15.01.2014
Windows 7 und 8
1. Teil: „Alles über Prozesse und Dienste“
Alles über Prozesse und Dienste
Autor: Andreas Dumont
Alles, was in Ihrem Betriebssystem vor sich geht, basiert auf Diensten und Prozessen. Grund genug, diese einmal gründlich unter die Lupe zu nehmen.
Dienste und Prozesse sind Lunge und Herz des Betriebssystems: Ohne geht gar nichts.
Der Artikel erläutert, wie Dienste und Prozesse funktionieren und worin sie sich unterscheiden. Darüber hinaus stellen wir Tools zur Analyse von Diensten und Prozessen vor. Und schließlich zeigt eine detaillierte Tabelle, welche Dienste Sie ohne Bedenken deaktivieren können. Das spart Ressourcen und macht das Betriebssystem flotter.
Die folgenden Abschnitte stellen die wichtigsten Systemprozesse vor und zeigen, welches Programm hinter einem Prozess steckt.
Was sind Prozesse?
Chrome brauchen mehrere Prozesse, da jeder Tab einen eigenen Prozess bekommt.
Ein Prozess kann mehrere Daseinsformen haben. Jedes ausgeführte Programm ist ein Prozess, der Arbeitsspeicher belegt und bei Bedarf den Prozessor nutzt. Viele Anwendungen wie Jedoch läuft in den meisten Fällen für eine bestimmte Anwendung nur ein Prozess. So ist es etwa egal, wie oft Sie Microsoft Word aufgerufen haben, alle Word-Instanzen spiegeln sich in einem einzigen Prozess namens „WINWORD.EXE“ wider.
Auch jeder Dienst ist ein Prozess. Im Unterschied zu Anwendungen ist ein Dienst ein Programm, das im Hintergrund darauf wartet, dass es benötigt wird – sei es vom Anwender oder von einem anderen Programm. Prozesse, die durch aktive Dienste entstehen, erkennen Sie in der Prozessliste in der Regel am Besitzer „System“. Außerdem hat ein Dienst keine Schnittstelle zum Benutzer, kann also nicht direkt mit ihm interagieren.
Unter Windows heißen die Prozesse Tasks. Dementsprechend heißt das Programm, das die Prozesse anzeigt, auch Task-Manager und nicht Prozess-Manager.
Eine Microsoft-Besonderheit sind Jobs. In Jobs lassen sich mehrere Prozesse zu einer Gruppe vereinen. Darüber hinaus haben Jobs oft Begrenzungen, zum Beispiel was den Arbeitsspeicher oder die Prozessorzeit angeht.
2. Teil: „Zu welchem Programm gehört ein Prozess?“
Zu welchem Programm gehört ein Prozess?
Die Liste der laufenden Prozesse ist lang. Selbst auf frisch installierten Systemen sind es bereits knapp 50. Nicht immer ist klar ersichtlich, welches Programm sich hinter einem Prozess verbirgt. Viele Prozesse heißen genauso wie das Programm, das sie erzeugt hat. Beispiele sind etwa „WINWORD.EXE“, „firefox.exe“, „filezilla.exe“, „Dropbox.exe“ und „xnview.exe“.
Windows. Er liefert allerdings nur rudimentäre Informationen. Daher greifen Sie besser gleich zum kostenlosen Process Explorer. Starten Sie Process Explorer mit Administratorrechten. Dazu klicken Sie mit der rechten Maustaste auf die Datei „procexp.exe“ und wählen „Als Administrator ausführen“.
Aber oft ist es nicht so einfach. Die erste Anlaufstelle, um mehr über Prozesse zu erfahren, ist der Task-Manager von Sie sehen eine lange Liste der Prozesse. Neben den Prozessnamen sehen Sie das Icon des dazugehörigen Programms. Das hilft oft bereits weiter. Weitere Anhaltspunkte erhalten Sie, wenn Sie mit dem Mauszeiger über den Prozessnamen fahren. Process Explorer zeigt daraufhin den Pfad zum Programm an.
Wenn Sie den Prozess „smc.exe“ in Ihrer Liste finden, dann haben Sie ein Sicherheitsprogramm von Symantec installiert. Das System-Tray-Icon von Quicktime taucht als „QTTask.exe“ auf, und „WUDFHost.exe“ weist darauf hin, dass Sie einen USB-Stick an Ihren Rechner gesteckt haben.
Wenn Sie einen Prozess mit der rechten Maustaste anklicken und „Window, Bring to Front“ wählen, dann maximiert Process Explorer das passende Fenster und Sie sehen sofort, welches Programm zu dem Prozess gehört. Das geht natürlich nur bei Prozessen, die auch ein Fenster haben, also nicht bei Diensten.
3. Teil: „Eigenschaften eines Prozesses“
Eigenschaften eines Prozesses
Prozesse, die geschlossen werden, sind rot. Gelb bedeutet, das ist ein .NET-Prozess. Braun sind alle Jobs.
Die wichtigste Eigenschaft eines Prozesses ist die eindeutige Prozess-ID, kurz PID. Darüber lässt er sich ansprechen. „System“ hat immer die PID 4, alle anderen PIDs weist Windows zu. Eine Besonderheit: Es gibt keine Prozesse mit den PIDs 0 bis 3 und 5 bis 200, zudem sind alle PIDs durch 4 teilbar.
Die weiteren Spalten zeigen eine kurze Beschreibung, den Hersteller und den Besitzer des Prozesses.
Process Explorer kennt aber noch viel mehr Details: Klicken Sie zum Beispiel auf „View, Show Lower Pane…“ und anschließend auf „View, Lower Pane View…, DLLs“. Das Programm zeigt daraufhin im unteren Bereich des Fensters an, welche DLLs ein Prozess verwendet.
Noch mehr Informationen erhalten Sie, wenn Sie einen Prozess mit der rechten Maustaste anklicken und dann „Properties…“ wählen. Es erscheint ein Fenster mit zehn oder mehr Reitern.
Firefox geht verschwenderisch mit Arbeitsspeicher um. Kurz nach dem Start benötigt er bereits über 200 MByte. Wiederholen Sie das Ganze mit Chrome. Hier liegt der Bedarf nur bei rund 80 MByte.
Wenn Sie auf „View, System Information…“ klicken, dann sehen Sie detailliert, welcher Prozess wie viele Ressourcen belegt.
4. Teil: „Wichtige Systemprozesse
“
“
Wichtige Systemprozesse
Direkt nach dem Systemstart laufen bereits über 50 Prozesse, auf älteren Systemen auch gern mal 80 oder mehr. Das sind die wichtigsten:
svchost.exe: Im Process Explorer taucht die Datei „svchost.exe“ mehrmals auf. Das ist eine Art Überprozess. Er dient als Host für einen oder mehrere Dienste. So verwendet etwa der Windows Defender einen Dienst, für den ein Prozess von „svchost.exe“ als Host dient.
Jede Instanz von „svchost.exe“ umfasst andere Dienste. Je nachdem wieviele Dienste aktiv sind, gibt es mehr oder weniger Instanzen der „scvhost.exe“. Wenn Sie sehen wollen, welche Dienste in einer gemeinsamen Instanz der „svchost.exe“ laufen, dann öffnen Sie zunächst den Registrierungs-Editor. Drücken Sie [Windows R] und geben Sie regedit ein. Navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost“. Dort sehen Sie die Dienste-Gruppen. So starten etwa die Dienste „Power“, „Plug & Play“ und „DcomLaunch“ in einer gemeinsamen Instanz der „svchost.exe“.
lsass.exe: Das ist der lokale Sicherheit-Authentifizierungsserver – Local Security Authority Subsystem Service. Er prüft, ob die Anmeldung an Ihrem Benutzerkonto korrekt ist. Das Ergebnis wird dann in Form eines Tokens an den Prozess „winlogon.exe“ übergeben. Wenn alles stimmt, dann startet Winlogon die Bedienoberfläche von Windows, also den Desktop.
winlogon.exe: Der Prozess „winlogon.exe“ hat viele Aufgaben: Er sorgt dafür, dass Sie sich an- und abmelden können. Deshalb läuft der Prozess immer im Hintergrund mit. Er überprüft auch den Aktivierungscode von Windows.
Nach dem Anmelden lädt Winlogon Ihr Benutzerprofil in die Registry unter „HKEY_CURRENT_USER“.
Winlogon überwacht auch Tastatur- und Mausaktivitäten, um zu bestimmen, wann der Bildschirmschoner aktiviert wird.
smss.exe: Das steht für Session Manager Subsystem. Der Prozess ist für den Start einer Benutzersitzung zuständig. Zudem startet er die Prozesse „winlogon.exe“ und „csrss.exe“ und wartet dann darauf, dass einer der beiden beendet wird. Wenn dies ordnungsgemäß geschieht, dann wird Windows heruntergefahren.
Zudem erstellt der Prozess die Umgebungsvariablen, etwa „%PATH%“ und „%APPDATA%“.
csrss.exe: Das ist das Client/Server Runtime Subsystem. In alten Windows-Versionen war dies ein zentraler Prozess, da er die grafische Bedienoberfläche und das Graphics Device Interface verwaltete. Später wanderten diese Komponenten in den Kernel.
Alle anderen Dienste und Prozesse lassen sich – die richtige Reihenfolge vorausgesetzt – vom Benutzer beenden, ohne dass Windows abstürzt. Der Task-Manager verweigert folgerichtig das Beenden von „csrss.exe“.
Achtung: Process Explorer beendet den Prozess nach Nachfrage. Das hat einen sofortigen Bluescreen zur Folge. Und danach haben Sie Probleme, Windows wieder zum Laufen zu bringen.
dwm.exe: Das ist der Desktop-Fenster-Manager. Er ist für grafische Effekte wie Aero Glas zuständig. Außerdem verwaltet er alle Programmfenster und setzt deren Oberflächen auf dem Bildschirm zusammen.
spoolsv.exe: Dahinter verbirgt sich die Druckerwarteschlange. Damit lassen sich Druckaufträge und Faxe im Hintergrund nacheinander abarbeiten, während Sie unbeeinträchtigt weiterarbeiten können. Normalerweise finden Sie „spoolsc.exe“ im Verzeichnis „C:\Windows\System32“. Indem Sie den Prozess kurz unterbrechen, lassen sich alle Druckaufträge löschen, die sich noch nicht im Speicher des Druckers befinden.
services.exe: Dies ist der Dienststeuerungsmanager, der Systemdienste startet und beendet. Beim Systemstart ruft der Prozess alle Dienste auf, die als Startmodus „automatisch“ haben. Der Prozess teilt zudem Programmen wie dem Windows-Explorer mit, wenn sich ein Netzlaufwerk mit einem Laufwerkbuchstaben verbunden hat oder entfernt wurde.
System: Der System-Prozess wird von der Windows-Update-Funktion und anderen Diensten verwendet. Er hat immer die PID 4. Jedes Mal, wenn Sie ein Programm starten oder eine Datei öffnen, stoßen Sie damit eine ganze Reihe von Aktivitäten an, die alle im System-Prozess zusammengefasst sind. Beispielsweise wird der Virtual Memory Manager aus dem Schlaf geholt, um der Datei Arbeitsspeicher zuzuweisen. Deshalb steigt bei jedem Starten und Beenden eines Programms die Prozessorlast des System-Prozesses an.
Leerlaufprozess: Der Leerlaufprozess ist eigentlich gar kein Prozess. Dementsprechend hat er auch keine Prozess-ID, auch wenn viele Programme ihm die PID 0 zuweisen.
Wenn der Task-Manager oder ein anderer Prozessmonitor anzeigen, dass der Leerlaufprozess eine CPU-Auslastung von über 90 Prozent beansprucht, dann ist das kein Anlass zur Sorge. In Wirklichkeit bedeutet es, dass die CPU gerade wenig zu tun hat. Dem Leerlaufprozess wird dann die übrige CPU-Zeit zugeordnet. Er zeigt also an, wie viel CPU-Last gerade nicht von anderen Prozessen erzeugt wird.
5. Teil: „CPU-Zuordnung ändern, Prozesse verifizieren und beenden“
CPU-Zuordnung ändern, Prozesse verifizieren und beenden
CPU-Zuordnung ändern
Klicken Sie den entsprechenden Prozess im Task-Manager mit der rechten Maustaste an. Aus dem Kontextmenü wählen Sie anschließend „Zugehörigkeit festlegen…“ aus und dann den oder die gewünschten CPU-Kerne.
Die Einstellung geht allerdings verloren, sobald Sie das Programm wieder beenden.
Prozesse verifizieren
Nicht nur harmlose Programme tauchen in der Prozessliste auch, sondern gegebenenfalls auch Malware. Wenn Ihnen ein Prozess verdächtig vorkommt, dann verifizieren Sie ihn mit Process Explorer. Dazu klicken Sie den Prozess zunächst doppelt an. Dann wechseln Sie auf die Registerkarte „Image“. Klicken Sie dort auf den Button „Verify“.
Das Ergebnis erscheint im Bereich „Image File“. Dort steht dann zum Beispiel „(Verified) Dropbox“.
Prozesse beenden
In beiden Fällen lässt sich der Prozess bequem im Task-Manager abschießen. Klicken Sie dort den Problemprozess mit der rechten Maustaste an und wählen Sie „Prozess beenden“ aus dem Kontextmenü. Beantworten Sie die Nachfrage ebenfalls mit „Prozess beenden“.
Wer lieber mit der Kommandozeile arbeitet, der verwendet dort den Befehl „taskkill“ und die Prozess-ID in der Art taskkill /pid 2144.
6. Teil: „Dienste und deren Eigenschaften
“
“
Dienste und deren Eigenschaften
In den folgenden Abschnitten analysieren Sie die Dienste, die auf Ihrem PC laufen, und lernen die wichtigsten Systemdienste kennen. Eine Tabelle zeigt, welche Dienste überflüssig sind und sich deaktivieren lassen.
Was sind Dienste?
Ein Dienst ist ein Prozess, der im Hintergrund läuft und nicht mit dem Desktop oder dem Windows-Anwender interagiert. In Windows laufen die meisten Dienste in Instanzen des Host-Prozesses „svchost.exe“.
Nach dem Systemstart laufen bereits Dutzende Dienste und gewährleisten, dass das Betriebssystem reibungslos arbeitet. Der Abschnitt „Wichtige Systemdienste“ stellt die wichtigsten davon vor.
Viele Programme sind von bestimmten Diensten abhängig. Die Druckfunktion eines Programms etwa funktioniert nur, wenn die Druckerwarteschlange läuft. Ebenso benötigen Installationspakete den Dienst „Windows Installer“.
Auch viele Antivirenprogramme nutzen einen Dienst, um auch dann laufen zu können, wenn der Benutzer gar nicht angemeldet ist. Bei Linux heißen die Dienste übrigens Daemons.
Eigenschaften eines Dienstes
Für die Analyse von Diensten ist das kostenlose Programm YAPM besser geeignet als Process Explorer.
YAPM steht für Yet Another Process Monitor. Starten Sie YAPM mit Administratorrechten. Klicken Sie dazu die EXE-Datei mit der rechten Maustaste an und wählen Sie aus dem Kontextmenü „Als Administrator ausführen“.
YAPM steht für Yet Another Process Monitor. Starten Sie YAPM mit Administratorrechten. Klicken Sie dazu die EXE-Datei mit der rechten Maustaste an und wählen Sie aus dem Kontextmenü „Als Administrator ausführen“.
Nach dem Start klicken Sie oben auf „Services“. YAPM listet alle Dienste auf, die auf dem PC vorhanden sind, auf dem Redaktions-PC waren es 384.
Um sich nur die Dienste anzeigen zu lassen, die gerade aktiv sind, klicken Sie auf „State“. Damit werden die Dienste nach dem Zustand sortiert, also nach „Running“ und „Stopped“.
Um mehr über einen Dienst zu erfahren, klicken Sie ihn an. Darunter erscheinen Informationen wie Name, Pfad und dazugehöriger Prozess. Wenn Sie das Lupensymbol anklicken, dann erscheinen noch detailliertere Informationen wie Erstellungsdatum, Hersteller und Versionsnummer.
Ein Dienst startet automatisch, manuell oder gar nicht. Über den Button „Start Type“ lässt sich das Startverhalten des ausgewählten Dienstes verändern. Die Tabelle „Windows 7: Unnötige Systemdienste“ zeigt, welche Dienste sich bedenkenlos abschalten lassen.
Wenn Sie auf „Network“ klicken, dann sehen Sie, welche Dienste und Prozesse Daten aus dem Internet empfangen oder selbst welche senden. Die Liste entlarvt Programme, die unaufgefordert mit dem Hersteller Kontakt aufnehmen, etwa um zu fragen, ob ein Update vorliegt.
Ein Klick mit der rechten Maustaste auf einen Eintrag in der Liste bringt Sie zum Kontextmenü. Klicken Sie auf „Select associated process“. Das führt Sie direkt zu dem Dienst oder Prozess, der den Netzwerkverkehr verursacht.
7. Teil: „Wichtige Systemdienste
“
“
Wichtige Systemdienste
LanmanWorkstation: Der Arbeitsstationsdienst heißt bei Windows LanmanWorkstation. Er stellt Funktionen zur Kommunikation zwischen Rechnern und Programmen bereit. Windows nutzt ihn etwa, um auf freigegebene Ordner, Dateien und Geräte zuzugreifen.
ProfSvc: Das ist der Benutzerprofildienst. Er ist für die Anmeldung am PC zuständig und stellt die Daten des Benutzerprofils anderen Diensten und Prozessen zur Verfügung.
gpsvc: Der Gruppenrichtlinien-Client ermöglicht es LAN-Administratoren einer Windows-Domäne, auf der jeweiligen Workstation Einstellungen und Restriktionen für System und Anwendungen gemäß vordefinierter Gruppenrichtlinien festzulegen.
BITS: Die Abkürzung steht für Background Intelligent Transfer Service, also intelligenter Hintergrund-Übertragungsdienst. Das ist eine Art Download-Manager. Der Dienst kümmert sich etwa bei Windows-Updates darum, dass ungenutzte Bandbreite verwendet und der Anwender nicht gestört wird.
Dhcp: Der DHCP-Client ist ein wichtiger Bestandteil der Netzwerkkonfiguration, indem er IP-Adressen und DNS-Namen registriert und aktualisiert.
Dnscache: Der DNS-Client führt die Namensauflösung durch und speichert die Ergebnisse zwischen.
nsi: Der Netzwerkspeicher-Schnittstellendienst überwacht die Netzwerkschnittstellen und gibt Änderungen an Systemprogramme und Anwendungen weiter. Wenn Sie den Dienst beenden, dann trennt Windows sämtliche Netzwerkverbindungen.
Plug & Play: Der Dienst ist für das automatische Erkennen neuer Hardware notwendig sowie für die Steuerung von Plug-&-Play-Geräten im laufenden Betrieb.
Schedule: Die Aufgabenplanung ist unentbehrlich und lässt sich nicht deaktivieren. Damit lassen sich automatische Aufgaben planen. Der Dienst löst zudem diverse Systemdienste aus.
SamSs: Das steht für Security Accounts Manager Service, zu Deutsch Sicherheitskonto-Manager. Dieser Dienst ist für die gesamte Sicherheit in Windows verantwortlich.
winmgmt: Die Windows-Verwaltungsinstrumentation bietet Zugriff auf verschiedene Daten und Funktionen des PCs.
8. Teil: „Dienste-Konfiguration sichern und Dienste deaktivieren
“
“
Dienste-Konfiguration sichern und Dienste deaktivieren
Konfiguration sichern
Bevor Sie etwas an den Systemdiensten verändern, empfiehlt es sich, den Istzustand zu speichern. Dazu wechseln Sie zunächst in der Systemsteuerung zur Diensteverwaltung. Sie erreichen sie über „System und Sicherheit, Verwaltung, Dienste“. Klicken Sie dort auf „Aktion, Liste exportieren…“.
Überflüssige Dienste deaktivieren
Windows bringt Hunderte Dienste mit. Ein Teil davon wird standardmäßig beim Systemstart automatisch gestartet.
Viele Dienste sind aber gar nicht sinnvoll. Der Dienst „Bluetooth-Unterstützung“ beispielsweise muss nicht im Hintergrund auf Bluetooth-Geräte warten, wenn er auf einem PC läuft, der überhaupt keine Bluetooth-Funktion hat.
Solche Dienste lassen sich in der Diensteverwaltung von Windows deaktivieren.
Die Tabelle „Windows 7: Unnötige Systemdienste“ gibt Ihnen einen Überblick, welche Dienste in den meisten Fällen überflüssig sind.
Um den Starttyp eines Dienstes zu ändern, klicken Sie ihn in der Diensteverwaltung doppelt an. Sie öffnen die Diensteverwaltung in der Systemsteuerung mit „System und Sicherheit, Verwaltung, Dienste“.
„Automatisch“ bedeutet: Der Dienst startet bei jedem Systemstart. Dienste mit verzögertem Start werden dann aufgerufen, wenn alle anderen fertig geladen sind.
„Manuell“ heißt, Sie oder Windows können den Dienst bei Bedarf jederzeit starten, er startet aber nicht automatisch. Das ist sinnvoll bei Diensten, die nur sehr selten benötigt werden. Deaktivierte Dienste starten nie.
9. Teil: „Windows 7: Unnötige Systemdienste“
Bildbearbeitungs-Tipps
Das neue Paint - Das kann es inklusive KI-Funktionen
Microsoft hat seine altehrwürdige Bildbearbeitungs-Software Paint generalüberholt. Wir erklären die neuen Funktionen und was Sie damit anstellen können.
>>
Zu viel der Ordnung
macOS 14: Schreibtisch beruhigen
Mit macOS 14 ‹Sonoma› wird automatisch eine Ordnungsfunktion aktiviert, die in den Wahnsinn führen kann. So wird sie abgeschaltet.
>>
Cloud-PBX
Ecotel erweitert cloud.phone-Lösung um MS Teams-Integration
Die Telefonanlage aus der Cloud von Ecotel - ein OEM-Produkt von Communi5 - cloud.phone, ist ab sofort auch mit Microsoft-Teams-Integration verfügbar.
>>
Container
.NET 8 - Container bauen und veröffentlichen ganz einfach
Dockerfiles erfreuen sich großer Beliebtheit. Unter .NET 8 lassen sich Container für Konsolenanwendungen über den Befehl "dotnet publish" erzeugen.
>>