Sunday, July 22nd, 2018

Управление службами Windows и учетными записями служб

Published on Февраль 3, 2009 by   ·   Комментариев нет

После того, как вы установите Windows на компьютер, он сразу же запускается большое количество служб. Эти службы составляют ядро операционной системы и средства для работы компьютера. В дополнение к службам ядра, вы можете также запустить большое количество служб, необходимых для работы установленных приложений. Существует огромное количество продуктов Microsoft, а также сторонних разработчиков, которые устанавливают службы на ваш компьютер. Примерами могут служит Exchange, SQL, SMS, программы для резервного копирования, и программы для корпоративного управления. Т.к. многие хакеры могут использовать уязвимости в запущенных службах, вы захотите защитить необходимые для работы службы и отключить все неиспользуемые службы. Мы поговорим об управлении службами для защиты ваших компьютеров.

Введение

В течение многих лет эта тема была предметом дискуссий в Microsoft. Администраторам и людям, отвечающим за безопасность, не нравился тот факт, что по умолчанию Internet Information Services запускался на серверах Windows. По причинам безопасности, окружающих Information Services,  эта жалоба была справедлива (особенно для контроллеров домена).

В Windows Server 2003 Microsoft решил не устанавливать Internet Information Services по умолчанию. Это была большая победа администраторов и великое решение Microsoft.

В результате такого прогресса с Internet Information Services напрашивается другой вопрос. Если Internet Information Services запускался по умолчанию на всех серверах Windows версии ниже Server 2003, может быть существуют другие службы, которые запускаются по умолчанию и могут быть небезопасными?

Для ответа на этот вопрос, мы должны взглянуть на структуру для управления службами, чтобы убедиться в том, что мы знаем, чем мы может управлять благодаря службе. Мы также должны взглянуть на основные службы, чтобы знать, которые мы может, а которые не может удалить с компьютера. Наконец, мы узнаем различные способы управления службами и их конфигурацией.

Структура для управления сервисом

Управление службой имеет смысл лишь в том случае, когда вы полностью понимаете настойки для управления службой. Существует некоторое количество скрытых опций, доступных для всех служб, которые сложно увидеть в интерфейсе. Другие службы легко увидеть и понять, если вы знаете куда смотреть.

Мы начнем с просмотра списка служб и необходимых свойств. Это сделано с помощью консоли управления компьютером, которую можно легко вызвать, дважды щелкнув на My Computer и выбрав Manage из меню. В результате появится окно со списком настоек управления. Если вы опуститесь к концу списка, вы увидите пункт Services and Applications. Развернув этот узел, вы увидите настройки для просмотра служб Services, после выбора которого вы увидите все доступные вам службы, как показано на рисунке 1.

Управление службами Windows

Рисунок 1: Консоль управления компьютером идеальный способ для просмотра служб, запущенных на вашем компьютере.

Список служб непосредственно покажет вам некоторые из настроек, которые вы можете просмотреть и изменить для каждой службы. Как видно из картинки выше, основные параметры службы следующие:

  • Состояние
  • Тип запуска
  • Вход от имени

Состояние – это текущее состояние службы. Здесь вы можете увидеть или Запущена или <пусто>. <пусто> означает, что служба не запущена и в настоящий момент времени не работает. Чем больше у вас <пусто>, тем более безопасен ваш компьютер. Это очевидно, что чем меньше служб запущено, тем меньше шансов атаковать ваш компьютер.

Но только потому, что служба не запущена, делает ли это компьютер защищенным от этой службы? Ответ — нет. Причина этого заключается в том, что каждая служба может быть запущена, если она настроена для этого. Это тот случай, когда также важен тип запуска. Существует три варианта для типа запуска:

  • Автоматически – запускает службы при загрузке компьютера. Большинство требуемых служб, которые мы исследуем, требуют этот режим запуска для того, чтобы выполняться в процессе загрузки и непосредственно после него.
  • Вручную – этот режим не запускает службу после окончания процесса загрузки. Он удерживает службу от запуска до тех пор, пока он не понадобиться. Служба может быть запущена различными способами. Это может быть автоматический способ, такой как установка приложения или запуск зависимой службы. Служба может быть также запущена вручную администратором, щелкнув правой кнопкой на службе и выбрав из меню Start.
  • Отключена – это не позволяет службе быть запущенной автоматически или вручную. Единственным способом для запуска службы, находящейся в этом состоянии – это изменить тип запуска службы до Автоматически или Вручную, и лишь затем запустив службу.

Наконец, у вас есть столбец Вход от имени, который подобен учетной записи для службы. Это учетная запись, которая запускает службу в операционной системе. Большинство служб по умолчанию, которые установлены на контроллере доменов Windows 2000 и Server 2003 используют LocalSystem. Учетная запись LocalSystem в действительности не такая учетная запись пользователя, как учетная запись администратора. Это системная учетная запись, контролируемая сервером. LocalSystem имеет доступ к системе, который немного выше учетной записи администратора.

Серверы Windows XP и Windows Server 2003 также используют новую учетную запись, называемую “Network Services” (Сетевые службы). Эта учетная запись разработана специально для использования совместно со службами, которым необходимо соединение с другими компьютерами в сети. Учетная запись “Network Services” обеспечивает большую безопасность, чем учетная запись “LocalSystem” по проекту и его следует использует использовать там, где это возможно вместо “LocalSystem”.

Существует еще две настройки для служб, которые не видны в консоли управления компьютером. Первое, некоторые службы можно удалить, вместо того, чтобы просто отключить. Как вы можете представить, если служба не нужна, зачем оставлять ее на компьютере. Для некоторых служб это невозможно. Такие службы как Alterer, Clipbook, Messenger, и Telnet нельзя удалить. Существуют также другие службы, такие как File Transfer Protocol и World Wide Publishing Service, которые можно удалить с компьютера.

Вторая – это список управления доступом к службе (Access Control List или ACL). ACL не виден из интерфейса, его можно увидеть, запустив скрипт или воспользовавшись таким инструментом, как SVCACLS.EXE из Windows Resource Kit. Изменяя ACL службы, вы можете управлять тем, кто может запускать, останавливать и управлять службой.

Какие службы мне нужны?

Первый вопрос, который всегда мне задают это: “Какие службы мне необходимо запустить?” Это очень динамический и сложный вопрос. Однако, позвольте мне дать вам рекомендацию, которая поможет вам ответить на этот вопрос. Во-первых, чем меньше служб, тем лучше для безопасности. Во-вторых, чем больше служб, тем больше функциональность. Как вы можете видеть, эти две концепции идут вразрез друг с другом. Поэтому, сперва определите, какие службы необходимы, чтобы сервер выполнял свою работу. Если администраторы используют Telnet для удаленного управления компьютером, и компания потеряет миллионы долларов, если эта служба не будет работать, тот Telnet – этот очень важная служба для вашей компании, хотя и не очень безопасная.

Далее, вы можете определиться с требованиями и функциональностью каждой службы. Microsoft разработал руководства Windows Server 2003 Security Guide и Windows XP Security Guide, которые обновились для Service Pack 2. В этих руководствах представлена основная информация о каждой службе и описывается, нужна ли она для основной функциональности сервера. Существует также руководство по безопасности, в котором описывает безопасность использования каждой службы. На двух сайтах с документацией вы найдете информацию об усилении безопасности на компьютерах следующих типов:

  • Domain controllers (контроллеры домена)
  • Infrastructure servers (серверы инфраструктуры)
  • File servers  (файловые сервера)
  • Print servers (сервера для печати)
  • IIS servers
  • IAS servers
  • Certificate Services servers
  • Bastion hosts
  • Clients (клиенты)

Управление службой

Теперь, когда вы определились с тем, какие службы должны быть запущены, а какие нет, и с тем, какие параметры должны быть у различных служб, осталось решить вопрос, как эффективно управлять службой? Ваша компания может насчитывать тысячи клиентов и сотни серверов, которыми вам необходимо управлять. Поэтому рассматривать ручное управление не логично.

Первый вариант, который вам стоит рассмотреть – это использование Group Policy (политика группы) для управления службами. При помощи возможности Group Policy одновременно управлять различными компьютерами, это отличный способ для настойки параметров служб. С помощью Group Policy, вы можете настроить тип запуска и ACL службы, как показано на рисунке 2.

Способы запуска служб

Рисунок 2: Group Policy позволяет управлять типом запуска и ACL установленной службы.

Настройки Microsoft Group Policy имеют обширные возможности для управления корпорацией, но вы можете увидеть, что они пренебрегают настройкой учетной записи службы. Для того, чтобы управлять учетной записью службы и ее паролем, вы можете использовать такое решение, как PolicyMaker Standard Edition, как показано на рисунке 3.

Способы запуска служб

Рисунок 3: PolicyMaker Standard Edition can configure service accounts and passwords.

Резюме

Некоторые службы абсолютно необходимы для компьютеров Windows. Однако, они являются потенциальными дырами в безопасности. Поэтому, контроль над тем, какие службы должны быть запущены, кто должен контролировать их, учетная запись службы и пароль учетной записи службы – необходимые элементы для защиты серверов и сети в общем. Group Policy и дополнительные расширения (от PolicyMaker) помогут в обеспечении безопасности и эффективности всех компьютеров.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]