Разрешение на запуск системных служб. Системные службы Windows

Разрешение на запуск системных служб. Системные службы Windows

03.05.2019
Windows 7

Параметры политики системных служб отвечают за общую безопасность и режим запуска локальных служб. Чтобы запустить, остановить или настроить системную службу, выполните действия указанные нами в продолжении темы.

1. В узле Системные службы (System Services) собраны все службы, установленные в данный момент на компьютере. В списке указаны имя, способ запуска и информация о разрешениях. Работая с системными службами, следует помнить о следующем:

Если шаблон не изменяет конфигурацию запуска службы, в столбце Автозагрузка (Startup) стоит значение Не определено (Not Defined). Иначе способ запуска описывается одним из следующих значений: Автоматический (Automatic), Вручную (Manual) или Запрещен (Disabled).

Если шаблон не изменяет конфигурацию безопасности службы, в столбце Разрешение (Permission) стоит значение Не определено (Not Defined). Иначе конфигурация безопасности определена значением Настроено (Configured).

2. Щелкните дважды системную службу, чтобы открыть диалоговое окно ее свойств. Чтобы определить и применить параметр политики, установите флажок Определить следующий параметр ноли-тики в шаблоне (Define This Policy Setting In The Template). Чтобы не применять политику, сбросьте этот флажок.

3. Задайте способ запуска службы, установив переключатель Автоматический (Automatic), Вручную (Manual) или Запрещен (Disabled). При этом помните о следующем:

Автоматический запуск службы производится при запуске операционной системы. Такой режим следует устанавливать для основных служб, в чьей надежности вы не сомневаетесь. Эти службы должны в обязательном порядке запускаться на компьютере, к которому применен шаблон.

Ручной запуск означает, что автоматически служба запускать не будет. Выбирайте этот способ для ненужных или неиспользуемых служб, а также служб, в безопасности которых вы не уверены.

Запрет запуска службы относится как к автоматическому, так и к ручному режиму. Задавайте этот параметр только для ненужных или неиспользуемых служб.

4. Если вам известна конфигурация безопасности, которую должна использовать служба, щелкните Изменить параметры (Edit Security) и задайте разрешения для службы в диалоговом окне Безопасность для (Security For). Здесь вы молсете разрешить отдельным пользователям и группам запускать, останавливать и приостанавливать службы на компьютере.

5. Щелкните ОК.

Не забывайте иногда заходить на Казахстанский Центр Современного Искусства , слышал они скоро переделают свой сайт, станет на много приятнее туда заходить. Хотя и сейчас можно найти много интересной информации.

В работающей операционной системе запущенно большое количество . Эти процессы создаются как запущенными на компьютере программами, так и системными службами .

– это системные программы, которые запускаются на компьютере вместе со стартом Windows и выполняют возложенные на них функции.

Проблема состоит в том, что некоторые службы, запускаемые по умолчанию, просто не нужны на домашнем компьютере и своей работой лишь занимают его ресурсы. К тому же некоторые из системных служб являются потенциально небезопасными. Работа таких служб так или иначе связана с сетью, а это означает, что они создают дополнительные открытые порты .

Упрощенно можно сказать что порт — это некий канал, позволяющий попасть определенным данным на ваш компьютер извне, то есть из компьютерной сети (интернет). Различные вредоносные программы обычно скандируют компьютер на наличие открытых портов, чтобы с их помощью незаметно передать какие-либо данные. Это означает, что чем больше на компьютере открытых портов, тем больше уязвимость компьютера. Ну и поскольку стандартные службы часто запущены по умолчанию и многие пользователи просто не обращают на них внимание, то данный факт успешно используют злоумышленники. Все же думаю что уже ни для кого не является секретом, что компьютеры взламывают не люди, а программы. Существует масса программ, которые сканируют сеть на наличие компьютеров с определенными типами уязвимостей. Именно такие компьютеры и используются в дальнейшем для атаки или заражения.

Отвлекаясь немного от темы, хочу еще раз подчеркнуть, что легкомыслие многих пользователей, считающих что до их скромной персоны никому нет дела, приносит порой большие неприятности… Не стоит думать, что кто-то именно на вас точит зуб... В большинстве случаев злоумышленнику нужен ваш компьютер, а вовсе не вы. Зачем ему ваш компьютер? Возможно я напишу заметки на эту тему, но чуть позже. Если же хотите получить ответ на этот вопрос сейчас, то проделайте небольшую «самостоятельную работу» и поищите в интернете информацию по запросу «ботнет ».

Но можно ли как-то влиять на запуск системных служб? Да, можно, но делать это нужно осознанно. Множество системных служб взаимосвязаны друг с другом и отключив одну из них вы можете нарушить работу операционной системы, поэтому перед отключением или остановкой службы всегда нужно разобраться с тем, для чего эта служба нужна. Сделать это очень просто: во-первых, есть описание в самой службе, во-вторых, есть интернет и, задав вопрос Яндексу или Гуглу, вы всегда получите исчерпывающую информацию.

Чтобы получить доступ к службам Windows необходимо открыть соответствующую консоль. Делается это либо через (Администрирование — Службы )

Либо через консоль управления компьютером. Для этого заходим в меню Пуск и на элементе Компьютер вызываем контекстное меню, щелкнув правой кнопкой мыши. Из меню выбираем пункт Управление .

Далее переходим в раздел Службы . Вы видите список всех доступных служб вашей операционной системы. Следует заметить, что некоторые программы после своей установки добавляют в этот список свои службы (например, антивирус Аваст ).

Чтобы получить информацию по конкретной службе и изменить ее настройки, необходимо дважды щелкнуть на ней левой кнопкой мыши. Для каждой службы можно выбрать один из трех типов запуска.

Если тип запуска установлен «Автоматически» , то служба будет автоматически запускаться при старте Windows. Службы с типом «Вручную» можно запустить вручную, или они могут быть запущены зависимыми от них службами. Если служба отключена, она не будет запускаться. Устанавливать тип запуска службы в состояние «Отключена» , следует только в том случае, если вы на 100% уверены, что служба не понадобится вам, другим службами или аппаратной части, то есть устройствам вашего компьютера.

Метод 1: С помощью групповой политики

С помощью
групповой политики для изменения разрешений на системные службы. Для
получения дополнительных сведений о том, как это сделать обратитесь к
следующей статье базы знаний Майкрософт:

Способ 2: Использование шаблонов безопасности

Использование
шаблонов безопасности для изменения разрешений на системные службы,
создайте шаблон безопасности. Чтобы сделать это, выполните следующие
действия.
  1. Нажмите кнопку Начало , нажмите кнопку Запустить , тип MMC В диалоговом окне Открыть ОК .
  2. На Файл меню, нажмите кнопку Добавление и удаление оснастки .
  3. Нажмите кнопку Добавить , нажмите кнопку , нажмите кнопку Добавить , нажмите кнопку Закрыть , а затем нажмите кнопку ОК .
  4. Анализ и настройка безопасности , а затем нажмите кнопку Открыть базу данных .
  5. Укажите имя и расположение для базы данных и нажмите кнопку Открыть .
  6. В Импорт шаблона в открывшемся диалоговом окне выберите шаблон безопасности, который требуется импортировать и нажмите кнопку Открыть .
  7. В дереве консоли щелкните правой кнопкой мыши Анализ и настройка безопасности , а затем нажмите кнопку Анализ компьютера .
  8. В Выполнение анализа в открывшемся диалоговом окне примите путь по умолчанию для файла журнала, который отображается в Путь файла журнала ошибок поле или укажите расположение и нажмите кнопку ОК .
  9. После завершения анализа настройте разрешения для службы следующим образом:
    1. В дереве консоли разверните узел Системные службы .
    2. В правой области дважды щелкните имя службы, разрешения которой требуется изменить.
    3. Выберите Определить следующую политику в базе данных Установите флажок и нажмите кнопку Изменение параметров безопасности .
    4. Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку Добавить . В Выбор пользователей, компьютеров или групп диалоговом окне введите имя пользователя или группы, которую требуется установить разрешения и нажмите кнопку ОК .
    5. В Разрешения для Пользователь или группа
      список, настроить разрешения для пользователя или группы. Обратите
      внимание, что при добавлении нового пользователя или группы, Разрешить флажок рядом с Пуск, Стоп и Пауза по умолчанию выбрано разрешение. Этот параметр разрешает пользователя или группы, для запуска, остановки и приостановки службы.
    6. Нажмите кнопку ОК два раза.
  10. Чтобы применить новые параметры безопасности для локального компьютера, щелкните правой кнопкой мышиАнализ и настройка безопасности , а затем нажмите кнопку Теперь настройки компьютера .
ПРИМЕЧАНИЕ :
Можно использовать также средство командной строки Secedit Настройка и
анализ безопасности системы. Для получения дополнительных сведений о
программе Secedit нажмите кнопку Начало , а затем нажмите кнопку Запустить . Тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК . В командной строке введите: Secedit /? ,
а затем нажмите клавишу ВВОД.

Помните, что этот метод используется для применения параметров,
применяются все параметры шаблона и это могут переопределить другие
ранее настроенные файла, реестра или разрешения служб.

Метод 3: Subinacl.exe использовать

Последний
способ назначения прав управления службами состоит в использовании
программы Subinacl.exe из Windows 2000 Resource Kit. Синтаксис выглядит
следующим образом:

SUBINACL /SERVICE \\MachineName\ServiceName /GRANT = имя_пользователя [= доступ]

Заметки

  • Пользователь, запустивший эту команду необходимо иметь права администратора для ее успешного завершения.
  • Если Имя_компьютера — Это аргумент опущен, предполагается локальный компьютер.
  • Если Имя_домена — Это аргумент опущен, локального компьютера выполняется поиск учетной записи.
  • Несмотря на то, что пример синтаксиса указывает имя пользователя, будет работать для групп пользователей слишком.
  • Значения, Доступ можно предпринять следующие:

    F: Full Control R: Generic Read W: Generic Write X: Generic eXecute L: Read controL Q: Query Service Configuration S: Query Service Status E: Enumerate Dependent Services C: Service Change Configuration T: Start Service O: Stop Service P: Pause/Continue Service I: Interrogate Service U: Service User-Defined Control Commands

  • Если Доступ Это, "F (полный доступ)" подразумевается.
  • Subinacl поддерживает аналогичные функциональные возможности для файлов, папок и разделов реестра. См. Пакет ресурсов Windows 2000 для получения дополнительных сведений.

Автоматизация многократных изменений

С помощью Subinacl не существует параметр не может указать, будет устанавливать права доступа для всех служб на конкретном компьютере. Однако приведенный ниже сценарий демонстрирует один из способов 3 метода может быть расширена для автоматизации задач:

strDomain = Wscript.Arguments.Item(0)"domain where computer account is held strComputer = Wscript.Arguments.Item(1)"computer netbios name strSecPrinc = Wscript.Arguments.Item(2)"user"s login name as in: DomainName\UserName strAccess = Wscript.Arguments.Item(3)"access granted, as per the list in the KB "bind to the specified computer set objTarget = GetObject("WinNT://" & strDomain & "/" & strComputer & ",computer") "create a shell object. Needed to call subinacl later set objCMD = CreateObject("Wscript.Shell") "retrieve a list of services objTarget.filter = Array("Service") For each Service in objTarget "call subinacl to se the permissions command = "subinacl /service " & Service.name & " /grant=" & strSecPrinc & "=" & strAccess objCMD.Run command, 0 "report the services that have been changed Wscript.Echo "User rights changed for " & Service.name & " service" next

Заметки

  • Сохранение сценария.vbs файл, например «Services.vbs» и вызовите его следующим образом:

    CSRIPT Services.vbs DomainName ComputerName UserName Access

  • Закомментировать или удалить строку "Wscript.Echo"..., если необходима обратная связь.
  • В данном примере не без ошибок; Таким образом используйте осторожно.
  • В документации Windows 2000 Resource Kit упоминания другая программа (svcacls.exe), выполняющий же манипуляции прав службы управления как Subinacl. Это ошибка в документации.


Статьи по теме
Еще статьи из этой рубрики
Как устранить конфликт плагинов WpTouch Mobile и WP Super Cache Поисковые и другие боты Как устранить конфликт плагинов WpTouch Mobile и WP Super Cache Поисковые и другие боты
Порядок продления регистрации для иностранных граждан Истекает срок действия прав можно ли заменить права в другом регионе Порядок продления регистрации для иностранных граждан Истекает срок действия прав можно ли заменить права в другом регионе
Клавиатура печатает не те буквы, которые нажимаешь Клавиатура печатает не те буквы, которые нажимаешь
Elements Browser — что это за программа и нужна ли она? Elements Browser — что это за программа и нужна ли она?
Методы защиты от XSS-атак и SQL-инъекций Методы защиты от XSS-атак и SQL-инъекций
Скачать официальный патч ведьмак 3 1 Скачать официальный патч ведьмак 3 1

© 2024 beasthackerz.ru - Браузеры. Аудио. Жесткий диск. Программы. Локальная сеть. Windows