Windows Vista. Для профессионалов Клименко Роман

Безопасность операционной системы

Управление приложениями

Тип запуска: вручную.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: appmgmts.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: AppMgmt.

Службы, необходимые для работы данной: нет.

Управляет установкой, удалением и перечислением приложений, которые были установлены с помощью групповых политик. Иными словами, после отключения данной службы пользователи не смогут устанавливать или удалять данные приложения.

Существует несколько параметров типа REGDWORD, управляющих работой данной службы. Все они расположены в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Diagnostics.

• RunDiagnosticLoggingApplicationManagement – определяет, будет ли выполняться запись сведений о работе данной службы.

• AppMgmtDebugLevel – указывает уровень слежения за работой данной службы (какая информация о работе службы будет сохраняться).

• AppMgmtDebugBreak – определяет, разрешено ли прекращать слежение за работой данной службы.

Кроме того, служба Управление приложениями также может записывать сведения о своей работе в файл журнала appmgmt.log, расположенный в каталоге %SystemRoot% \ Debug \ Us erMode.

Служба базовой фильтрации

Тип запуска: автоматически.

Учетная запись: локальная служба.

Дополнительные привилегии: SeAuditPrivilege, SeImpersonatePrivilege.

Файлы службы: bf е. dll.

Исполняемый файл: svchost.exe – k LocalServiceNoNetwork.

Подраздел реестра: BFE.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Эта служба управляет работой встроенного брандмауэра Windows и службы IPSec, а также пользовательскими фильтрами брандмауэра. Для отключения данной службы необходимо отключить и службы Маршрутизация и удаленный доступ, Агент политики IPSec, Брандмауэр Windows и Модули ключей IPSec для обмена ключами в Интернете и протокола IP с проверкой подлинности.

Изоляция ключей CNG

Тип запуска: вручную.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: нет.

Исполняемый файл: lsass.exe.

Подраздел реестра: Key I so.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Данная служба является частью процесса lsass.exe и выполняет изоляцию личных ключей пользователей от запущенных процессов в специальном хранилище.

Службы криптографии

Тип запуска: автоматически.

Учетная запись: сетевая служба.

Дополнительные привилегии: SeChangeNotifyPrivilege, SeCreateGlobalPrivilege, SeImpersonatePrivilege.

Файлы службы: cryptsvc.dll.

Исполняемый файл: svchost.exe – k NetworkService.

Подраздел реестра: CryptSvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Выполняет следующие действия: управляет базой данных каталога цифровых подписей всех файлов Windows (требуется для установки нового программного обеспечения), управляет восстановлением, добавлением и удалением сертификатов на данном компьютере, поддерживает работу протокола SSL. После отключения данной службы все эти возможности операционной системы будут работать некорректно.

Клиент групповой политики

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: SeImpersonatePrivilege, SeTcbPriviLege, SeTakeOwnershipPriviLege, SelncreaseQuota Privilege, SeAssign Primary Token Privilege, SeSecurityPriviLege, SeChangeNotifyPrivilege, SeCreatePermanentPrivilege.

Файлы службы: gpsvc.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: gpsvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RPCSS), Multiple UNC Provider (Мир).

Если раньше работа групповых политик осуществлялась с помощью процесса winlogon.ехе, то теперь для этого предназначена отдельная служба. Она управляет применением групповых политик и определением медленного подключения (при низкой скорости подключения выполняется периодическое применение не всех групповых политик домена, а только основных из них). При этом также изменился способ определения медленного подключения (раньше применялся запрос протокола ICMP, однако это могло вызвать проблемы, так как многие администраторы блокируют передачу ответов на ICMP-запросы).

Кроме того, был изменен способ обнаружения контроллера домена. Теперь для этого применяется обработчик NLA 2.0, который оповещает службу Клиент групповой политики о доступности домена.

Примечание

Поддержка групповой политики недоступна в версиях Windows Vista Home Basic и Windows Vista Home Premium.

После отключения данной службы групповые политики применяться не будут. Файл журнала работы данной службы хранится в каталоге %systemroot%\ Debug\UserMode (файл gpsvc.log).

По умолчанию вы не сможете отключить данную службу, так как доступ на запись к ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\gpsvc запрещен даже администраторам. Поэтому перед отключением данной службы нужно изменить доступ к ветви реестра службы.

В ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows NT\ CurrentVersion\Winlogon\GPExtensions также хранится набор вложенных подразделов, описывающих расширения групповых политик, загружаемых данной службой при старте операционной системы.

Модули ключей IPSec для обмена ключами в Интернете и протокола IP с проверкой подлинности

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: SeAuditPrivilege, SeImpersonatePrivilege, SeTcbPrivilege.

Файлы службы: ikeext.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: IKEEXT.

Службы, необходимые для работы данной: Служба базовой фильтрации (BFE).

Данная служба управляет обменом ключей IPSec, и ее остановка может привести к невозможности установки одноранговых связей с помощью протокола IPSec (так как будет невозможен обмен ключами IKE и AuthIP).

Родительский контроль

Тип запуска: автоматически.

Учетная запись: локальная служба.

Дополнительные привилегии: нет.

Файлы службы: wpcsvc.dll.

Исполняемый файл: svchost.ехе – к wpcsvc.

Подраздел реестра: WPCSvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Эта служба управляет работой механизма родительского контроля, и ее остановка приведет к отключению самого механизма родительского контроля.

Служба перечислителя переносных устройств

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: wpdbusenum.dll.

Исполняемый файл: svchost.exe -k LocalSystemNetworkRestricted. Подраздел реестра: WPDBusEnum. Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет установкой групповых политик для съемных устройств, а также позволяет Проигрывателю Windows Media и мастеру импорта рисунков передавать и синхронизировать контент, используя сменные устройства.

Защищенное хранилище

Тип запуска: вручную.

Учетная запись: система. Дополнительные привилегии: нет. Файлы службы: нет.

Исполняемый файл: lsass.ехе.

Подраздел реестра: ProtectedStorage.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет защищенным хранилищем, доступ к которому не может получить ни один процесс, кроме этой службы. Защищенное хранилище содержит такие данные пользователя (например, пароли), доступ к которым другим процессам должен быть ограничен.

Диспетчер учетных записей безопасности

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: нет.

Исполняемый файл: lsass.exe.

Подраздел реестра: SamSs.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет локальными учетными записями пользователей (SAM) и сигнализирует о том, что база SAM готова к приему запросов. После отключения данной службы возможна некорректная работа других служб, которые не смогут обратиться к базе SAM.

Центр обеспечения безопасности

Тип запуска: автоматически с использованием механизма задержки запуска службы.

Учетная запись: система.

Дополнительные привилегии: SeChangeNotifyPrivilege и SeImpersonatePrivilege.

Файлы службы: wscsvc.dll.

Исполняемый файл: svchost.exe – k LocalServiceNetworkRestricted.

Подраздел реестра: wscsvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs), Инструментарий управления Windows (winMgmt).

Управляет настройкой системы безопасности и выполняет наблюдение за ее корректностью.

Политика удаления смарт-карт

Тип запуска: вручную.

Учетная запись: система. Дополнительные привилегии: нет.

Файлы службы: certprop.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: SCPolicySvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет блокировкой Рабочего стола пользователя после извлечения смарт-карты, содержащей сертификат входа пользователя в операционную систему.

Основные службы доверенного платформенного модуля

Тип запуска: вручную.

Учетная запись: локальная служба.

Дополнительные привилегии: нет.

Файлы службы: tbssvc.dll.

Исполняемый файл: svchost.exe – k LocalService.

Подраздел реестра: TBS.

Службы, необходимые для работы данной: нет.

Обеспечивает доступ к модулю ТРМ, хранящему все конфиденциальные данные системы и пользователя. После отключения данной службы доступ к чипу ТРМ и всем данным, защищенным с помощью ключей, содержащихся в чипе, будет невозможен.

Примечание

Операционная система Windows Vista позволяет просматривать сведения о работе данной службы с помощью счетчиков производительности объекта TBS counters. Объект поддерживает два счетчика: CurrentContexts и CurrentResources.

Брандмауэр Windows

Тип запуска: автоматически.

Учетная запись: локальная служба.

Дополнительные привилегии: SeAssignPrirnaryTokenPrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeCreateGlobalPrivilege, SeImpersonatePrivilege, SelncreaseQuotaPrivilege.

Файлы службы: mpssvcd.il.

Исполняемый файл: svchost.exe – k LocalServiceNoNetwork.

Подраздел реестра: MpsSvc.

Службы, необходимые для работы данной: Драйвер авторизации брандмауэра Windows (mpsdrv), Служба базовой фильтрации (BFE).

Реализует работу встроенного брандмауэра операционной системы Windows Vista.

Центр обновления Windows

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: SeAuditPrivilege, SeCreateGlobalPrivilege, SeCreatePageFilePrivilege, SeTcbPrivilege, SeAssignPrirnaryTokenPrivilege, SeImpersonatePrivilege, SelncreaseQuotaPriviLege.

Файлы службы: wuaueng.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: wuauserv.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет автоматическим поиском, загрузкой и установкой обновлений операционной системы и всех программ, созданных Microsoft.

Работа в сети

Служба шлюза уровня приложения

Тип запуска: вручную.

Учетная запись: локальная служба.

Дополнительные привилегии: SeChangeNotifyPrivilege, SeCreateGlobalPrivilege, SeImpersonatePrivilege.

Файлы службы: нет.

Исполняемый файл: alg.ехе.

Подраздел реестра: ALG.

Службы, необходимые для работы данной: нет.

Эта служба обеспечивает поддержку сторонних подключаемых модулей протокола для службы ICS (доступ к Интернету с помощью подключения другого компьютера).

Например, по умолчанию с помощью данной службы и содержимого ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ALG\ISV\{6E590D61-F6BC-4dad-AC21-7DC40D304059 } реализуется поддержка клиента FTP. Эта ветвь (а также другие дочерние подразделы подраздела ISV) может содержать следующие параметры.

• Ports – данный строковый параметр определяет порт, используемый этим модулем.

• Product – имеет строковый тип и определяет название модуля.

• Protocol – этот параметр типа REG_DWORD указывает, реализует ли данный модуль поддержку нового протокола.

Кроме того, с помощью ветви системного реестра Windows HKEY_LOCAL_MACHINE\ SOFTWARE\Microsof t\ALG\ISV вы можете самостоятельно включать или отключать ненужные дополнительные модули службы ICS. Для этого в данной ветви реестра достаточно создать параметр, название которого соответствует CLSID-номеру модуля, а значение может быть словом enable или disable.

Фоновая интеллектуальная служба передачи (BITS)

Тип запуска: автоматически с использованием механизма задержки запуска службы.

Учетная запись: система.

Дополнительные привилегии: SeCreateGlobalPrivilege, SeImpersonatePrivilege, SeTcbPrivilege, SeAssignPrimaryTokenPrivilege, SelncreaseQuotaPrivilege.

Файлы службы: qmgr.dll, qmgrprxy.dll, bitsprx2.dll, bitsprx3.dll, bitsprx4.dll, bitsprx5.dll, bitsigd.dllи bitsperf.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: BITS.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs), Система событий С0М+ (EventSystem).

Управляет фоновой передачей данных по сети (при ее бездействии) между клиентом и сервером. Служба используется для получения файлов такими приложениями, как, например, MSN Explorer или Служба обновления Windows, поэтому после отключения данной службы использующие ее приложения не смогут загружать файлы.

Примечание

Сведения о работе службы BITS заносятся в журнал, расположенный в разделе Журналы приложений и служб Microsoft Windows Bits-Client.

Операционная система Windows Vista позволяет просматривать сведения о работе данной службы с помощью счетчиков производительности объекта Использование сети BITS. Например, с помощью счетчиков данного объекта можно узнать следующие сведения о работе службы.

• Предполагаемую скорость передачи данных от удаленного компьютера (счетчик Скорость удаленного сервера (бит/с)), предполагаемую скорость интернет-соединения (счетчик Скорость IGD (бит/с)), предполагаемую скорость локальной сетевой карты (счетчик Скорость сетевой платы (бит/с)). Благодаря счетчику Расчетное значение пропускной способности, доступной для удаленной системы (бит/с) можно также узнать предполагаемую полосу пропускания, доступную службе BITS в удаленной системе.

• Процент использования интернет-соединения (счетчик Процент свободного IGD) и процент использования пропускной способности сетевой карты (счетчик Процент свободных ресурсов сетевой платы).

• Размер следующего блока данных, загружаемых службой BITS (счетчик BITS Размер загружаемого блока BITS (байт)), а также интервал отклика при загрузке данных (счетчик Интервал отклика BITS при загрузке (мсек)).

Служба BITS присутствовала и в предыдущих версиях Windows, но в Windows Vista она улучшена с целью снижения стоимости ее использования. Теперь другие компьютеры сети могут предоставлять для совместного доступа службам BITS уже загруженные ими файлы, чтобы другие службы повторно не скачивали их в случае необходимости из Интернета.

Файлы, скачиваемые данной службой, хранятся в каталге %systemdrive%\ ProgramData\Microsoft\Networ k: \Downloader.

Настройки групповых политик

Некоторые параметры настройки службы Фоновая интеллектуальная служба передачи (BITS) можно изменить с помощью групповых политик. Все эти политики расположены в разделе Конфигурация компьютера Административные шаблоны Сеть Фоновая интеллектуальная служба передачи (BITS).

• DisablePeerCachingClient – если значение данного параметра равно 1,то локальному компьютеру будет запрещено выступать в качестве клиента кэширования членов одноранговой группы BITS при загрузке файлов. Иначе говоря, данный компьютер сможет загружать файлы только с основного сервера одноранговой сети. В противном случае он также будет пытаться загружать файлы и из других компьютеров сети, которым разрешено быть серверами кэширования.

• Disable Peer Cachings erver – при установке значения этого параметра равным 1 локальному компьютеру будет запрещено выступать в качестве сервера кэширования членов одноранговой группы BITS при загрузке файлов. Иными словами, данный компьютер не будет кэшировать загружаемые файлы и предоставлять их для загрузки другим компьютерам сети.

• EnableBITSMaxBandwidth – если значение данного параметра равно 1, то пропускная способность сети, используемая службой BITS для фоновой передачи данных, будет ограничена значениями параметров MaxBandwidthValidFrom, MaxBandwidthValidTo, MaxTransferRateOffSchedule, MaxTrans-ferRateOnSchedule и UseSystemMaximum.

• MaxBandwidthValidFrom – значение данного параметра определяет время, от которого будет ограничена пропускная способность канала, используемого службой BITS.

• MaxBandwidthValidTo – значение этого параметра определяет время, до которого будет ограничена пропускная способность канала, используемого службой BITS.

• MaxTransf erRateOf f Schedule – его значение определяет скорость передачи данных (в Кбайт/с) в часы, когда скорость передачи не ограничена.

• MaxTransf erRateOnSchedule – значение данного параметра определяет скорость передачи данных (в Кбайт/с) в часы ограничения скорости передачи.

• UseSystemMaximum – если значение данного параметра равно 1, то будет использоваться вся полоса пропускания сети в часы, когда скорость передачи не ограничена.

• MaxBandwidthServed – значение данного параметра определяет максимальную полосу пропускания, разрешенную для передачи кэшированных файлов другим компьютерам одноранговой сети. По умолчанию используется ограничение в 30 % от пропускной способности самого медленного соединения.

• MaxRangesPerFile – его значение указывает максимальное количество диапазонов, которые могут быть добавлены к файлу в задании BITS. По умолчанию максимальное количество диапазонов равно 500.

• MaxJobsPerUser – значение этого параметра определяет максимальное количество заданий службы BITS, которые могут быть созданы одним пользователем. По умолчанию пользователь может создать только 60 заданий.