates, wenn die “Runtime Engine“ auf diese Images zurückgreift.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst

ComSysApp [COM+ Systemanwendung]

Friendly Name: COM+ Systemanwendung
Interner Name: COMSysApp
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst COM+ Systemanwendung verwaltet laut Microsoft die Konfiguration und Überwachung von COM+-basierten Komponenten. Entgegen Microsoft’s Aussagen funktionieren aber die meisten COM+-basierten Komponenten auch ohne diesen Dienst ordnungsgemäß. Wir empfehlen den Starttyp „manuell“, konnten aber auch mit „deaktiviert“ keine nachteiligen Nebenwirkungen feststellen. Daher lässt sich der Dienst für absolut „minimale“ Konfigurationen durchaus deaktivieren.

Abhängig von: Benachrichtigungsdienst für Systemereignisse, Remoteprozeduraufruf (RPC), COM+Ereignissystem

Benötigt für: keinen anderen Dienst


CryptSvc [Kryptographiedienste]

Friendly Name: Kryptographiedienste
Interner Name: CryptSvc
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Unentbehrlich, nicht zuletzt für das Windows-Update: Die Kryptografiedienste stellen die Schlüsselverwaltung für den Computer bereit und bestehen aus verschiedenen Komponenten:
Der Katalogdatenbankdienst ist für das Hinzufügen, Entfernen und Durchsuchen von Katalogdateien verantwortlich. Katalogdateien werden verwendet, um alle Dateien im Betriebssystem zu signieren. Der Windows-Dateischutz (WFP), die Treibersignatur und das Setup verwenden diesen Dienst.
Der Dienst für geschützten Stammspeicher ist für das Hinzufügen und Entfernen von Zertifikaten vertrauenswürdiger Stammzertifizierungsstellen verantwortlich.
Der Schlüsseldienst ermöglicht es Administratoren, Zertifikate im Auftrag des lokalen Computerkontos zu registrieren. Da der wichtige Dienst nicht permanent erforderlich ist, empfehlen wir den Starttyp „manuell“.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für: keinen anderen Dienst


CscService [Offlinedateien]

Friendly Name: Offlinedateien
Interner Name: CscService
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst hält den Offline-Dateicache auf dem aktuellen Stand. Er reagiert auf die An- und Abmeldung von Benutzern. Wenn Sie nicht planen, Daten von angeschlossenen Netzwerkrechnern auf Ihrem PC zwischenzuspeichern (und damit auch verfügbar zu halten, wenn die Netzwerkressourcen offline sind), dann benötigen Sie diesen Dienst nicht.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


DcomLaunch [DCOM-Server-Prozessstart]

Friendly Name: DCOM-Server-Prozessstart
Interner Name: DcomLaunch
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Absolut unentbehrlicher Dienst und daher in der Dienste-Konsole (Services.msc) nicht deaktivierbar! Wenn der Dienst gewaltsam via Registry deaktiviert wird, läuft der abhängige Schlüsseldienst RPC nicht mehr und damit rund fünfzig weitere Dienste. Finger weg!

Abhängig von: keinem anderen Dienst

Benötigt für: Basisfiltermodul, Remoteprozeduraufruf (RPC) und viele weitere Dienste


DFSR [DFS-Replikation]

Friendly Name: DFS-Replikation
Interner Name: DFSR
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst dient dazu, Dateien auf mehrere Netzwerk-Server zu verteilen und in einem virtuellen Ordner zusammenzufassen (DFS=Distributed File System). Die allermeisten Anwender werden diese besonders effektive Datenverteilung niemals verwenden. Dennoch wird der Dienst bei einigen Windows-Versionen automatisch gestartet.
Wir empfehlen, den Dienst zu deaktivieren, sofern sich der PC nicht ausdrücklich in einer DFS-fähigen LAN-Umgebung (in der Regel innerhalb einer Windows-Domäne) befindet.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), COM+-Ereignissystem

Benötigt für: keinen anderen Dienst


Dhcp [DHCP-Client]

Friendly Name: DHCP-Client
Interner Name: Dhcp
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist für diverse Netzwerk Funktionen zuständig. Er registriert unter anderem IP-Adressen und DNS-Namen und hält diese auf dem neusten Stand. Notwendig ist dieser Dienst aber nur, wenn Sie einen DHCP-Server in Ihrem Netzwerk einsetzen (Standard in größeren LAN-Umgebungen, aber auch bei DSL-Routern).
Ohne DHCP-Server müssen Sie die TCP/IP Einstellungen für die Netzwerkkarten fest einstellen, und in diesem Fall können Sie diesen Dienst ohne Nachteile abschalten,

Abhängig von: Netzwerkspeicher-Schnittstellendienst

Benötigt für: WinHTTP-Web Proxy Auto-Discovery-Dienst


Dnscache [DNS-Client]

Friendly Name: DNS-Client
Interner Name: Dnscache
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der DNS-Client speichert Anfragen an einen DNS-Server zwischen, so dass die IP-Adresse bei späteren Anfragen schneller gefunden wird. In schnellen Netzwerken oder bei DSL-Verbindungen ist das nicht unbedingt erforderlich, mitunter sogar nachteilig: Da nicht einstellbar ist, wie lange ein Domain-Name im Cache verbleibt, gibt der DNS-Client eventuell auf eine falsche IP-Adresse zurück, wenn ein Server plötzlich eine andere Adresse hat. Für langsame Internet-Anbindungen, wie etwa per Modem, kann dieser Dienst sich jedoch als hilfreich erweisen.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst


Dot3svc [Automatische Konfiguration (verkabelt)]

Friendly Name: Automatische Konfiguration (verkabelt)
Interner Name: dot3svc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst unterstützt die automatische Konfiguration verkabelter Netzwerke und ist unentbehrlich in allen LAN-Umgebungen. Die Voreinstellung „manuell“ genügt allerdings.

Abhängig von: EapHost, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


DPS [Diagnoserichtliniendienst]

Friendly Name: Diagnoserichtliniendienst
Interner Name: DPS
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst spürt Speicher-, Festplatten- und Netzwerkprobleme auf und meldet sie dem Anwender. In besonderen Fällen kann er zudem direkt ein Troubleshooter-Programm auslösen. So ist etwa auch die Option „Diagnose und Reparatur“ im „Netzwerk- und Freigabecenter“ auf diesen Dienst angewiesen.
Auf störungsfrei laufenden Vista-PCs sehen wir dennoch keinen Grund, diesen Dienst permanent laufen zu lassen und empfehlen als Starttyp „deaktiviert“. Bei undurchsichtigen Problemfällen können Sie den Dienst gegebenenfalls jederzeit wieder starten.
Zum Vista-Diagnose-System gehört neben dem „Diagnoserichtliniendienst“ auch der Diagnosesystemhost.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst


EapHost [Extensible Authentication-Protkoll]

Friendly Name: Erkennung interaktiver Dienste
Interner Name: EapHost
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst stellt eine austauschbare Infrastruktur für verschiedene Authentifizierungsmethoden bereit. Betroffen sind dabei VPN und Dial-Up-Verbindungen. Auch wenn Sie sich bei Wireless Access Points anmelden möchten, sollten Sie davon absehen, diesen Dienst ganz zu deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, CNG-Schlüsselisolation, Remoteprozeduraufruf (RPC)

Benötigt für: Automatische Konfiguration (verkabelt), Automatische WLAN-Konfiguration


ehRcvr [Windows Media Center-Empfängerdienst]

Friendly Name: Windows Media Center-Empfängerdienst
Interner Name: ehRcvr
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Diesen Dienst benötigt das Windows Media Center für den Empfang von Fernseh- und Radioübertragungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


ehSched [Windows Media Center-Planerdienst]

Friendly Name: Windows Media Center-Planerdienst
Interner Name: ehSched
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes steuert das Windows Media Center den Aufnahmestart und Aufnahmestopp von TV-Sendungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst

ehstart [Startprogramm für Windows Media Center]

Friendly Name: Windows Media Center-Planerdienst
Interner Name: ehSched
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes steuert das Windows Media Center den Aufnahmestart und Aufnahmestopp von TV-Sendungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


EMDMgmt [ReadyBoost]

Friendly Name: ReadyBoost
Interner Name: EMDMgmt
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist Basis der neuen Vista-Funktion, USB-Flash-Laufwerke und USB-Sticks als zusätzlichen Festplatten-Cache nutzen zu können. Aktuell sind aber noch viele Flash Laufwerke zu langsam für diese Aufgabe. Sie ist ferner entbehrlich, wenn der PC ausreichend Speicher besitzt (1 GB aufwärts) oder kein passender Flash-Speicher vorliegt. Im übrigen ist auch bei tauglichen USB-Sticks nach meiner Erfahrung kein spürbarer „Boost“ zu erwarten. Daher lautet meine Empfehlung „deaktiviert“.

Abhängig von: DCOM-Server-Prozessstart, Softwarelizenzierung, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


EndpointBuilder [Windows-Audio-Endpunkterstellung]

Friendly Name: Windows-Audio-Endpunkterstellung
Interner Name: EndpointBuilder
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst verwaltet Audiogeräte wie Lautsprecher oder Mikrophone und unterstützt dabei den “Windows Audio” Dienst. Vermutlich wurde er auf Grund umfassenderer “Digitaler Rechteverwaltung“ aus dem “Windows-Audio“-Dienst seit Windows Vista ausgekoppelt. Da “Windows Audio“ ohne die Endpunkterstellung nicht gestartet werden kann, sollten Sie den Dienst nicht deaktivieren, wenn die Soundkarte arbeiten soll.

Abhängig von: Plug & Play,

Benötigt für: Windows-Audio


Eventlog [Windows-Ereignisprotokoll]

Friendly Name: Windows-Ereignisprotokoll
Interner Name: Eventlog
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst protokolliert zahlreiche vordefinierte System-, Hardware- und Anwendungsereignisse. Letztere können unter „verwaltung, ereignisanzeige“ im “XML“ oder “Plain Text“ Format ausgegeben werden. Das Beenden dieses Dienstes kann zu Systeminstabilität führen, zumal die Aufgabenplanung von diesem Dienst abhängt.

Abhängig von: keinem anderen Dienst

Benötigt für: Aufgabenplanung


EventSystem [COM+ Ereignissystem]

Friendly Name: COM+ Ereignissystem
Interner Name: EventSystem
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Wichtig, aber nicht überall zwingend erforderlich: Der Dienst unterstützt den Systemereignis-Benachrichtigungsdienst (SENS), der die automatische Verteilung von Ereignissen an COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage,
Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen.
Dies kann die Zusammenarbeit von Software- und System-Komponenten beeinträchtigen.

Abhängig von:
Remoteprozeduraufruf (RPC),

Benötigt für:
Benachrichtigungsdienst für Systemereignisse, COM+-Systemanwendung, DFS-Replikation, Intelligenter Hintergrundübertragungsdienst


Fax [Fax]

Friendly Name: Fax
Interner Name: Fax
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Dieser Dienst ermöglicht das Senden und Empfangen von Telefax. Wenn Sie diese Funktion auf Ihrem PC nicht nutzen, können Sie den Dienst deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Telefonie, Plug & Play, Remoteprozeduraufruf (RPC), Druckerwarteschlange

Benötigt für:
keinen anderen Dienst


fdPHost [Funktionssuchanbieter-Host]

Friendly Name: Funktionssuchanbieter-Host
Interner Name: fdPHost
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst wird vom Windows Media Center genutzt. Verschiedene mit einem Computernetzwerk verbundene Geräte können erkannt werden. Neben manchen Kameras und Druckern ist Microsofts “Media Center Extender“ eine der nennenswerteren Geräte. Wenn Sie das Media Center nicht nutzen oder das Setup für angeschlossene Geräte manuell vornehmen, können Sie den Dienst ungestraft deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
PnP-X-IP-Busauflistung, Windows Media Center Extender-Dienst


fhsvc [File History Service]

Friendly Name: File History Service
Interner Name: fhsvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist notwendig, wenn Sie die Sicherungskomponente „File History“ von Windows 8 verwenden wollen. Der Dienst ersetzt die ältere „Windows-Sicherung“ (SDRSVC) von Windows 7 und Vista.

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


FDResPub [Funktionssuche-Resourcenveröffentlichung]

Friendly Name: Funktionssuche-Resourcenveröffentlichung
Interner Name: FDResPub
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst liefert anderen Computern im Netzwerk Informationen über den PC, auf dem dieser Dienst läuft. Insbesondere geht es um daran angeschlossene Geräte wie etwa Laufwerke oder Drucker. Wenn Sie diesen Dienst deaktivieren, werden die Ressourcen des betreffenden Computers von anderen Netzwerkteilnehmern nicht mehr erkannt.
Auf Home-PCs können Sie diesen Dienst in der Regel deaktivieren.
Netzwerkfreigaben sind übrigens davon nicht betroffen – dafür ist der Dienst „Server“ zuständig.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


FontCache3.0.0.0 [Windows Presentation Foundation-Schriftartcache 3.0.0.0]

Friendly Name: Windows Presentation Foundation-Schriftartcache 3.0.0.0
Interner Name: FontCache3.0.0.0
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst optimiert die Performance von “Windows Presentation Foundation”-Anwendungen (WPF oder „Avalon“), indem gemeinsam genutzte Schriftarten in einem gemeinsamen Cache hinterlegt werden. WPF auf der Basis von .NET Framework 3.0 und höher soll zügig die bisherige Win32-API ersetzen. Wenn Sie diesen Dienst aktivieren, wird sich dies negativ auf den Ablauf von WPF-Anwendungen auswirken.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


gpsvc [Gruppenrichtlinienclient]

Friendly Name: Gruppenrichtlinienclient
Interner Name: gpsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ermöglicht es LAN-Administratoren einer Windows-Domäne, auf der jeweiligen Workstation Einstellungen und Restriktionen für das System und Anwendungen gemäß vordefinierter Gruppenrichtlinien festzulegen.
Wenn Ihr Computer nicht Bestandteil eines Netzwerkes ist, sondern lediglich dem Heimgebrauch dient, dann können Sie auf diesen Dienst verzichten. Gleiches gilt, wenn Sie sich in einem LAN ohne Domäne anmelden. Eine Domänenanmeldung ohne diesen Windows-Dienst scheitert.
Der Gruppenrichtlinienclient kann allerdings weder über Services.msc, noch via Registry (Hkey_Local_Machine\System\CurrentControlSet\Services\gpsvc, DWord-Eintrag „Start=4“) noch über das Kommandozeilen-Tool SC.EXE („sc stop gpsvc…“) deaktiviert werden. Es sind erst Rechteänderungen notwendig, um diesen Dienst abzuschalten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


hidserv [Zugriff auf Eingabegeräte]

Friendly Name: Zugriff auf Eingabegeräte
Interner Name: hidserv
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der englische Name ist mit „Human Interface Device Access“ etwas aussagekräftiger. Der Dienst ermöglicht die Nutzung der Hot-Buttons von Spezialtastaturen, Fernbedienungen, Scanner- und Fax-Geräten sowie von Multimedia-Peripherie. Wenn Sie ihn deaktivieren, können Sie solche Spezialtasten und Fernbedienungen in der Regel nicht mehr verwenden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


hkmsvc [Integritätsschlüssel- und Zertifikatverwaltung]

Friendly Name: Integritätsschlüssel- und Zertifikatverwaltung
Interner Name: hkmsvc
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Die Integritätsschlüssel- und Zertifikatverwaltung wird für die Handhabung von X.509 Zertifikaten benötigt – aktuell der wichtigste Standard für digitale Zertifikate. Diese Art der Zertifizierung kann für sichere Protokolle wie etwa SSL/TLS, IPsec, S/MIME, Smartcard, SSH, HTTPS, LDAPv3 und EAP notwendig sein.
Zwar finden diese Protokolle überwiegend bei Firmeneinstellungen Verwendung, doch sie sind mitunter auch auf Heim-PCs notwendig, so etwa, wenn die Windows-eigene EFS-Verschlüsselung genutzt wird und das gespeicherte Zertifikat neu importiert werden muss.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


idsvc [Windows CardSpace]

Friendly Name: Windows CardSpace
Interner Name: idsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht Erstellung, Verwaltung und Zugriffsschutz digitaler Identitäten. CardSpace kann insbesondere zur Authentifizierung bei Web-Seiten und Web-Diensten verwendet werden. In der Praxis hat sich diese Microsoft-eigene Authentifizierungsmethode aber kaum etabliert.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


IKEEXT [IKE- und AuthIP Ipsec-Schlüsselerstellungsmodule]

Friendly Name: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
Interner Name: IKEEXT
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Diese Schlüsselerstellungsmodule werden zur Authentifizierung und zum Schlüsselaustausch in IPSec (Internet Protocol Security) verwendet, also dann benötigt, wenn Sie auch auf IPsec zurückgreifen. Auch manche VPN-Clients (für den Home-Zugriff auf den Firmen-Server) sind auf den Dienst angewiesen.
Eigentlich eher für Firmennetzwerke von Interesse, empfiehlt Microsoft dennoch ausdrücklich, diesen Dienst in jedem Fall aktiviert zu lassen.

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Imhosts [TCP-IP-NetBIOS-Hilfsdienst]

Friendly Name: TCP/IP-NetBIOS-Hilfsdienst
Interner Name: Imhosts
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst unterstützt “NetBIOS over TCP/IP“. Dabei handelt es sich um ein Netzwerkhilfsprotokoll (NBT), das es ermöglicht, Netbios-basierte Programme und Computer in einem TCP/IP Netzwerk (also im Internet) zu verwenden. Falls in einem Netzwerk keine Alt-Rechner (Windows 95) mit uralten Netbios oder WINS (Windows Internet Naming Service) beteiligt sind, ist dieser Dienst mehr als überflüssig.

Abhängig von:
Keinem andern Dienst

Benötigt für:
keinen anderen Dienst


IPBusEnum [PnP-X-IP-Busauflistung]

Friendly Name: PnP-X-IP-Busauflistung
Interner Name: IPBusEnum
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Die Plug & Play Extensions (PnP-X) erweitern das physikalische Plup & Play um Netzwerkfunktionalität. PnP-X erkennt Geräte im Netzwerk und unterstützt die automatische Installation derselben. Die „PnP-X-IP-Busauflistung“ verwaltet den “Virtual Network Bus” und ist der Basisdienst, der die erkannten Geräte an den Plug & Play-Dienst meldet. Dieser Dienst ist nur in Ausnahmefällen, am Home-PC nur für das Windows Media Center von Belang.

Abhängig von:
DCOM-Server-Prozessstart, Funktionssuchanbieter-Host, Remoteprozeduraufruf (RPC)

Benötigt für:
Windows Media Center Extender-Dienst


iphlpsvc [IP-Hilfsdienst]

Friendly Name: IP-Hilfsdienst
Interner Name: iphlpsvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht IPv6 Verbindungen über ein IPv4 Netzwerk. Da es sich beim Internet noch größtenteils um ein IPv4 Netzwerk handelt, sind Sie auf diesen Dienst angewiesen, sobald Sie auf eine IPv6-Site zugreifen möchten.
Aktuell spielt IPv6 praktisch noch keine Rolle, so dass Sie diesen Dienst aktuell deaktivieren können.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation

Benötigt für:
keinen anderen Dienst


keylso [CNG-Schlüsselisolation]

Friendly Name: CNG-Schlüsselisolation
Interner Name: keylso
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst speichert private Schlüssel zur Dechiffrierung von Daten und hält diese für zukünftig aufgerufene Anwendungen bereit. Er untersteht dem zentralen Prozess LSASS.EXE (Local Security Authority Subsystem). Da der Dienst „keylso“ wichtig ist, aber nur bei Bedarf ausgeführt wird, können Sie die Starteinstellung „manuell“ belassen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
Automatische Konfiguration (Verkabelt), Automatische WLAN-Konfiguration,
Extensible Authentication-Protokoll


KtmRm [KtmRm für Distributed Transaction Coordinator]

Friendly Name: KtmRm für Distributed Transaction Coordinator
Interner Name: KtmRm
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Zusätzliches Sicherheitsfunktion für die verteilten Netzwerkressourcen des Distributed Transaction Coordinator: Der Dienst soll gewährleisten, dass der Client-Computer auch nach einem Systemcrash Zugriff auf die Netzressourcen erhält. Dieser Dienst ist nur sinnvoll, wenn der Rechner auf verteilte Datenbanken im Netzwerk zugreift.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
keinen anderen Dienst


LanmanServer [Server]

Friendly Name: Server
Interner Name: LanmanServer
Starttyp: automatisch
Starttyp (empfohlen): automatisch oder deaktiviert

Beschreibung:
Der Server-Dienst ist für Datei- und Druckerfreigaben zuständig. Auch wenn Sie auf Ihrem Rechner keine Freigaben eingerichtet haben, startet Windows standardmäßig diesen Dienst. Um ihn abschalten zu können, müssen Sie zudem den Dienst „Computerbrowser“ beenden und deaktivieren.
Auf Home-PCs ohne weitere Netzrechner kann der Dienst deaktiviert werden, desgleichen auf Firmenrechnern, die keine Daten freigeben.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
Computerbrowser

LanmanWorkstation [Arbeitsstationsdienst]

Friendly Name: Arbeitsstationsdienst
Interner Name: LanmanWorkstation
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich in Netzwerkumgebungen: Der Dienst erstellt und wartet Client-Verbindungen mit Remoteservern unter Verwendung des SMB-Protkolls. Ohne Arbeitsstationsdienst können keine Verbindungen zu Rechnern, Freigaben oder Druckern aufgebaut werden. Lediglich der Zugriff auf das Internet ist auch ohne den „Arbeitsstationsdienst“ möglich.

Abhängig von:
Browser

Benötigt für:
Computerbrowser, Netlogon, Terminaldienstekonfiguration


lltdsvc [Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm]

Friendly Name: Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm
Interner Name: lltdsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser entbehrliche Dienst scannt nach Ressourcen für die Netzwerkübersicht im „Netzwerk- und Freigabecenter“ von Windows. Dabei wird neben einigen anderen Informationen über angeschlossene Geräte auch deren Verbindungsstatus dargestellt. Wenn Sie diesen Dienst deaktivieren, schränken Sie die Funktion dieser Netzwerkübersicht nicht grundsätzlich ein, sie wird nur eventuell langsamer oder unvollständig.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


Mcx2Svc [Windows Media Center Extender-Dienst]

Friendly Name: Windows Media Center Extender-Dienst
Interner Name: Mcx2Svc
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst erstellt Verbindungen zu Erweiterungsgeräten für das Windows Media Center. So kann dann etwa Microsofts XBox 360 verwendet werden, um auf digitale Unterhaltungsmedien zuzugreifen, die auf einem Media Center-PC gespeichert sind. Wenn Sie das Windows Media Center oder dessen Extender-Funktionen nicht nutzen, sollten Sie diesen Dienst deaktiviert lassen.

Abhängig von:
DCOM-Server-Prozessstart, Funktionssuchanbieter-Host, PnP-X-IP-Busauflistung,
Remoteprozeduraufruf (RPC), SSDP-Suche, Terminaldienste

Benötigt für: keinen anderen Dienst

MMCSS [Multimediaklassenplaner]

Friendly Name: Multimediaklassenplaner
Interner Name: MMCSS
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst weist den auf einem PC ablaufenden Tasks verschiedene Prioritäts-Stufen zu, um die Gesamtleistung zu optimieren. Dabei werden Multimedia-Anwendungen relativ weit oben angesiedelt. Dieser Dienst wird von “Windows Audio“ benötigt und kann daher nur deaktiviert werden, wenn der PC keinerlei Audio-Funktionen anbieten muss.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Windows-Audio


MpsSvc [Windows-Firewall]

Friendly Name: Windows-Firewall
Interner Name: MpsSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Die Firewall schützt den Computer vor unberechtigten Zugriffen. Die Windows-eigene Firewall mag zwar nicht die allerbeste auf dem Markt sein, aber sie ist spätestens seit Windows Vista völlig ausreichend. Sie sollten die Firewall daher nur deaktivieren, wenn Sie stattdessen die Firewall eines anderen Anbieters installieren.

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


MSDTC [Distributed Transaction Coordinator]

Friendly Name: Distributed Transaction Coordinator
Interner Name: MSDTC
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Der Transaktionsmanager-Dienst kommt bei SQL- und Personal Web-Servern zum Einsatz, um Transaktionen zwischen den verschiedenen Computern des Netzwerks zu koordinieren. Dabei wird die Kommunikation in einem Server-Verbund optimiert, um schnellen Zugriff etwa auf verteilte Datenbanken zu erzielen.
Im Prinzip können Sie die Starteinstellung “manuell“ beibehalten, weil der Dienst, insofern er nicht durch ein anderes Programm gestartet wurde, keine Systemleistung in Anspruch nimmt. Wenn Sie wissen, dass Ihr PC auf keine verteilten Datenbanken im LAN zugreift, können Sie den MSDTC aber jederzeit auch deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
keinen anderen Dienst


MSiSCSI [Microsoft iSCSI-Initiator-Dienst]

Friendly Name: Microsoft iSCSI-Initiator-Dienst
Interner Name: MSiSCSI
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst erlaubt Windows, über das Netzwerk via TCP/IP-Protokoll eine Verbindung zu SCSI-Geräten (Small Computer System Interface) aufzubauen. Bei iSCSI handelt es sich um ein relativ junges und nicht besonders weit verbreitetes Datenübertragungsprotokoll. Daher ist am Firmen-Rechner relativ unwahrscheinlich, am Home-PC nahezu ausgeschlossen, dass Sie diesen Dienst benötigen.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Msiserver [Windows Installer]

Friendly Name: Windows Installer
Interner Name: msiserver
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Windows Installer installiert, repariert, und deinstalliert Software gemäß der in den “Windows Installer“-Dateien (*.msi) enthaltenen Anweisungen. Da die “Windows Installer“ Technik inzwischen von der Mehrzahl der Software genutzt wird, sollten Sie diesen Dienst keinesfalls deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Napagent [NAP-Agent (Network Access Protection)]

Friendly Name: NAP-Agent (Network Access Protection)
Interner Name: napagent
Starttyp: manuell
Starttyp (empfohlen): deaktiviert oder manuell (für Windows-Domäne)

Beschreibung:
Dieser Dienst erlaubt es Administratoren von Windows-Domänen, Sicherheitsrichtlinien für Computer zu definieren, die auf sich mit dem Netzwerk verbinden möchten. Der Dienst ist daher nur für Workstations in einer LAN-Umgebung notwendig, die sich auf einer Windows-Domäne anmelden müssen. Das gilt längst nicht für alle Firmen-PCs, ganz sicher nicht für Home-PCs.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Netlogon [Anmeldedienst]

Friendly Name: Anmeldedienst
Interner Name: Netlogon
Starttyp: manuell
Starttyp (empfohlen): deaktiviert oder manuell (für Windows-Domäne)

Beschreibung:
So wichtig er klingt: Tatsächlich ist der „Anmeldedienst“ nur auf Workstations in einer LAN-Umgebung notwendig, die sich auf einer Windows-Domäne anmelden müssen. Das gilt längst nicht für alle Firmen-PCs, ganz sicher nicht für Home-PCs.

Abhängig von:
Arbeitsstationsdienst

Benötigt für:
Keinen anderen Dienst


Netman [Netzwerkverbindungen]

Friendly Name: Netzwerkverbindungen
Interner Name: Netman
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst Netzwerkverbindungen verwaltet das Netzwerkcenter, in dem alle LAN- und Remoteverbindungen angezeigt werden. Wenn Sie diesen Dienst deaktivieren, wird das Icon für Netzwerkverbindungen in der Taskleiste nicht mehr angezeigt. Die Konnektivität sollte dadurch aber nicht beeinträchtigt werden.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst, Remoteprozeduraufruf (RPC)

Benötigt für:
Gemeinsame Nutzung der Internetverbindung


Netprofm [Netzwerklistendienst]

Friendly Name: Netzwerklistendienst
Interner Name: netprofm
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst identifiziert alle Netzwerke, mit denen Sie verbunden sind. Zudem werden Einstellungen für diese Netzwerke abgespeichert und Anwendungen werden davon in Kenntnis gesetzt, wenn sich diese ändern. Ist der Dienst deaktiviert, können Sie nicht mehr über die Taskleiste einsehen, ob Sie verbunden sind. Verbindungen sind dennoch nach wie vor möglich.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
NLA (Network Location Awareness), Remoteprozeduraufruf (RPC)

Benötigt für:
SL-Benutzerschnittstellen-Benachrichtigungsdienst


NetTcpPortSharing [Net.Tcp-Portfreigabedienst]

Friendly Name: Net.Tcp-Portfreigabedienst
Interner Name: NetTcpPortSharing
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es TCP Ports über das net.tcp-Protokoll mit anderen Rechnern eines Netzwerks zu teilen. Der Dienst ist standardmäßig deaktiviert.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


NlaSvc [NLA (Network Location Awareness)]

Friendly Name: NLA (Network Location Awareness)
Interner Name: NlaSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Im LAN-Netz für Freigaben unentbehrlich (neben dem weiteren Dienst Server): Dieser Dienst sammelt Informationen über die verbundenen Netzwerke und stellt sie anhängigen Diensten zur Verfügung. Der Dienst wird außerdem von der Windows Firewall genutzt. Wenn Sie diesen Dienst deaktivieren, können andere Netzteilnehmer nicht mehr auf freigegebene Ordner zugreifen, als Client funktioniert der PC weiterhin uneingeschränkt. Beim Deaktivieren von „NlaSvc“ wird automatisch auch der abhängige und eher entbehrliche Netzwerklistendienst abgeschaltet.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst, Remoteprozeduraufruf (RPC)

Benötigt für:
Netzwerklistendienst, SL-Benutzerschnittstellen-Benachrichtigungsdienst


Nsi [Netzwerkspeicher-Schnittstellendienst]

Friendly Name: Netzwerkspeicher-Schnittstellendienst
Interner Name: nsi
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich: Der Dienst überwacht die vorhandenen Netzwerkschnittstellen und gibt Änderungen an Systemprogramme und Anwendungen weiter. Wenn Sie diesen Dienst deaktivieren, können Sie sich nicht mehr mit anderen Rechnern verbinden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Arbeitsstationsdienst, Computerbrowser, DHCP-Client, Gemeinsame Nutzung der Internetverbindung, IP-Hilfsdienst, Netzwerkanmeldung, Netzwerklistendienst, Netzwerkverbindungen, NLA (Network Location Awareness), SL-Benutzerschnittstellen-Benachrichtigungsdienst, Terminaldienstekonfiguration, WinHTTP-Web Proxy Auto-Discovery-Dienst


P2pimsvc [Peernetzwerkidentitäts-Manager]

Friendly Name: Peernetzwerkidentitäts-Manager
Interner Name: p2pimsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst mit weitgehend unklarer Funktion existiert als optionale Erweiterung seit Windows XP SP2. Wahrscheinliche Aufgabe ist die Erkennung von P2P-Netzen unter dem noch kaum verbrieteten IPv6-Protokoll. Das Deaktivieren des Dienstes hat derzeit keine erkennbare Nebenwirkungen.

Abhängig von:
keinem andren Dienst

Benötigt für:
Peer Name Resolution-Protokoll, Peernetzwerk-Gruppenzuordnung,
PNRP-Computernamenveröffentlichungs-Dienst


P2psvc [Peernetzwerk Gruppenzuordnung]

Friendly Name: Peernetzwerk Gruppenzuordnung
Interner Name: p2psvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst mit weitgehend unklarer Funktion existiert als optionale Erweiterung seit Windows XP SP2. Wahrscheinliche Aufgabe sind Gruppenzuordnungsdienste für Peernetzwerke unter dem – noch – kaum verbreiteten IPv6-Protokoll. Das Deaktivieren des Dienstes hat derzeit keine erkennbare Nebenwirkungen.

Abhängig von:
Peernetzwerkidentitäts-Manager, Peer Name Resolution-Protokoll

Benötigt für:
keinen anderen Dienst


PcaSvc [Programmkompatibilitäts-Assistent-Dienst]

Friendly Name: Programmkompatibilitäts-Assistent-Dienst
Interner Name: PcaSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist Basis für den „Program Compatibility Assistant (PCA)“ – eine mit Windows Vista eingeführte Funktion, die es ermöglicht, ältere Programme mit Kompatibilitätsproblemen automatisch besser laufen zu lassen. Wenn der PCA ein bekanntes Kompatibilitätsproblem erkennt, nachdem der Benutzer ein älteres Programm gestartet hat, informiert er denselben hierüber und bietet Lösungen an, die künftig beim Start des Programms angewendet werden können.
Bei abgeschlossener Konfiguration und Software-Ausstattung eines PC können Sie diesen Dienst deaktivieren; danach funktioniert dieser Programmkompatibilitäts-Assistent nicht mehr. Sollte sich bei Kompatibiltätsproblemen die Notwendigkeit dieser Funktion einstellen, können Sie ihn bei Bedarf wieder aktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Pla [Leistungsprotokolle und -warnungen]

Friendly Name: Leistungsprotokolle und -warnungen
Interner Name: pla
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst zeichnet die Systemleistung des lokalen Computers in einem Logfile auf, wenn diese Funktion in den “Einstellungen für die benannte Protokollsammlung“ angeordnet wurde. Gegebenenfalls werden Warnmeldungen ausgegeben. Der durchschnittliche User dürfte diesen Dienst kaum nutzen. Standardmäßig eingestellt ist er aber ohnehin auf „manuellen“ Start bei Bedarf. Wenn Sie den Dienst deaktivieren, werden keine Leistungsinformationen mehr erfasst.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


PlugPlay [Plug and Play]

Friendly Name: Plug & Play
Interner Name: PlugPlay
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der zentrale Dienst wird für viele andere Dienste benötigt. “Plug & Play“ ermöglicht es dem Computer, Hardwareänderungen automatisch zu erkennen und Folgeoperationen zu veranlassen. Das Deaktivieren dieser Komponente würde die Systemstabilität empfindlich beeinflussen.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Fax, Smartcard, Tablet PC-Eingabedienst, Telefonie, Verwaltung für automatische RAS-Verbindung, Virtueller Datenträger, Windows-Audio, Windows-Audio-Endpunkterstellung, Windows Driver Foundation – Benutzermodus-Treiberframework, Windows Modules Installer


PNRPAutoReg [PNRP-Computernamenveröffentlichungs-Dienst]

Friendly Name: PNRP-Computernamenveröffentlichungs-Dienst
Interner Name: PNRPAutoReg
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst gehört wie einige weitere Peer-to-Peer-Dienste zum neuen Microsoft-Datenübertragungsprotokoll für Peer-to-Peer Netze, welches dynamische DNS Namensveröffentlichung ermöglicht und DNS Server überflüssig machen soll. Der Dienst unterstützt zwar auch das geläufige IPv4, soll aber erst unter IPv6 seine wesentliche Rolle erhalten. Aktuell sind keine Nebenwirkungen zu befürchten, wenn der Dienst deaktiviert bleibt.

Abhängig von:
Peer Name Resolution-Protokoll, Peernetzwerkidentitäts-Manager

Benötigt für:
keinen anderen Dienst


PNRPsvc [Peer Name Resolution-Protokoll]

Friendly Name: Peer Name Resolution-Protokoll
Interner Name: PNRPsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht Peer-to-Peer – also ohne DNS-Server – die Adressauflösung über das Internet. Wird dieser Dienst deaktiviert, funktionieren einige Peer-to-Peer Anwendungen wie die „Windows-Teamarbeit“ und Filesharing-Programme eventuell nicht mehr uneingeschränkt.

Abhängig von:
Peernetzwerkidentitäts-Manager

Benötigt für:
Peernetzwerk-Gruppenzuordnung, PNRP-Computernamenveröffentlichungs-Dienst


ProfSvc [Benutzerprofildienst]

Friendly Name: Benutzerprofildienst
Interner Name: ProfSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich! Dieser Dienst lädt und entlädt Benutzerprofile. Ohne diesen Dienst wäre keine Anmeldung am System möglich. Entladen im laufenden System macht Windows nahezu unbenutzbar. Finger weg!

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
Anwendungsinformationen


ProtectedStorage [Geschützter Speicher]

Friendly Name: Geschützter Speicher
Interner Name: ProtectedStorage
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst stellt einen geschützten Speicherplatz für vertrauliche Daten wie Passwörter und private Schlüssel zur Verfügung und verhindert den Zugriff durch andere Benutzer, Prozesse oder nicht autorisierte Dienste.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


qwave [Verbessertes Windows-Audio-Video-Streaming]

Friendly Name: Verbessertes Windows-Audio-/Video-Streaming
Interner Name: qwave
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst mit dem Kürzel „qWave“ ist eine Netzwerkplattform für Audio- und Video-Streaming-Anwendungen auf privaten IP-Netzwerken. Seine Aufgabe ist es, die Streamingleistung und Zuverlässigkeit zu verbessern, indem die ordnungsgemäße Funktion aller zusammenwirkenden Komponenten überwacht wird. Zudem ist der Dienst für Anwendungs Feedback und Bandbreitenzuteilung bei Streaminganwendungen zuständig.
Wenn Sie einen Streaming-Client nutzen, belassen Sie die Einstellung auf „manuell“, andernfalls können Sie den Dienst auch abschalten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RasAuto [Verwaltung für automatische RAS-Verbindung]

Friendly Name: Verwaltung für automatische RAS-Verbindung
Interner Name: RasAuto
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst erstellt auf Programmanfrage eine Verbindung zu einem Remote-Netzwerk. In einigen wenigen Fällen kann dieser Dienst für den Anmeldevorgang bei Dial-Up und DSL Internet Verbindungen erforderlich sein. In den allermeisten Fällen ist der Service entbehrlich.

Abhängig von:
DCOM-Server-Prozessstart, Telefonie, Plug & Play, RAS-Verbindungsverwaltung, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


RasMan [RAS-Verbindungsverwaltung]

Friendly Name: RAS-Verbindungsverwaltung
Interner Name: RasMan
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ist notwendig für Modem-, VPN- und ISDN-Verbindungen, daneben auch bei DSL mit direkten PPPoE-Verbindungen. Falls Sie eine dieser Verbindungsmöglichkeiten nutzen, dürfen Sie den Dienst nicht deaktivieren. Bei normalen DSL-Verbindungen per Router ist der Dienst hingegen entbehrlich.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Gemeinsame Nutzung der Internetverbindung, Routing und RAS, Verwaltung für automatische RAS-Verbindung


RemoteAccess [Routing und RAS]

Friendly Name: Routing und RAS
Interner Name: RemoteAccess
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst erlaubt die Einwahl in ein Firmen-Netzwerk mit Hilfe eines Modems oder via ISDN. Dabei muss „RemoteAccess“ auf dem Firmen-Rechner laufen, auf dem man sich einwählen will. In den meisten Firmen ist eine solche Direkteinwahl schon aus Sicherheitsgründen nicht möglich.
Sie können diesen Dienst deaktiviert lassen, wenn Sie keinen Remotezugriff benötigen, desgleichen, falls Sie einen externe Hardware-Firewall oder einen Router für Ihre Internetverbindung nutzen. Seltene Ausnahmen sind VPN Tunneling oder ICS (Gemeinsame Nutzung der Internetverbindung),

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RemoteRegistry [Remoteregistrierung]

Friendly Name: Remoteregistrierung
Interner Name: RemoteRegistry
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit der Remoteregistrierung erlauben Sie den Fernzugriff auf die in der Registry enthaltenen Einstellungen. Dies ist im Firmennetz oft erwünscht oder sogar notwendig. Am Home-PC empfiehlt es sich, den Dienst zu deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RpcLocator [RPC-Locator]

Friendly Name: RPC-Locator
Interner Name: RpcLocator
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist zuständig für die Verwaltung der RPC-Namendienstdatenbank. Im Unterschied zum lebenswichtigen Remoteprozeduraufruf (RPC) scheint der RPC-Locator aber nur für verteilte Anwendungen im Netz zuständig. Mir sind keine Nebenwirkungen nach Deaktivieren dieses Dienstes bekannt.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


RpcSs [Remoteprozeduraufruf (RPC)]

Friendly Name: Remoteprozeduraufruf (RPC)
Interner Name: RpcSs
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Ein absolut unentbehrlicher Dienst! Das Deaktivieren macht das System praktisch unbenutzbar, da alle abhängigen Dienste streiken (so gut wie alle) und damit auch das neuerliche Aktivieren des RPC-Dienstes zur unüberwindlichen Hürde wird. Finger weg!

Abhängig von:
DCOM-Server-Prozessstart

Benötigt für:
die allermeisten anderen Dienste


SamSs [Sicherheitskonto-Manager]

Friendly Name: Sicherheitskonto-Manager
Interner Name: SamSs
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser unentbehrliche Dienst speichert Sicherheitsinformationen für lokale Benutzerkonten. Nachdem dieser Dienst gestartet ist, teilt er seine Bereitschaft an weitere Dienste mit, die ohne ihn möglicherweise nicht korrekt gestartet werden können. Aufgrund seiner Bedeutung kann der Sicherheitskonto-Manager über die Dienste-Konsole Services.msc nicht deaktiviert werden.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Computerbrowser, Distributed Transaction Coordinator, KtmRm für Distributed Transaction Coordinator, Server


SCardSvr [Smartcard]

Friendly Name: Smartcard
Interner Name: SCardSvr
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht das Lesen von Smartcards. Dabei handelt es sich um Chipkarten, die in der Regel zur Authentifizierung eines Benutzers dienen. Diese Methode ist bislang allenfalls im professionellen Umfeld verbreitet, im privaten Umfeld eher selten; wenn Sie keine Smartcards nutzen, können Sie den Dienst ohne Bedenken deaktivieren.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst


Schedule [ Aufgabenplanung ]

Friendly Name: Aufgabenplanung
Interner Name: Schedule
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich und nicht deaktivierbar: Der Dienst ermöglicht nicht nur die „Aufgabenplanung“ durch den Anwender, sondern arbeitet als zentrale Zeitsteuerung diverse System-eigener Windows-Dienste. Diese automatisierten Vorgänge haben seit Windows Vista erhbeblich an Umfang und Bedeutung gewonnen.

Abhängig von:
Remoteprozeduraufruf (RPC), Ereignisprotokoll, DCOM-Server-Prozessstart

Benötigt für:
Keinen anderen Dienst


SCPolicySvc [Richtlinie zum Entfernen der Smartcard]

Friendly Name: Richtlinie zum Entfernen der Scmartcard
Interner Name: SCPolicySvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Smartcards sind in der Regel Kreditkarten große Chipkarten, die oft Informationen bezüglich Zugangsrechten speichern. Dieser Dienst legt Aktionen fest, die ausgeführt werden, wenn die Smartcard durch den Nutzer entfernt wird. Wenn Sie keinen Smartcard-Leser verwenden, können Sie diesen Dienst getrost deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SDRSVC [Windows-Sicherung]

Friendly Name: Windows-Sicherung
Interner Name: SDRSVC
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist notwendig, wenn Sie auf die Backup- und Systemwiederherstellungs-Komponenten von Windows 7 und Vista zurückgreifen wollen („Sichern und Wiederherstellen“).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Seclogon [Sekundäre Anmeldung]

Friendly Name: Sekundäre Anmeldung
Interner Name: seclogon
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ermöglicht es, Prozesse in einem anderen User-Kontext zu starten. Das Windows-eigene Programm für diese Aktion ist Runas.EXE. Dieser Befehl erlaubt es, für eine bestimmte Aktion Administratorrechte durchzusetzen, selbst wenn Sie gegenwärtig nicht als Administrator angemeldet sind, darüber hinaus sogar Systemrechte, sofern das Ausgangskonto Administratorrechte hat. Umgekehrt können im Admin-Kontext Prozesse im eingeschränkten User-Kontext gestartet werden.
Anwender, die diese Möglichkeit nie nutzen, können den Dienst deaktivieren oder auf „manuell“ setzen.

Abhängig von:
keinem anderen Dienst


Sens [Benachrichtigungsdienst für Systemereignisse]

Friendly Name: Benachrichtigungsdienst für Systemereignisse
Interner Name: SENS
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert (Desktop-PC), automatisch (Notebook)

Beschreibung:
Dieser Dienst verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Er informiert außerdem Ereignissystembezieher von COM+ über diese Ereignisse.
In einer Desktop-Umgebung ist uns derzeit kein Szenario bekannt, in dem die Systemereignisbenachrichtigung unbedingt benötigt wird. Für Notebook-Besitzer ist dieser Dienst hingegen wichtig, da er unter anderem dafür sorgt, dass bei niedrigem Batteriestand die konfigurierten Aktionen ausgeführt werden.

Abhängig von:
COM+-Ereignissystem

Benötigt für:
COM+-Systemanwendung


SessionEnv [Terminaldienstekonfiguration]

Friendly Name: Terminaldienstekonfiguration
Interner Name: SessionEnv
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst ist für die Konfiguration und Aufrechterhaltung aller Sitzungen bezüglich Terminaldienste und der Funktion „Remotedesktop“ zuständig.

Abhängig von:
Arbeitsstationsdienst, DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SharedAccess [Gemeinsame Nutzung der Internetverbindung]

Friendly Name: Gemeinsame Nutzung der Internetverbindung
Interner Name: SharedAccess
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes können Sie die Internetverbindung mit anderen Computern teilen – etwa im Heimnetzwerk (Internetverbindungsfreigabe). Ihr Computer dient somit sozusagen als Router und stellt den anderen Netzwerkteilnehmer Funktionen für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Firewall zur Verfügung.
Dieser Dienst ist im Firmennetz unnötig und spielt auch im Heimnetz bei zunehmender Verbreitung von DSL-Routern keine wesentliche Rolle mehr.

Abhängig von:
DCOM-Server-Prozessstart, Basisfiltermodul, Netzwerkspeicher-Schnittstellendienst, Netzwerkverbindungen, RAS-Verbindungsverwaltung, Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation,

Benötigt für:
keinen anderen Dienst


ShellHWDetection [Shellhardwareerkennung]

Friendly Name: Shellhardwareerkennung
Interner Name: ShellHWDetection
Starttyp: automatisch
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist für die “Auto-Play“ Funktion notwendig. Beispielsweise öffnet sich beim Einlegen einer CD ein Dialogfeld, in dem der User wählen kann, mit welchem Programm der CD Inhalt geöffnet werden soll. Anwender, die dieser Automatismus eher stört, sollten die “Shellhardwareerkennung“ deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Windows-Bilderfassung


Slsvc [Softwarelizenzierung]

Friendly Name: Softwarelizenzierung
Interner Name: slsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst ermöglicht den Download und die Installation digitaler Signaturen und Lizenzen. Sein Abschalten würde nicht zuletzt das Windows-Update beeinträchtigen bis verhindern, ebenso die Aktivierung von System und Software.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
ReadyBoost, SL-Benutzerschnittstellen-Benachrichtigungsdienst


SLUINotify [SL-Benutzerschnittstellen-Benachrichtigungsdienst]

Friendly Name: SL-Benutzerschnittstellen-Benachrichtigungsdienst
Interner Name: SLUINotify
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst ist für den Lizenzierungsvorgang von Software notwendig, so etwa auch für die Aktivierung von Windows. Er untersteht dem Dienst „Softwarelizenzierung“ und sorgt für die fälligen Warnmeldungen an den Benutzer bezüglich abgelaufener Lizenzierungsfristen.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerklistendienst, Netzwerspeicher-Schnittstellendienst, NLA (Network Location Awareness), Remoteprozeduraufruf (RPC), Softwarelizenzierung

Benötigt für:
keinen anderen Dienst


snmptrap [SNMP-Trap]

Friendly Name: SNMP-Trap
Interner Name: snmptrap
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Bei SNMP (Simple Network Management Protocol) handelt es sich um ein eigenständiges Netzwerk Protokoll, das verschiedene Netzwerkelemente (Server, Switches, Router, Drucker oder andere Computer) von einer zentralen Station aus überwacht. Die Aufgabe des SNMP-Trap-Dienstes ist es dabei, unaufgeforderte Nachrichten (TRAP-Nachrichten) von den verbundenen Geräten zu empfangen und diese an SNMP-Management-Programme weiterzuleiten. Dieser Dienst ist praktisch nur für Netzwerk-Administratoren relevant und kann in den allermeisten Fällen deaktiviert werden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Spooler [Druckwarteschlange]

Friendly Name: Druckwarteschlange
Interner Name: Spooler
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist für die Abwicklung aller anstehenden Druckaufträge zuständig. Daten, welche an den Drucker gesendet werden sollen werden dabei vorübergehend in einem temporären Ordner hinterlegt. Wenn Sie diesen Dienst deaktivieren, zeigt Windows angeschlossene Drucker generell nicht mehr an. Drucken ist dann nicht mehr möglich. Anwender, die mit dem papierlosen Büro ernst machen, können den Dienst natürlich deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


ssdpsrv [SSDP-Suche]

Friendly Name: SSDP-Suche
Interner Name: ssdpsrv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst spürt im IP-basierten Netzwerk Geräte auf, die dann über Vistas neues “UPnP“ automatisch initialisiert werden sollen. SSDP steht für Simple Service Discovery Protocol, UPnP für Universal Plug & Play zum Ansteuern von IP-Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen).“UPnP“ ist damit quasi das Plug & Play für das Netz. Mit dem Abschalten von “UPnP“ und “SSDP“ entfällt die Möglichkeit, Media Player-Bibliotheken für andere Abspiel- und Mediengeräte im Netzwerk freizugeben. Sie können also beispielsweise nicht mit einer XBox 360 Medien eines Windows-Rechners abspielen. Von solchen Sonderfällen abgesehen ist dieser Dienst in den allermeisten Fällen entbehrlich.

Abhängig von:
keinem anderen Dienst


stisvc [Windows-Bilderfassung]

Friendly Name: Windows-Bilderfassung
Interner Name: stisvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst leistet die Windows-eigene Bilderfassung für Scanner und Kameras. Falls Sie die Bilder Ihrer Kamera mit der Browser-Software Ihres Kameraherstellers herunterladen, benötigen Sie diesen Dienst nicht.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Shellhardwareerkennung

Benötigt für:
keinen anderen Dienst


swprv [Microsoft-Softwareschattenkopie-Anbieter]

Friendly Name: Microsoft-Softwareschattenkopie-Anbieter
Interner Name: swprv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst verwaltet softwarebasierte Schattenkopien, die wiederum durch den Dienst Volumenschattenkopie erstellt wurden. Eine Schattenkopie stellt ein konsistentes, schreibgeschütztes Abbild eines Datenträgers zu einem bestimmten Zeitpunkt dar und wird im Ordner \System Volume Information abgelegt. Mit Hilfe von Sicherungssoftware können solche Snapshots dann auf Sicherungs-Datenträger kopiert werden. Einzelne Dateien oder Ordner können ferner über „Vorgängerversionen“ im laufenden Betrieb zurückgeschrieben werden.
Ist der Dienst deaktiviert, arbeiten diese Funktionen nicht mehr, und auch die Ausführung des Systemwiederherstellung ist nicht mehr möglich. Trotz dieser Nachteile halten ich diesen Dienst und die zugehörigen Funktionen für normale Home- oder Arbeitsrechner entbehrlich, ferner auch den Dienst “Volumenschattenkopie”.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SysMain [Superfetch]

Friendly Name: Superfetch
Interner Name: SysMain
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Dieser Dienst protokolliert die User-Gewohnheiten, sorgt daraufhin für den Preload häufig genutzer Software in den Speicher und optimiert ferner im Hintergrund die Festplatte so, dass die bevorzugten Anwendungen an die schnellsten Bereiche der Platte verschoben werden.
Die Bewertung dieser Funktion ist umstritten: Sie verkürzt einerseits die Startzeiten des Systems ebenso wie die der berücksichtigten Anwendungen, andererseits steigt die RAM-Auslastung und der Stress für die Festplatte.
Ob Sie den Dienst abschalten sollten, hängt von vielen individuellen Faktoren hängt (RAM-Größe, Festplattenleistung, Festplattengeräusch, Größe der meistgenutzten Anwendungen, Konstanz der meistgenutzten Anwendungen, Wichtigkeit der Boot-Performance…).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TabletInputService [Tablet PC-Eingabedienst]

Friendly Name: Tablet PC-Eingabedienst
Interner Name: TabletInputService
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst wird ausschließlich für die Eingabe per Zeichenstift bei Tablet-PCs benötigt. Aus welchem Grund Microsoft diesen Dienst dennoch auf jedem REchner automatisch starten lässt, bleibt unerfindlich. Ist Windows nicht auf einem Touchscreen oder Tablet-PC installiert, sollten Sie ihn deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Plug & Play, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TapiSvr [Telefonie]

Friendly Name: Telefonie
Interner Name: TapiSvr
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst bietet TAPI-Unterstützung (Telephony Application Programming Interface) für Telefonie-Anwendungen wie etwa Software-Telefonie oder Videokonferenzprogramme zwischen dem eigenen Computer und LAN-Servern, die diesen Dienst auch verwenden. Benötigt wird dieser Dienst auch für Modem-Verbindungen und den Fax Dienst.

Abhängig von:
DCOM-Server-Prozessstart, Plug_&_Play, Remoteprozeduraufruf (RPC)

Benötigt für:
Fax, RAS-Verbindungsverwaltung


TBS [TPM-Basisdienste]

Friendly Name: TPM-Basisdienste
Interner Name: TBS
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ermöglicht den Zugriff auf das “Trusted Platform Modul (TPM)“, welches Hardware-basierte Verschlüsselungsdienste für Systemkomponenten und Anwendungen bietet. Der Dienst ist überall dort notwendig, wo TPM-Chips im Mainboard verbaut sind. Dies ist inzwischen bei alleren neueren Rechnern der Fall. Der Starttyp „manuell“ ist ausreichend.

Abhängig von:
Keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


TermService [Terminaldienste]

Friendly Name: Terminaldienste
Interner Name: TermService
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst erlaubt mehreren Usern, sich mit diesem Computer (auf dem der TermService läuft) zu verbinden, virtuelle Windows-Desktop Sitzungen abzuhalten und dessen Windows- Programme zu nutzen. Wenn „Terminaldienste“ deaktiviert wird, stehen die „schnelle Benutzerumschaltung“, “Remoteunterstützung“ und “Remotedesktop“ nicht mehr zur Verfügung. Für ausgehende Verbindungen zu einem anderen “Remotedesktop“ wird dieser Dienst nicht benötigt.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Anschlussumleitung für Terminaldienst im Benutzermodus,
Windows Media Center Extender-Dienst


Themes [Designs]

Friendly Name: Designs
Interner Name: Themes
Starttyp: automatisch
Starttyp (empfohlen): automatisch oder deaktiviert

Beschreibung:
Der Dienst ist notwendig für spezielle GUI-Themes (Aero unter Windows 8 / 7 / Vista). Bei „klassischer“ Darstellung kann dieser Dienst abgeschaltet werden. Dies geschieht nicht automatisch, wenn sich der Anwender für die klassische Oberfläche entscheidet.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Threadorder [Server für Threadsortierung]

Friendly Name: Server für Threadsortierung
Interner Name: threadorder
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst sorgt für die optimierte zeitliche Reihenfolge bei der Abarbeitung gruppierter Programm-Threads.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


TrkWks [Überwachung verteilter Verknüpfungen (Client)]

Friendly Name: Überwachung verteilter Verknüpfungen (Client)
Interner Name: TrkWks
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Kontrolliert und korrigiert die Verknüpfungen von NTFS Dateien zwischen vernetzten Rechnern: Ist etwa eine Datei auf “Rechner A“ durch einen Shortcut auf “Rechner B“ verlinkt, und man verschiebt die Zieldatei auf “Rechner A“, so veranlasst dieser Dienst “Rechner B“, den geänderten Link automatisch zu aktualisieren.
Ich halte diesen Service für mehr als marginal und empfehle, ihn zu deaktiveren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TrustedInstaller [Windows Modules Installer]

Friendly Name: Windows Modules Installer
Interner Name: TrustedInstaller
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst steuert und ermöglicht die Installation, Modifizierung und Deinstallation von Windows Updates sowie von optionalen Komponenten. Lediglich zum Herunterladen der kritischen Sicherheits-Updates durch den “Windows Update Service“ ist der Service nicht erforderlich.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst


UI0Detect [Erkennung interaktiver Dienste]

Friendly Name: Erkennung interaktiver Dienste
Interner Name: UI0Detect
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst benachrichtigt den Anwender, wenn die Möglichkeit besteht, in den Ablauf eines interaktiven Dienstes einzugreifen. Dieser Service wurde notwendig, weil Windows seit Vista aus Sicherheitsgründen alle Dienste in die Systemsession 0 verbannt, die keine Verbindung zur Oberfläche besitzt. Dienste bleiben daher unsichtbar und stumm, selbst wenn sie im Prinzip interaktiv programmiert sind.
Wird dieser Dienst gestoppt, wird der Benutzer nicht mehr informiert, wenn er die Möglichkeit hat, mit einem interaktiven Dienst via Windows-Dialog zu kommunizieren. In der Realität spielt die Interaktion mit Windows-Diensten allerdings eine so marginale Rolle, dass Sie den Hilfsdienst auch deaktivieren können.

Tipp: Unter Vista und Windows 7 (nicht Windows 8) lässt sich der Dienst nutzen, um erst per Kommandozeile, von dort auch per Explorer, im Systemkontext zu arbeiten. Eine Batchdatei (RunAsSystem), die dies demonstriert und vereinfacht, finden Sie hier.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


UmRdpService [Anschlussumleitung für Terminaldienst im Benutzermodus]

Friendly Name: Anschlussumleitung für Terminaldienst im Benutzermodus
Interner Name: UmRdpService
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Ermöglicht das Umleitung von Druckern, Laufwerken und Ports beim Benutzen der „Remotedesktop“-Komponente. der Dienst ist unnötig, solange diese Windows-Komponente nicht genutzt wird.

Abhängig von:
Arbeitsstationsdienst

Benötigt für:
Keinen anderen Dienst


upnphost [UPnP-Gerätehost]

Friendly Name: UPnP-Gerätehost
Interner Name: upnphost
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst Universal Plug & Play-Support und sorgt für die automatische Erkennung UPnP-fähigen Geräten im Netzwerk. Trotz der Einführung von UPnP bereits unter Windows XP konnte die Technologie bis heute nicht wirklich Fuss fassen. Aufgrund der geringen Verbreitung kann der Dienst auch deaktiviert werden.

Abhängig von:
SSDP-Suche

Benötigt für:
Windows Media Player-Netzwerkfreigabedienst


UxSms [Sitzungs-Manager für Desktopfenster-Manager]

Friendly Name: Sitzungs-Manager für Desktopfenster-Manager
Interner Name: UxSms
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert / automatisch

Beschreibung:
Einer der ressourcen-intensivsten Dienste: Er ist für die verschiedenen “Aero“ Effekte zuständig und sorgt dafür, dass auch Anwendungen laufen, welche an sich nicht mit “Aero“ kompatibel sind. Wenn Sie diesen Dienst deaktivieren, sparen Sie Prozessorleistung und erheblich RAM, müssen aber im Gegenzug auf die neuen “Aero“ Effekte verzichten.
Unter Windows 8 lässt sich der Dienst nicht mehr deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt:
keinen anderen Dienst

VDS [Virtueller Datenträger]

Friendly Name: Virtueller Datenträger
Interner Name: vds
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Der Dienst „Virtual Disk Service“ vereinfacht die Verwaltung für diverse Datenträger, Dateisysteme, RAID-Controller und Festplatten im Netzwerk. Es handelt sich, vereinfacht gesprochen, um eine Storage-Technik, die verschiedene Speichergeräte virtualisiert und übersichtlich zusammenfasst. Eine Veranlassung, diesen Dienst zu starten, besteht nur in einem Netzwerk mit Windows Server 2003 bis 2008.

Abhängig von:
DCOM-Server-Prozessstart, Plug & Play, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


VSS [Volumenschattenkopie]

Friendly Name: Volumenschattenkopie
Interner Name: VSS
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Der Dienst ist notwendig für die Verwaltung und Durchführung von Schattenkopien. Bei dieser Technik werden Dateiveränderungen schreibgeschützt aufgezeichnet, und das System kann bei Bedarf wieder zurückgesetzt oder einzelne Dateien („Vorgängerversion“) zurückkopiert werden. Schattenkopien erhöhen die Sicherheit, sind aber relativ ressourcen-intensiv. Ob Sie den Dienst deaktivieren wollen, ist Ermessenssache.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


W32Time [Windows-Zeitgeber]

Friendly Name: Windows-Zeitgeber
Interner Name: W32Time
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Diesem Dienst für den automatischen Uhrenabgleich mit Internet-Servern wird in vielen Foren zu Unrecht Spionage-Funktionen nachgesagt: Der Windows-Zeitgeber verbindet sich mit einem entsprechenden Dienst auf einem Rechner, der mit einer Atomuhr – beispielsweise über eine Funkuhr – synchronisiert ist, und errechnet über verschiedene Algorithmen die Abweichung der lokalen Rechneruhr von der richtigen Zeit. Wirklich notwendig ist der Dienst aber allenfalls in LAN-Umgebungen mit zeitkritischer Aufgabenplanung.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Wbengine [Block Level Backup Engine Service]

Friendly Name: Block Level Backup Engine Service
Interner Name: wbengine
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Dieser Dienst fehlt den Home-Versionen. Er ist notwendig für die Backup-Funktionen unter Windows 7/Vista Enterprise und Ultimate (Complete PC-Sicherung). Der Dienst ist für die Datensicherung und -wiederherstellung auf Blockebene zuständig und ermöglicht die Verwendung von optischen Medien (via UDFS), oder Festplatten-Partitionen als Backupmedium. Anwender, die das Complete PC-Backup nicht einsetzen, können den Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


wcncsvc [Windows-Sofortverbindung – Konfigurationsregistrierungsstelle]

Friendly Name: Windows-Sofortverbindung – Konfigurationsregistrierungsstelle
Interner Name: wcncsvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst fungiert als Registrator und gibt Zugangsberechtigungen bei Netzwerkanmeldungen über die Windows “Connect Now“ Technologie aus. Letztere vereinfacht das Einrichten von WLAN-Netzen. Wenn Sie kein WLAN verwenden, können Sie den Dienst deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WcsPlugInService [Windows-Farbsystem]

Friendly Name: Windows-Farbsystem
Interner Name: WcsPlugInService
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es, Farbsysteme von Drittanbietern als Plug-In in das Vista eigene Farbmodell einzubinden. Wird der Dienst deaktiviert, kann es theoretisch bei der Ausführung von Programmen zu Darstellungsfehlern kommen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WdiServiceHost [Diagnoseservicehost]

Friendly Name: Diagnoseservicehost
Interner Name: WdiServiceHost
Starttyp: manuell
Starttyp (empfohlen):

Beschreibung:
Der Diagnoseservicehost dient dem Auffinden etwaiger Probleme von Windows
Komponenten. Dabei versucht das Programm, Hinweise zur Behebung dieser Probleme bereitzustellen. Wenn dieser Dienst deaktiviert ist, können Sie die Windows Systemdiagnose nicht mehr
verwenden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WdiSystemHost [Diagnosesystemhost]

Friendly Name: Diagnosesystemhost (eigtl. „Diagnostesystemhost“)
Interner Name: WdiSystemHost
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Hierbei handelt es sich um einen weiteren Dienst, welcher von der Windows internen System-Diagnose verwendet wird, um Speicher-, Festplatten- und Dateiprobleme aufzuspüren. Wenn Sie den Diagnoserichtliniendienst deaktiviert haben, dann können Sie auch diesen Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WebClient [WebClient]

Friendly Name: WebClient
Interner Name: WebClient
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der “WebClient“ ist nicht so relevant wie sein Name vermuten ließe: Er ermöglicht es Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Solange Sie keine WebDAV-Funktionen verwenden, etwa mit Frontpage, können Sie diesen Dienst ausschalten. Der normale Web-oder FTP-Zugriff funktioniert weiterhin.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Wecsvc [Windows-Ereignissammlung]

Friendly Name: Windows-Ereignissammlung
Interner Name: Wecsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst protokolliert alle möglichen Systemereignisse (Eventlogging). Dieser Service ist insbesondere für Netzwerkadmins nützlich, kann aber auch normalen Anwendern helfen, Systemprobleme oder Sicherheitsprobleme zu analysieren. Im normalen Benutzeralltag ist der Dienst entbehrlich.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


wercplsupport [Unterstützung in der Systemsteuerung unter Lösungen für Probleme]

Friendly Name: Unterstützung in der Systemsteuerung unter Lösungen für Probleme
Interner Name: wercplsupport
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es, Fehlermeldungen an Microsoft zu senden und das Applet „Lösungen für Probleme“ in der Systemsteuerung zu benutzen. Wenn Sie allerdings letztere Funktion in Anspruch nehmen, werden relativ große Datenmengen an Microsoft gesendet. Wer sich davon keine Vorteile verspricht, sollte den Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WerSvc [Windows-Fehlerberichterstattungsdienst]

Friendly Name: Windows-Fehlerberichterstattungsdienst
Interner Name: WerSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst informiert Microsoft über die Ursache von Programmabstürzen, sofern der Anwender dazu bereit ist, das Fehlerprotokoll an Microsoft zu senden. Dieses enthält unter anderem einen Abzug des Hauptspeichersegments, in dem der Fehler aufgetreten ist. Für Microsoft und die künftige Fehlerbehebung mag das hilfreich sein, der normale Anwender wird nach dem Absturz aber nicht noch mehr Zeit verlieren wollen: Bei deaktivertem Dienst entfällt die Berichterstattung.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WinDefend [Windows-Defender]

Friendly Name: Windows-Defender
Interner Name: WinDefend
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Basisdienst für Spyware und Virusschutz von Microsoft: Er scannt den Computer auf unerwünschte Software, lässt Sie die Scanns planen und hält die Malware Definitionen auf dem neuesten Stand.
Wenn Sie für diese Sicherheitsaspekte andere Software verwenden, dann deaktivieren Sie den “Defender“ über die Systemsteuerung. Wenn Sie nur den Dienst über Services.msc deaktivieren, gibt Vista bei jedem Start eine nervende Warnmeldung aus.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WinHttpAutoProxySvc [WinHTTP-Web Proxy Auto-Discovery-Dienst]

Friendly Name: WinHTTP-Web Proxy Auto-Discovery-Dienst
Interner Name: WinHttpAutoProxySvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst implementiert das WPAD-Protokoll (Web Proxy Auto-Discovery) für Windows HTTP-Dienste (WinHTTP). WPAD ermöglicht HTTP-Clients die automatische Erkennung einer Proxykonfiguration.
Wenn Sie den “WinHTTP-Web Proxy Auto-Discovery-Dienst“ anhalten oder deaktivieren, wird anstelle des externen Dienstprozesses das WPAD-Protokoll innerhalb des HTTP-Clientprozess ausgeführt. Dies führt im Normalfall zu keinerlei Funktionsverlust. In jedem Fall abschalten können Sie den Dienst, wenn Sie keinen Proxy-Server verwenden.

Abhängig von:
DHCP-Client, Netzwerkspeicher-Schnittstellendiesnt

Benötigt für:
keinen anderen Dienst


Winmgmt [Windows-Verwaltungsinstrumentation]

Friendly Name: Windows-Verwaltungsinstrumentation
Interner Name: Winmgmt
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich: Der Dienst “Windows-Verwaltungsinstrumentation“ (WMI) stellt eine gemeinsame Schnittstelle und ein Objektmodell für den Zugriff auf Verwaltungsinformationen zu Betriebssystemen, Geräten, Anwendungen und Diensten bereit. WMI ist eine zur aktuellen Generation von Microsoft-Betriebssystemen gehörende Infrastruktur für die Erstellung von Verwaltungsanwendungen und für die Instrumentation.
Der Dienst wird seit Windows Vista standardmäßig installiert und automatisch ausgeführt. Wenn der Dienst angehalten wird, kann ein Großteil der Windows-basierten Software nicht ordnungsgemäß ausgeführt werden.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Geminsame Nutzung der Internetverbindung, IP-Hilfsdienst, Sicherheitscenter


WinRM [Windows-Remoteverwaltung (WS-Verwaltung)]

Friendly Name: Windows-Remoteverwaltung (WS-Verwaltung)
Interner Name: WinRM
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst stellt das “WS-Management“-Protokoll für die Remoteverwaltung der Hard- und Software eines Netzwerks bereit. Dabei spürt “WinRM“ Anfragen vernetzter Geräte auf und bearbeitet diese. Der Dienst muss dabei entweder die Eingabeaufforderung mit winrm.cmd oder durch Gruppenrichtlinien konfiguriert werden. Wenn Sie Systemadministrator sind und Funktionen wie “WMI“ und das Sammeln von Systemereignissen auf Netzwerkrechner benötigen, können Sie diesen Dienst nicht deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Wlansvc [Automatische WLAN-Konfiguration]

Friendly Name: Automatische WLAN-Konfiguration
Interner Name: Wlansvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst unterstützt die automatische Konfiguration von WLAN-Netzwerken und ist dort unentbehrlich (die Voreinstellung „manuell“ genügt allerdings). Auf PCs ohne WLAN-Adapter können Sie diesen Dienst deaktivieren.

Abhängig von:
EapHost, Remoteprozeduraufruf (RPC)

Benötigt für:
Keinen anderen Dienst


WmiApSrv [WMI-Leistungsadapter]

Friendly Name: WMI-Leistungsadapter
Interner Name: WmiApSrv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst stellt den Netzwerk-Clients die Leistungsbibliotheksinformationen der “Windows-Verwaltungsintrumentation“ (WMI) bereit. Die Informationen der WMI sind praktisch nur für Netzwerkadministratoren relevant. Lokale Scripts und die Wmi-Konsole (Wmic) funktionieren übrigens auch ohne diesen Dienst.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WMPNetworkSvc [Windows Media Player-Netzwerkfreigabedienst]

Friendly Name: Windows Media Player-Netzwerkfreigabedienst
Interner Name: WMPNetworkSvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst gibt seit Windows Vista digitale Medien eines Rechners via UPnP (Universal Plug and Play) automatisch anderen Windows-PCs innerhalb des LAN-Netzwerkes frei. Insbesondere innerhalb von Firmennetzen ist dieser Service nur irritierend oder gar entlarvend. Im privaten Netz vereinfacht diese Funktion die Medienfreigabe, setzt aber ein homogenes Windows-Netz voraus (Windows Vista / 7 / 8).

Abhängig von:
SSDP-Suche, UPnP-Gerätehost

Benötigt für:
keinen anderen Dienst


WPCSvc [Jugendschutz]

Friendly Name: Jugendschutz
Interner Name: WPCSvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser neue Vista-Dienst ermöglicht es, verschiedene Restriktionen für andere PC-Benutzer einzustellen. Diese Jugendschutz-Einstellungen betreffen Web-Regeln, Software-Verbote und Zeitregelungen. Wenn Sie keine Kinder haben, die Ihren Rechner mitnutzen, können Sie auf diesen Dienst verzichten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WPDBusEnum [Enumeratordienst für tragbare Geräte]

Friendly Name: Enumeratordienst für tragbare Geräte
Interner Name: WPDBusEnum
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst unterstützt den Datenaustausch zwischen dem Windows Media Player und transportablen Speichermedien wie Digitalkameras oder USB-Festplatten und erlaubt die Vergabe von Richtlinien für angeschlossene Geräte. Die Basisfunktionalität angeschlossener Massenspeicher bleibt jedoch auch erhalten, wenn dieser Dienst deaktiviert wird.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wscsvc [Sicherheitscenter]

Friendly Name: Sicherheitscenter
Interner Name: wscsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Das „Sicherheitscenter“ überwacht Vistas Sicherheitseinstellungen und ist nicht ohne weiteres deaktivierbar. Die Firewall sowie der Windows-Defender benötigen diesen Dienst. Deaktivieren würde die Sicherheit des PCs beeinträchtigen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation

Benötigt für:
keinen anderen Dienst


Wsearch [Windows-Suche]

Friendly Name: Windows-Suche
Interner Name: Wsearch
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Dieser Dienst fordert – vor allem unter dem älteren Windows Vista – zwar erhebliche Systemleistung, ist aber für die tägliche Nutzung des Rechners nahezu unentbehrlich. Abschalten können Sie den Dienst nur dann, wenn Sie eine alternative Desktop-Suche installieren (Copernic, Google).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wuauserv [Windows Update]

Friendly Name: Windows Update
Interner Name: wuauserv
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist zuständig für das Erkennen, Herunterladen und Installieren von Updates für Vista und andere Programme. Wenn der Dienst deaktiviert ist, können „Windows Update“ beziehungsweise die Funktion „Automatische Updates“ nicht verwendet werden. Zudem können Programme dann die “Windows Update Agent-Programmierschnittstelle“ (WUA API) nicht mehr ansprechen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wudfsvc [Windows Driver Foundation – Benutzermodus-Treiberframework]

Friendly Name: Windows Driver Foundation-Benutzermodus-Treiberframework
Interner Name: wudfsvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst verwaltet den Treiberhostprozess im eingeschränkten Benutzermodus. Beim Benutzermodus-Treiberframework handelt es sich um eine neue Entwicklungsplattform für Gerätetreiber, die mit Windows Vista eingeführt wurde. Eine Einschränkung nach Deaktivieren des Dienstes ist mindestens im Admin-Kontext nicht ersichtlich.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst

Stromsparen am PC und Notebook

Strom sparen hilft gleich dreimal und ist damit ein Sport, der eigentlich jeden motivieren sollte: Das Notebook läuft länger. Die Stromrechnung wird niedriger. Und die Umwelt dankt es, wenn alle mitmachen.

1. Rechnen Sie selbst: Watt und Euro

Die üblichen Watt-Angaben für elektronische Geräte sind für normale Verbraucher nichtssagend. Was hilft die Info, dass ein Notebook 40 bis 60, ein Netbook etwa 20, ein Büro-PC 140, ein 32-Zoll-TV 50, WLAN-Router oder NAS-Gerät etwa 15 Watt verbrauchen?

Wenn Sie wissen wollen, welchen Jahresverbrauch diese Werte bedeuten, hilft folgende Formel: [Watt-Angabe]/1000*24*365*0,25

Hier ist ein Kilowatt-Preis von 25 Cent angenommen. Ein permanent laufender Büro-PC mit 140 Watt (d. i. pro Stunde) schlägt also im Jahr mit 306,60 Euro zu Buche.

2. Zeitschaltuhr und Steckerleisten

Kompromissloses Abschalten hilft bekanntlich. Jedoch sollte der Komfort nicht leiden und jedes Gerät bei Bedarf schnell nutzbar sein. Überlegen Sie den Einsatz folgender Hilfsmittel:

Steckerleiste mit Schalter: Damit trennen Sie mit einem Knopfdruck alle angeschlossenen Geräte vom Netz. Auch Router und Modem müssen nachts nicht durchlaufen – es sei denn, das Telefon-Festnetz hängt am Modem und ist nachts  unentbehrlich. PCs müssen vorher heruntergefahren werden!

Zeitschaltuhr: Einfache Zeitschaltuhren in Form von Zwischensteckern kosten nur vier bis 10 Euro, Steckerleisten mit Zeitschaltuhr zwischen 10 und 80 Euro. Für PCs, Notebooks, NAS-Speicher, externe Festplatten sind Zeitschaltungen meist zu unflexibel: Wenn Sie ausnahmsweise länger als gewohnt arbeiten und die Uhr den Strom abdreht, ist Datenverlust vorprogrammiert.

Master-Slave-Leiste: Solche Steckdosenleisten ab 15 Euro schalten automatisch alle Geräte an den Slave-Anschlüssen ab, sobald am Master-Anschluss kein Strom mehr fließt – also etwa der PC abgeschaltet wird. Die geringe Rest-Spannung bei ACPI-Sparmodi (Advanced Configuration and Power Interface) wie „Energie sparen“ oder „Ruhezustand“ schaltet die Slave-Geräte ebenfalls ab.

Master-Slave-Steckerleiste
Master-Slave-Steckdose: Solche Leisten schalten alle Geräte an den Slave-Dosen ab, wenn das Gerät (PC) der roten Master-Dose heruntergefahren wird.

3. Energieverwaltung auf PC, Notebook, Router

Moderne Hardware und Betriebssysteme halten vielseitige Sparmodi parat, die den Verbrauch des ganzen System oder einzelner Komponenten senken.

Windows und insbesondere die aktuellen Versionen 7 und 8 bieten auf PCs und Notebooks mit ACPI-Standard differenzierte Spareinstellungen. Klicken Sie in der Systemsteuerung auf „Energieoptionen“ und beim aktiven Energiesparplan auf „Energiesparplaneinstellungen ändern“. Je kürzer Sie die Zeitintervalle definieren, desto schneller greifen Helligkeitsanpassung oder Bildschirmausschaltung. Unter „Erweiterte Einstellungen“ schalten Sie Festplatten nach wenigen Minuten aus. Unter „Systemsteuerung –> Anpassung –> Bildschirmschoner“ sollten Sie „Leer“ (also schwarz) wählen und am Notebook eine sehr kurze Wartezeit einstellen.

Energieoptionen Windows 7 und 8
Energieoptionen nutzen: Mit differenzierten Einstellungen sind Windows 7 und 8 aktuell die ökologischste Betriebssysteme.

Router und NAS besitzen automatische Optionen, die den Stromverbrauch reduzieren. NAS-Geräte schalten nach einer definierten Idle-Zeit die Festplatten (siehe „Energieverwaltung“), die Fritzbox hat eine Nachtschaltung („Einstellungen, Erweiterte Einstellungen, System, Nachtschaltung“), mit der Sie für die eingegebene Zeitspanne den WLAN-Sender (Hauptverbraucher) abschalten.

Energieverwaltung in einem NAS-Netzwerkspeicher
Energieverwaltung in einem NAS-Netzwerkspeicher

4. Manueller Energiesparmodus

Vor der Mittagspause oder vor einem Meeting schalten Sie das Arbeitsgerät am besten in einen Energiesparzustand. Je einfacher das geht, desto nachhaltiger ist der Gewöhnungseffekt.

Die komfortabelste Maßnahme unter Windows ist das „Energie sparen“. Das schreibt den Inhalt der aktuellen Sitzung in den Speicher, schaltet die komplette Hardware ab und versorgt nur noch den Arbeitsspeicher mit Strom. Der Verbrauch sinkt auf zwei bis drei Watt. Nach Tastendruck ist die Sitzung mit allen Programmen in wenigen Sekunden wieder verfügbar.

Notebook- und einige PC-Tastaturen haben eine extra Sleep Mode-Taste mit Mond-Symbol. Wenn Ihnen diese fehlt, sollten Sie den Sleep Mode prominent im Startmenü eintragen. Dazu klicken Sie mit rechter Maustaste auf den Startknopf, wählen „Eigenschaften“ und ferner die Registerkarte „Startmenü“. Hier tragen Sie neben „Standardaktion für Beenden“ die Option „Energie sparen“ ein.

5. Stromspartipps für PC-Hardware

Wenn Sie Kaufentscheidungen energiebewusst treffen wollen, gibt es einige Grundregeln für die Wahl der Hardware.

Multifunktionsgeräte sind naturgemäß sparsamer als Einzelgeräte: Eine Drucker-Scanner-Kopierer-Fax-Kombi verbraucht deutlich weniger Strom als zwei oder drei Einzelgeräte. Ein gutes Smartphone ersetzt Handy, Kamera und MP3-Player.

Monitore und TV-Geräte verbrauchen umso mehr Strom, je größer die Bildfläche ausfällt. Ein 32-Zoll-LCD-TV benötigt etwa 40 Watt, einer mit 40 Zoll bereits das Doppelte. Ein weiterer entscheidender Faktor ist die Helligkeit: Bei Inaktivität sollte sich das Display möglichst schnell verdunkeln – das können Sie am Notebook über die Windows-Energieoptionen steuern. Alte Röhrenmonitore sind Stromfresser: Der Ersatz durch einen LCD-Monitor amortisiert sich nach wenigen Betriebsjahren.

PC-Komponenten: Am sparsamsten arbeitet eine Hauptplatine, die alle wesentlichen Komponenten enthält – Grafikchip, WLAN, LAN, USB, Sound. 2,5-Zoll-Festplatten sind sparsamer als 3,5-Zoll-Platten, Platten mit großer Kapazität sparsamer als mehrere kleine. Beim Netzteil sparen Sie kaum Strom, wenn Sie eines mit geringer Ausgangsleistung wählen. Eine Nennleistung von 600 Watt bedeutet nämlich keineswegs 600 Watt im Mittel, sondern nur den absoluten Spitzenwert.

Datenserver: Wenn Sie einen zentralen Server im Dauerbetrieb benötigen, ist ein Netbook mit USB-Platte oder ein NAS-Gerät zu empfehlen. Gegenüber einem PC spart das kleine Gerät knapp 200 Euro Stromkosten im Jahr.

6. Grenzwertiges Öko-Tuning

Eine Reihe weiterer Sparmaßnahmen sind technisch möglich, aber nur bedingt zu empfehlen. Sie sind marginal oder gehen auf Kosten von Stabilität oder Bedienkomfort.

Betriebssytem-Optik: Egal ob Mac, Windows, Linux – durch Abschalten visueller Effekte lässt sich der Stromverbrauch natürlich reduzieren. Aber es ist heute einem Windows-Anwender kaum noch zuzumuten, etwa das Aero-Design zu deaktivieren.

Komponenten-Tuning: Der Stromverbrauch einiger PC-Komponenten lässt sich im Geräte-Manager („Systemsteuerung –> Geräte-Manager“) genauer steuern. Sie finden etwa bei vielen WLAN-Adaptern unter „Eigenschaften –> Erweitert“ einen Mindeststromverbrauch“ sowie „Ausgangsleistung“. Bei anderen Komponenten wie dem LAN-Adapter finden Sie „Energieverwaltung“ die Option, dass der „Computer … das Gerät ausschalten“ im Sleep Modus ausschalten darf.

Untertakten und Undervolting: Manche Bios-Varianten bieten nach wie vor die Möglichkeit, den Prozessortakt manuell herabzusetzen. Das ist auf jüngeren ACPI-konformen PCs nicht sinnvoll, weil dies bei geringer Last automatisch geschieht. Fragwürdig ist auch das Undervolting mit externen Tools wie mit der englischsprachigen Freeware Rightmark CPU Clock Utility. Undervolting senkt die Stromspannung bei unveränderter CPU-Leistung. Unter Volllast sind sporadische Abstürze nicht auszuschließen.

So funktioniert ein PC (Mainboard & Co.)

PCs sind hochkomplexe, multifunktionale Werkzeuge. Die fundamentalen Bauteile und ihre Zusammenarbeit zu verstehen, erfordert aber kein Informatik-Studium. Die folgenden Zeilen und Bilder komprimieren das Wesentlichste.

1. CPU, Speicher und Peripheriegeräte

Der Computer im engeren Sinn besteht nur aus zwei fundamentalen Komponenten – dem Prozessor (CPU = Central Processing Unit, Zentraleinheit) und dem Arbeitsspeicher (RAM, Random Access Memory).

Der Prozessor: Alles was am PC geschieht, muss über die CPU in den Speicher und kann dort von der CPU gelesen, geändert, bearbeitet werden. Das ist stark vereinfacht – denn dabei lassen wir die gesonderte GPU (Graphics Processing Unit) zur Bildschirmausgabe ebenso außen vor wie DMA (Direct Memory Access), also den direkten Speicherzugriff ohne Vermittlung durch die CPU.

Um die CPU mit Aufgaben zu füttern, sind exakte Anweisungen erforderlich – Software im weitesten Sinne. Der Befehlssatz eines Prozessors, also die Maschinensprache, ist trotz jüngerer Befehlssatz-Erweiterungen (MMX, SSE) überschaubar, zumal von den 200 bis 300 Befehlen nur etwa 20 intensiv genutzt werden: Da werden etwa Inhalte von einer Speicheradresse in eine andere verschoben, Zahlen addiert, dividiert oder verglichen oder Variablen via Interrupt-Aufruf auf Festplatte geschrieben. Die der Maschinensprache nahe Assemblersprache ist trotz des geringen Befehlsumfangs schwer zugänglich und benötigt für winzige Aktionen schnell Hunderte von Codezeilen. Sie findet praktisch nur dort Verwendung, wo Geräte-Hersteller für spezialisierte Prozessoren mit optimiertem Code jede unnötige Last vermeiden müssen.

Software für den PC entsteht fast immer unter wesentlich zugänglicheren Hochsprachen wie C oder Java, deren Compiler den Code am Ende in Maschinensprache umwandelt. Diese Compiler erzielen zwar nicht die Qualität eines Assemblercodes, arbeiten aber ebenfalls hocheffizient. Selbst das Basissystem des PCs, das Bios (Basic Input Output System), muss seit der Umstellung auf EFI (Extensible Firmware Interface) nicht mehr in Assembler geschrieben werden.

CPU, Prozessor
CPU unter geöffneter Verriegelung: Die CPU ist verglichen mit ihrer Bedeutung eine unscheinbare Komponente.

Der Arbeitsspeicher: Wie viel RAM eine CPU direkt, also ohne spezielle Erweiterungstechniken nutzen kann, hängt von der Architektur ab: 32-Bit-CPUs adressieren theoretisch bis zu vier GB RAM: 2 hoch 32 ergibt 4.294.967.296 Bytes. Diese 4-GB-Grenze ist inzwischen ein echtes Limit, weil viele Mainboards in PCs und Notebooks nicht nur mehr Speicher aufnehmen können, sondern oft schon standardmäßig mit 6 und 8 GB ausgeliefert werden. Allerdings sind 64-Bit-Prozessoren seit mehr als 10 Jahren Standard: Sie können theoretisch 2 hoch 64 Bytes adressieren, sind aber aktuell oft auf 35 oder 36 Adressleitungen gedrosselt, was dann ein Speicherlimit von 32 oder 64 GB bedeutet. Neben den RAM-Limits der CPU und des Mainboards muss vor allem auch 64-Bit-Systemsoftware zum Einsatz kommen: Die Speicheradressierung der CPU über 4 GB hinaus setzt 64-Bit-Windows oder –Linux voraus, was aber ebenfalls zunehmend Standard wird.

3D-Bios
3D-Bios: Dies lässt den schlichten Textmodus eines alten Assembler-Bios deutlich hinter sich. Fragt sich allerdings, ob das Bios wirklich zum Mausklicken einladen soll.

4-GB-Limit
Verschenkter Speicher: Die 64-Bit-CPU könnte die 8 GB RAM adressieren, aber das 32-Bit-Betriebssystem verhindert dies. CPU und System müssen 64-bittig sein, um die 4-GB-Grenze zu überwinden.

2. Peripherie, Bussysteme und Interrupts

Ohne Verbindung zur Außenwelt könnte die CPU weder Befehle in Form von Software entgegennehmen noch Resultate weitergeben. Alle Geräte zur Eingabe von Software oder von Daten sowie zur Ausgabe der Ergebnisse gelten als „Peripherie“:

Peripheriegeräte und Bussysteme: Typische und eindeutige Eingabe-Peripherie sind Geräte wie Tastatur, Maus, Lochkarte oder Mikrofon, während Lautsprecher, klassische Drucker und Monitore zur Datenausgabe dienen. Multifunktionsdrucker und Touchscreen können beide Rollen übernehmen, ebenso wie Laufwerke oder Netzadapter. Die Übertragung von und zur Peripherie läuft über einen Datenbus, und die wichtigsten Bussysteme im PC sind AGP, PCI, PCI-Express für Erweiterungskarten, IDE, SCSI, (S)ATA für Laufwerke, ferner USB für externe Erweiterungsadapter und Laufwerke sowie Ethernet und WLAN für Netzverbindungen. Die Vielfalt der Bussysteme ist Folge der Tatsache, dass die CPUs immer schneller werden und die Bussysteme folgen müssen, um nicht das System auszubremsen. Der Datenweg aller dieser Bussysteme führt über den Chipsatz des Mainboards direkt zur CPU beziehungsweise umgekehrt.

Interrupts: Bislang ist nicht deutlich geworden, wie eine vielbeschäftigte CPU davon erfährt, dass sich da draußen gerade die Maus bewegt hat oder ein Datenpaket des Netzadapters angekommen ist. Dazu muss es eine Möglichkeit geben, den Prozessor zu unterbrechen und auf das Ereignis aufmerksam zu machen. Das geschieht durch definierte Unterbrechungsleitungen mit einem Interrupt-Request (IRQ). Da es eine Vielzahl von Peripherie-Geräten gibt, die IRQs senden, die CPU selbst aber nur einen Eingang dafür hat, ist – meist im Chipsatz des Mainboards – der PIC oder APIC (Advanced Programmable Interrupt Controller) zwischengeschaltet. Der bietet dann immerhin 16 Interrupt-Leitungen. Das ist auch nicht viel, und die Interrupt-Verwaltung war lange Zeit ein ernstes Problemfeld, weil zwei Geräte auf derselben Interrupt-Leitung beide Geräte ganz oder teilweise außer Gefecht setzen. Aber nach dem Aussterben technisch „dummer“ ISA-Steckkarten gelingt modernen Betriebssystemen mittlerweile das IRQ-Sharing problemlos, also das Teilen einer Leitung: Interrupt-Konflikte sind Geschichte, Plug & Play funktioniert praktisch reibungslos.

Damit das System aus Benutzersicht optimal funktioniert und reagiert, wertet der Interrupt Controller die IRQ nach Priorität: Benutzereingaben durch Maus oder Tastatur erhalten höhere Priorität als Festplatten- oder Netzwerk-Anfragen. Nur bei extremer Überlastung werden Sie beobachten, dass der Mauszeiger der Bewegung des Zeigegeräts nicht mehr folgt.

3. Mainboard und Basiskomponenten

Mainboards, Motherboards oder – deutsch – Hauptplatinen bilden das unübersehbare Zentrum eines PCs, sobald Sie dessen Gehäuse öffnen. Wichtige Anschluss-Ports des Mainboards sind auch bei geschlossenem Gehäuse überwiegend an der Rückwand, zum Teil auch an der Frontseite zugänglich. Erweiterungskarten wie Grafikkarten oder Soundkarten, zusätzliche Festplatten oder optische Laufwerke können Sie aber nur bei offenem Gehäuse und direktem Zugriff auf das Mainboard nachrüsten. Die Abbildung zeigt und kennzeichnet die wesentlichen Bauteile eines Mainboards:

Mainboard Beziffert

1. Der Bios-Chip: Das Basic Input Output System (oder die EFI Firmware) ist die primäre Software und als kleiner Chip auf dem Mainboard (1). Es initialisiert und konfiguriert dessen Hardware-Komponenten. Damit die Einstellungen Neustarts überdauern und die Systemzeit aktuell bleibt, wird ein kleiner Speicherbaustein mit einer eigenen Batterie (1a) versorgt. Beim Einschalten prüft das Bios die Mainboard-Hardware und die angeschlossenen Peripherie-Geräte und kann über den Bootsektor des primären Laufwerks den Start des eigentlichen Betriebssystems initiieren.

2. CPU-Sockel (mit CPU und Lüfter): Die CPU ist auf dem sogenannten Sockel (2) mit Hilfe eines einrastbaren Metallbügels fixiert. Von den vergleichsweise kleinen Bauteilen Sockel und CPU ist beim Blick auf ein komplett bestücktes Mainboard in der Regel nichts zu sehen, weil diese der große CPU-Lüfter verdeckt. Beim Austausch der CPU müssen Sie diese unbedingt passend zum Mainboard-Sockel wählen: Aktuelle Sockel für Intel-CPU haben Bezeichnungen wie 1155 oder 1366, für AMD-CPUs AM3 oder AM3+.

3. Speicherbänke: Die zwei, oft vier, seltener sechs Slots für RAM-Module (3) können nur die von der Slotbauweise und vom Chipsatz vorgegebene RAM-Riegel aufnehmen. Die Speicherriegel, heute meist DDR, DDR2 und DDR3 (DDR=Double Data Rate), haben je nach Typ eine Kerbe an unterschiedlicher Stelle, so dass der Einbau falscher Module physisch ausgeschlossen ist. Trotzdem müssen Sie beim Nachkauf von RAM darauf achten, dass die Module idealerweise dieselbe Taktrate besitzen, wie sie der Chipsatz des Mainboards vorgibt. Schnellere Module sind kein ernstes Problem, sie arbeiten dann aber langsamer als sie technisch könnten. Die Taktrate des Motherboards ist am einfachsten im Bios-Setup zu ermitteln, umständlicher auch im Handbuch des Motherboards.

4. Erweiterungssteckplätze: Trotz umfassender Ausstattung aktueller Mainboards mit allen wichtigen Komponenten, sind Hauptplatinen offen für Aufrüstmaßnahmen. Typischerweise finden sich auf dem Board mehrere PCI-Slots (4) und an erster Stelle und zur Mitte versetzt ein PCI-Express-Slot (4a) für die Grafikkarte. Bei neuesten Mainboards überwiegen zahlenmäßig bereits die längeren PCI-Express-Slots.

Auf älteren Boards gibt neben den PCI-Slots an erster Stelle und zur Mitte versetzt den AGP-Slot für die Grafikkarte. AGP (Accelerated Graphics Port) war einige Jahre um die Jahrtausendwende eine Zwischenlösung mit dem Ziel, damals teureres RAM für die Grafikkarte einzusparen, indem AGP notfalls den Arbeitsspeicher des PCs nutzen konnte.

Sehr alte Boards bieten am unteren Ende nach den PCI-Steckplätzen noch die auffällig langen ISA-Steckplätze. Diese sind längst im Aussterben begriffen.

Das Aussterben von ISA und AGP verurteilt manche hochwertige Erweiterungskarte zu Sondermüll, weil neuere Mainboards dafür keine Verwendung mehr haben. Umgekehrt passen in alte Mainboards keine modernen Komponenten. Lediglich der PCI-Bus (Peripheral Component Interconnect) hat mittlerweile fast zwei Jahrzehnte überdauert und wird nur dort, wo maximaler Durchsatz gewünscht ist (Grafikkarte), durch die Weiterentwicklung PCI-Express (PCIe) ersetzt.

5. Chipsatz mit Northbridge und Southbridge: Der Chipsatz des Mainboards besteht traditionell aus zwei Chips – der Northbridge und Southbridge (5). Die Northbridge befindet sich in unmittelbarer Nähe der CPU, die Southbridge nahe den Erweiterungssteckplätzen. Der Chipsatz übernimmt den Datenverkehr zwischen Peripheriegeräten und CPU, definiert wichtige Board-Eigenschaften wie CPU-Cache oder RAM-Obergrenze und bietet Onboard-Komponenten wie Ethernet und Sound. Auf manchen neueren Boards besteht der „Chipsatz“ nur noch aus einem Chip, der Southbridge. Die Funktionen der Northbridge übernimmt dort direkt eine entsprechend ausgestattete CPU. In der nebenstehenden Mainboard-Abbildung fehlt die Northbridge, die ihren Platz zwischen CPU-Sockel (2) und PCI-Slots (4a) hätte.

6. SATA-Anschlüsse: SATA (Serial Advanced Technology Attachment) ist der aktuelle Übertragungsstandard zwischen Laufwerken und dem Prozessor. Hier (6) schließen Sie Festplatten, SSDs und optische Laufwerke an. Standard ist mittlerweile die dritte SATA-Version, die theoretisch 600 MByte/s pro Sekunde übertragen kann. Die breiten, 40-Pin-Slots für ältere IDE/PATA-Festplatten (6a) sind auf neueren Boards oft nicht mehr vorhanden, Slot für Diskettenlaufwerke fehlen inzwischen auf allen Boards.

7. Anschlüsse für Peripherie: Gute PC-Mainboards sparen nicht mit Anschlüssen, die auf der Gehäuserückseite des Rechners zugänglich sind (7). Je nach Gehäuse finden sich auch auf der Frontseite Anschlüsse für USB, SD-Karte und Kopfhörer.

Die zusätzliche Abbildung der rückwärtige Peripherie-Ports zeigt ein Mainboard mit folgenden Anschlüssen von links nach rechts: PS/2-Port (für Maus oder Tastatur), darunter 2x USB 2.0, S/PDIF koaxial, darunter S/PDIF optisch (Audio-Schnittstellen), Bluetooth, 2x USB 2.0, eSATA, 2x USB 2.0, Ethernet-LAN, darunter 2x USB 2.0, Ethernet-LAN, darunter 2x USB 3.0, 6 Audio-Klinkenanschlüsse für 7.1-Surroundsystem.

8. Mainboard-Stromstecker: Der 20- oder 24-polige ATX-Stromanschluss (8) versorgt das Mainboard mit Strom. Der passende Stecker kommt vom ATX-Netzteil.

9. CPU-Stromstecker: Die CPU hat ihre eigene Stromversorgung. Der 8-polige, eventuell auch quadratisch-4-polige Stromanschluss für die CPU (9) befindet sich in der Nähe der CPU. Der passende Stecker kommt vom ATX-Netzteil.

10. Lüfter-Anschlüsse: Für CPU- und Gehäuselüfter gibt es meist 3- oder 4-polige Anschlüsse. Einmal angeschlossen, können Sie den Lüfter über das Bios oder sogar über das Betriebssystem regulieren. Die Stecker der jeweiligen Lüfter gehören in die mit „xxx_FAN“ gekennzeichneten Anschlüsse. Dabei sollte der CPU-Lüfter aufgrund seiner Steuerungsoptionen unbedingt an den vorgesehenen Anschluss „CPU_FAN“ (10); bei Lüftern ohne Steuerungsmöglichkeit spielt es keine Rolle, an welchem „xxx_FAN“-Anschluss sie hängen (SYS_FAN, PWR_FAN).

CPU-Fan, Lüfter
Anschluss für den CPU-Lüfter: Der per Software regelbare Lüfter sollte am vorgesehenen Ort angeschlossen werden.

11. Frontpanel: Das Frontpanel (11) ist für die LEDs und den Powerknopf an der Gehäusefront zuständig. Dazu müssen kleine, 2-polige Stecker des PC-Gehäuses in die passenden Pins gesteckt sein. Die Pin-Belegung am Mainboard ist oft nicht ausreichend beschriftet, so dass nur der Blick ins Mainboard-Handbuch hilft.

12. Interne USB-Anschlüsse: USB-Ports im Mainboard (12) ermöglichen den Anschluss von USB-Geräten an der Gehäusefront – soweit das PC-Gehäuse solches vorsieht. In diesem Fall muss der passende Stecker des Gehäuses mit dem internen Anschluss verbunden werden.

Peripherie-Anschluesse
Typisches Mainboard-Angebot an der Gehäuse-Rückseite: PC-Hauptplatinen geizen nicht mit Anschlussmöglichkeiten insbesondere für USB 2.0. und 3.0.

4. Mainboard und Onboard-Peripherie

Abgesehen von den genannten Standardbauteilen besitzen heutige Mainboards integrierte Peripherie-Komponenten, so dass Sie zusätzliche Steckkarten nur noch bei besonderen Qualitätsansprüchen benötigen:

Onboard-GPU: Ein Grafikchip ist häufig im Chipsatz (Northbridge) des Mainboards integriert. Diese GPUs (Graphics Processing Unit) sind völlig ausreichend für Büroanwendungen und die visuellen Effekten von Betriebssystem und Software. Lediglich 3D-Gamer brauchen in jedem Fall eine leistungsstarke Grafikkarte.

Onboard-Ethernet: Fast Ethernet (100 MBit), inzwischen meist Gigabit-Ethernet (1000 MBit) ist auf allen Mainboards Standard (13), zum Teil Bestandteil des Chipsatzes (Southbridge). Eine PCI-Netzwerkkarte ist daher nicht mehr nötig, manchmal aber zu empfehlen, weil hier bei Billig-Mainboards oft mangelhafte Qualität verbaut ist. Mainboards mit integriertem WLAN-Chip sind selten. Notebooks, die standardmäßig WLAN mitbringen, realisieren das mit einer Erweiterungskarte auf dem Mini-PCI-Steckplatz.

Onboard-Sound: Ebenfalls längst Standard (14), zum Teil im Chipsatz des Mainboards (Southbridge), ist ein Soundchip. Die meist befriedigende bis gute Qualität dieser Chips wird oft nur durch lausige Ausgabehardware (Lautsprecher) geschmälert. Dedizierte Soundkarten brauchen nur noch Enthusiasten, die Musik nicht nur hören, sondern auch bearbeiten wollen.

5. Das Mainboard ist (fast) der PC

Das Mainboard ist die maßgebliche Komponente eines PCs wie Sie anhand folgender Minimalausstattung ermessen können: Ein Rechner mit Mainboard ist nämlich theoretisch lauffähig, sobald

  • ein PC-Netzteil (meist ATX-Format) angeschlossen ist, das die Stromversorgung gewährleistet,
  • der CPU-Sockel mit einem Prozessor bestückt ist,
  • mindestens ein Speichermodul in einem der RAM-Steckplätze steckt.

Netzteil
Ohne Stromversorgung geht nichts: Mainboard, CPU sowie Laufwerke müssen mit dem Netzteil verbunden sein. PC-ATX-Netzteile leisten 300 bis 1500 Watt.

Damit kann immerhin das Bios oder die EFI-Firmware des Mainboards starten und dieses erlaubt dann per Bootmenü die Auswahl eines bootfähigen externen Datenträgers mit einem Betriebssystem. Sie sehen aber schon: Um etwas auszuwählen, ist mindestens ein angeschlossenes Eingabegerät wie eine Tastatur unerlässlich, ferner ein Monitor, um das gestartete System dann auch nutzen zu können. Außerdem setzt unsere Minimalkonfiguration voraus, dass ein Onboard-Grafikchip vorhanden ist. Im realen Betriebsalltag befindet sich im PC ferner mindestens ein Festspeicher in Form einer Festplatte oder SSD mit einem Betriebssystem, das nach dem Bios automatisch startet.

6. Verhältnis von Hardware und Software

Hardware wird immer kleiner, leiser und ausgereifter. Für den PC-Nutzer stehen zunehmend funktionsreiche Betriebssystem-Software und Anwendungsprogramme im Zentrum, und auftretende Probleme liegen überwiegend auf der dominanten Software-Ebene. Das kann Anwender zu dem Irrtum verleiten, alle Probleme auf Software-Ebene beheben zu wollen. Defekte Hardware ist aber durch Software nicht zu reparieren – einige Beispiele:

Wenn Sie Systemabstürze und Bluescreens beobachten, sollten Sie CPU- und Gehäuse-Lüfter, ferner die RAM-Bausteine prüfen.

Wenn das Netzwerk ständig stockt oder zusammenbricht, sollten Sie versuchsweise den Ethernet- oder WLAN-Adapter austauschen.

Wenn das Betriebssystem nicht mehr startet, sollten Sie vor einer Neuinstallation erst mal mit einem mobilen Linux-Live-System testen, ob nicht ein generelles Hardwareproblem vorliegt.

Deutlich harmloser als defekte Bauteile, im Ergebnis aber genauso fatal, sind fehlende oder fehlerhafte Gerätetreiber: Jede angeschlossene Hardware benötigt einen solchen Treiber als Vermittler-Software zum Betriebssystem. Unter Windows kontrollieren Sie im Geräte-Manager recht bequem, ob die angeschlossene Hardware komplett erkannt und ein Gerätetreiber installiert ist. Im Fehlerfall zeigen gelbe Ausrufezeichen oder die Angabe „Unbekanntes Gerät“, dass der Treiber fehlt. Sie können dann Windows suchen lassen oder selbst auf die Webseite des Geräteherstellers gehen. Die Basisaustattung an passenden Treibern finden Sie aber immer auch auf der Begleit-DVD Ihres Mainboards.

Hardware-Treiber
Chipsatz-Treiber auf der Mainboard-DVD: Die dem Board beiliegende DVD verdient einen sicheren Ort, bei häufiger System-Installation auch ein ISO-Image auf der Festplatte.

 

Programme – Prozesse – Threads

Programm: maschinenlesbare Abschrift einer definierten Befehlsfolge, quasi das „Buch“ (Datei) für den Prozess

Prozess: Programm im Arbeitsspeicher während der Ausführung, ‚lebendes‘ Programm, das aktuell von der CPU abgearbeitet wird

Thread: optionaler, unabhängiger Unterprozess, im Minimalfall gibt es nur einen Main-Thread, und der ist dann identisch mit dem ganzen Prozess

Task: Synonym für Prozess (siehe Task-Manager, Task-Switcher), selten als Synonym für Thread

Process Control Block (PCB): Prozess-Verwaltungsakte für den Betriebssystem-Kernel und den Scheduler; der PCB enthält u. a. PID, Rechte, Adressen, Priorität

PID Process ID): eindeutige Kennziffer für jeden einzelnen Prozess, der interne Prozess-Name aus Kernel-Sicht

Process-Zustände: Ready (wartet), Active (arbeitet), Blocked (Event, Trigger für den Start erforderlich), Zustandsänderungen durch Kernel und Scheduler

Scheduling: Zeitsteuerung der Prozesse auf Multitasking-Systemen; Kriterien für die zugewiesene CPU-Zeit sind Events, Zeitscheiben, Priorität, Semaphoren

Prozess-Priorität: Kriterium für den Kernel, den Prozess-Zustand zu ändern, weitere Kriterien sind Events und Zeitscheiben

Semaphoren: Variablen für zeitkritische Abläufe (für alle Prozesse lesbar), Notizen für die Prozess-Kooperation

Windows-Infos

Basiswissen zu noch lebenden Windows NT-Systemen

  • Windows 7 (NT 6.1), erschienen 2009
    Support-Ende für alle Editionen April 2020
  • Windows 8 (NT 6.2), erschienen Oktober 2012
    Support-Ende für alle Editionen Januar 2023
  • Windows 10 (NT 6.4), erschienen Juli 2015,
    Support-Ende für alle Editionen Oktober 2025

„Support-Ende“ meint in allen Fällen das Ende des Extended Support, also den Nachschub an Sicherheitsupdates. Danach wird ein Windows-System nicht mehr mit Updates versorgt. Es ist dann zwar immer noch funktionsfähig, aber aus Sicherheitsgründen nicht mehr guten Gewissens benutzbar.

Der Lebenszyklus der End-User-Varianten (Home, Home Premium, Ultimate) unterschied sich früher von dem der Business- und Enterprise-Lizenzen: Jene wurden nur 5, diese hingegen 10 Jahre mit Sicherheitsupdates versorgt. Große Ausnahme war Windows XP, das 2001 auf den Markt kam und selbst in der Home-Variante bis 2014 überleben durfte. Grund dafür ist höchstwahrscheinlich, dass Windows XP der Windows-NT-Produktlinie endlich den Durchbruch verschaffte und das DOS-basierte Windows (3.11, 95, 98, ME) aus dem Weg räumte. Ein Ziel, das Microsoft schon seit Mitte der 90er-Jahre verfolgte…

Februar 2012 – kurz vor Ablauf den Lifecycles von Vista Home änderte Microsoft seine Politik großzügig: Inzwischen läuft der Extended Support, also die Versorgung mit Sicherheitsupdates, für alle Windows-Editionen (Home, Pro, Enterprise – wie auch immer) volle 10 Jahre.

Infos zum Lebenszyklus aller Microsoft-Produkte liefert der Lifecycle-Index.
Eine Produktsuche für Microsoft’s Lifecycle-Datenbank finden Sie hier.

Hyper-V

Hyper-V

Erstmals lieferte Windows 8 mit Hyper-V eine Virtualisierungssoftware gleich mit – eine exzellente Systembeilage. Hyper-V gibt es allerdings nur in der Windows-8-Professional-Edition. Die Software erlaubt das Anlegen, Ändern und Starten virtueller Gastsysteme unter Windows 8. Dabei bevorzugt Hyper-V Windows-Gastsysteme, unterstützt aber auch namhafte Linux-Distributionen.

Voraussetzungen und Installation
Hyper-V erfordert die 64-Bit-Variante von Windows-8 Pro, weil es AMD/Intel-Virtualisierungsfunktionen für x64-Prozessoren nutzt. Wenn Sie Windows 8 auf einem älteren 64-Bit-Rechner installiert haben, können Sie mit „systeminfo“ vorab prüfen, ob die CPU den Anforderungen entspricht: Am Schluss der Anzeige sollten Sie neben „Anforderungen für Hyper-V“ viermal ein „Ja“ sehen. Der PC sollte außerdem mit mindestens vier GB RAM bestückt sein – mehr ist besser.
Hyper-V ist standardmäßig abgeschaltet und muss über „Systemsteuerung –> Programme und Features –> Windows-Features aktivieren oder deaktivieren“ erst mal nachinstalliert werden. Klicken Sie in dieser Liste auf „Hyper-V“, und bestätigen Sie mit „OK“. Nach dem nächsten Windows-Start finden Sie den „Hyper-V-Manager“ am Startbildschirm. Es handelt sich dabei um die Management-Konsole Virtmgmt.msc, die allerdings nur Bedienung und Oberfläche bereitstellt und auf neu installierten Diensten basiert.

Virtuellen Netzwerk-Adapter einrichten
Bevor Sie virtuelle Computer starten oder installieren, sollten Sie mindestens einen virtuellen Switch anlegen – also eine virtuelle Netzwerkschnittstelle für die Gastsysteme. Der betreffende Punkt findet sich rechts unter „Aktionen“ und nennt sich „Manager für virtuelle Switches“. Wählen Sie unter „Neuer virtueller Switch“ die Voreinstellung „Externes Netzwerk“: Diese offenste Variante ist notwendig, wenn die Gastsysteme eine Verbindung nach außen herstellen, also etwa auch ins Internet gehen sollen.-

Ein virtuelles System konfigurieren
Markieren Sie in der linken Spalte unter „Hyper-V-Manager“ den Namen des aktuellen Rechners. Nun erstellen Sie rechts in der Spalte „Aktionen“ erstellen mit „Neu –> Virtueller Computer“ ein neues virtuelles System. Dabei hilft Ihnen einen Schritt-für-Schritt-Assistent. Sie können aber alle hier getroffenen Einstellungen später noch korrigieren:
Unter „Name und Pfad eingeben“ genügt ein sprechender Name – etwa „Ubuntu 12.10“.
Unter „Speicher zuweisen“ geben Sie eine angemessene RAM-Kapazität an, etwa 2 GB für aktuelle Windows-Systeme.
Unter „Netzwerk konfigurieren“ korrigieren Sie die Vorgabe „Nicht verbunden“ auf den vorher eingerichteten virtuellen Switch.
Unter „Virtuelle Festplatte verbinden“ gibt es eine Anzahl von Optionen. Wir beschreiben hier den insbesondere bei der Erstbenutzung von Hyper-V wahrscheinlichsten Fall: Da noch keine virtuelle Festplatte (Virtual Hard Disk mit der Erweiterung VHD) für Hyper-V vorhanden ist, werden Sie in diesem Dialog die erste Option verwenden wollen – „Virtuelle Festplatte erstellen“. Alle Angaben zu Name, Pfad und Größe können Sie unverändert übernehmen.
Klicken Sie dann auf den Unterpunkt „Installationsoptionen“, und aktivieren Sie dort die Option „Betriebssystem von startfähiger CD/DVD-ROM installieren“. Hier gibt es eine weitere Fallunterscheidung, je nachdem, ob das zu installierende System von einer echten DVD installiert wird oder von einem ISO-Image. Letzteres ist inzwischen sowohl bei Windows-Installationen wie bei Linux-Systemen deutlich verbreiteter. Geben Sie, sofern die Installation von ISO erfolgt, den kompletten Pfadnamen des ISO-Images an. Die Schaltfläche „Durchsuchen“ vereinfacht Ihnen die Eingabe.
Das war dann auch schon der letzte und komplizierteste Schritt: Sie können die Konfiguration des virtuellen Systems jetzt mit „Fertig stellen“ abschließen. Eventuelles Feintuning der virtuellen Systeme ist jederzeit nach Rechtsklick über die „Einstellungen“ möglich.

Hyper-V: Neue virtuelle Maschine einrichten

Virtuelle Systeme starten und nutzen
Um das konfigurierte System zu starten und gegebenenfalls zu installieren, klicken Sie unter „Virtuelle Computer“ mit rechter Maustaste auf das System und wählen erst „Verbinden“ und nach erneutem Rechtsklick die Option „Starten“. Schon kann’s losgehen – das Gastsystem startet in einem Fenster am Windows-8-Desktop. In diesem Fenster bedienen oder installieren Sie es wie gewohnt und können es mit seiner eigenen Oberfläche auch wieder beenden.
Zum Steuern von außen hilft das Hyper-V-Fenstermenü „Aktion“: Hier finden Sie neben „Ausschalten“, „Herunterfahren“ und „Neu starten“ auch noch „Anhalten“ und „Snaphot“. Beim „Anhalten“ werden dem Gastsystem sämtliche CPU-Ressourcen entzogen – sie friert im aktuellen Zustand ein und gibt dadurch dem Windows-8-Hostsystems die volle Rechenpower. Der Speicherinhalt des Gastsystems bleibt aber erhalten, und das virtuelle System läuft nach dem „Fortsetzen“ sofort weiter.
Die Aktion „Snaphot“ ist das Mittel der Wahl, um ohne Risiko Experimente mit Software oder Konfigurationsänderungen anzustellen. Sollte das Experiment schiefgehen, kehren Sie mit „Zurücksetzen“ auf den zuletzt gespeicherten Snapshot zurück.

Secure Boot: Status abfragen

Secure Boot ist eine Funktion neuerer UEFI-Firmware, die nur zertifizierte Bootloader akzeptiert und damit vor Rootkits schützen kann. Kehrseite der Medaille: Auch nicht zertifizierte Linux-Systeme haben aktuell ihre liebe Not, sich an dieser Funktion vorbei zu booten. Neben ersten, noch nicht voll überzeugenden Lösungsansätzen steht die simple Maßnahme, „Secure Boot“ im UEFI-Setup einfach abzuschalten, bevor man ein alternatives System starten möchte. Nicht ganz komfortabel, aber immerhin machbar.

Secure Boot ist auf neueren PCs mit vorinstalliertem Windows 8 Standard. Der Status dieser Schutzfunktion lässt sich über die Registry abfragen:

HKLM\System\CurrentControlSet\Control\SecureBoot\State

DWord-Eintrag: UEFISecureBootEnabled
Wert 1: Aktiviert
Wert 0: Abgeschaltet