Управління службами windows і обліковими записами онлайнової служби

Після того, як ви встановите Windows на комп'ютер, він відразу ж запускається велика кількість служб. Ці служби складають ядро ​​операційної системи і засоби для роботи комп'ютера. На додаток до служб ядра, ви можете також запустити велику кількість служб, необхідних для роботи встановлених додатків. Існує величезна кількість продуктів Microsoft, а також сторонніх розробників, які встановлюють служби на ваш комп'ютер. Прикладами можуть служити Exchange, SQL, SMS, програми для резервного копіювання, і програми для корпоративного управління. Оскільки багато хакерів можуть використовувати уразливості в запущених службах, ви захочете захистити необхідні для роботи служби і відключити всі невикористовувані служби. Ми поговоримо про управління службами для захисту ваших комп'ютерів.

Протягом багатьох років ця тема була предметом дискусій в Microsoft. Адміністраторам і людям, які відповідають за безпеку, не подобався той факт, що за замовчуванням Internet Information Services запускався на серверах Windows. З причин безпеки, оточуючих Information Services, ця скарга була справедлива (особливо для контролерів домену).

Для відповіді на це питання, ми повинні поглянути на структуру для управління службами, щоб переконатися в тому, що ми знаємо, чим ми може управляти завдяки службі. Ми також повинні поглянути на основні служби, щоб знати, які ми може, а що не може видалити з комп'ютера. Нарешті, ми дізнаємося різні способи управління службами і їх конфігурацією.

Структура для управління сервісом

Управління службою має сенс лише в тому випадку, коли ви повністю розумієте настойки для управління службою. Існує кілька прихованих опцій, доступних для всіх служб, які складно побачити в інтерфейсі. Інші служби легко побачити і зрозуміти, якщо ви знаєте куди дивитися.

Управління службами windows і обліковими записами онлайнової служби

Стан - це поточний стан служби. Тут ви можете побачити або Запущена або <пусто>. <пусто> означає, що служба не запущена і в даний момент часу не працює. Чим більше у вас <пусто>, тим більш безпечний ваш комп'ютер. Це очевидно, що чим менше служб запущено, тим менше шансів атакувати ваш комп'ютер.

Але тільки тому, що служба не запущена, чи робить це комп'ютер захищеним від цієї служби? Відповідь - ні. Причина цього полягає в тому, що кожна служба може бути запущена, якщо вона налаштована для цього. Це той випадок, коли також важливий тип запуску. Існує три варіанти для типу запуску:

  • Автоматично - запускає служби при завантаженні комп'ютера. Більшість необхідних служб, які ми досліджуємо, вимагають цей режим запуску для того, щоб виконуватися в процесі завантаження і безпосередньо після нього.
  • Вручну - цей режим не запускає службу після закінчення процесу завантаження. Він утримує службу від запуску до тих пір, поки він не знадобитися. Служба може бути запущена різними способами. Це може бути автоматичний спосіб, такий як установка програми або запуск залежною служби. Служба може бути також запущена вручну адміністратором, клацнувши правою кнопкою на службі і вибравши з меню Start.
  • Відключена - це не дозволяє службі бути запущеною автоматично або вручну. Єдиним способом для запуску служби, що знаходиться в цьому стані - це змінити тип запуску служби до Автоматично або Вручну, і лише потім запустивши службу.

Існує ще дві настройки для служб, які не видно в консолі управління комп'ютером. Перше, деякі служби можна видалити, замість того, щоб просто відключити. Як ви можете уявити, якщо служба не потрібна, навіщо залишати її на комп'ютері. Для деяких служб це неможливо. Такі служби як Alterer, Clipbook, Messenger, і Telnet можна видалити. Існують також інші служби, такі як File Transfer Protocol і World Wide Publishing Service, які можна видалити з комп'ютера.

Друга - це список управління доступом до служби (Access Control List або ACL). ACL непомітний з інтерфейсу, його можна побачити, запустивши скрипт або скориставшись таким інструментом, як SVCACLS.EXE з Windows Resource Kit. Змінюючи ACL служби, ви можете управляти тим, хто може запускати, зупиняти і управляти службою.

Які служби мені потрібні?

Перше питання, яке завжди мені задають це: "Які служби мені необхідно запустити?" Це дуже динамічний і складний питання. Однак, дозвольте мені дати вам рекомендацію, яка допоможе вам відповісти на це питання. По-перше, чим менше служб, тим краще для безпеки. По-друге, чим більше служб, тим більше функціональність. Як ви можете бачити, ці дві концепції йдуть врозріз один з одним. Тому, спершу визначте, які служби необхідні, щоб сервер виконував свою роботу. Якщо адміністратори використовують Telnet для віддаленого управління комп'ютером, і компанія втратить мільйони доларів, якщо ця служба не буде працювати, той Telnet - цей дуже важлива служба для вашої компанії, хоча і не дуже безпечна.

  • Domain controllers (контролери домену)
  • Infrastructure servers (сервери інфраструктури)
  • File servers (файлові сервера)
  • Print servers (сервера для друку)
  • IIS servers
  • IAS servers
  • Certificate Services servers
  • Bastion hosts
  • Clients (клієнти)

управління службою

Тепер, коли ви визначилися з тим, які служби повинні бути запущені, а які ні, і з тим, які параметри повинні бути у різних служб, залишилося вирішити питання, як ефективно управляти службою? Ваша компанія може налічувати тисячі клієнтів і сотні серверів, якими вам необхідно управляти. Тому розглядати ручне управління не логічно.

Перший варіант, який вам варто розглянути - це використання Group Policy (політика групи) для управління службами. За допомогою можливості Group Policy одночасно керувати різними комп'ютерами, це відмінний спосіб для настойки параметрів служб. За допомогою Group Policy, ви можете налаштувати тип запуску і ACL служби, як показано на малюнку 2.

Управління службами windows і обліковими записами онлайнової служби

Малюнок 2: Group Policy дозволяє управляти типом запуску і ACL встановленої служби.

Налаштування Microsoft Group Policy мають великі можливості для управління корпорацією, але ви можете побачити, що вони нехтують налаштуванням облікового запису служби. Для того, щоб керувати своїм обліковим записом служби та її паролем, ви можете використовувати таке рішення, як PolicyMaker Standard Edition. як показано на малюнку 3.

Управління службами windows і обліковими записами онлайнової служби

Рісунок3: PolicyMaker Standard Edition can configure service accounts and passwords.