Управление службами Windows и учетными записями служб

Опубликовано: 12 Апреля, 2023


Введение


Это было дебатами в течение многих лет в сообществе Microsoft. Администраторам и тем, кто занимается вопросами безопасности, не нравился тот факт, что Internet Information Services запускались по умолчанию на серверах Windows. Со всеми проблемами безопасности, связанными с информационными службами Интернета, жалоба была обоснованной (особенно для контроллеров домена).


В Windows Server 2003 Microsoft решила не устанавливать службы IIS по умолчанию. Это была огромная победа административного сообщества и отличное решение Microsoft.


Этот прогресс с Internet Information Services заставляет задать еще один вопрос. Если службы IIS работали по умолчанию во всех версиях Windows Server до Server 2003, существуют ли какие-либо другие службы, работающие по умолчанию, которые могут вызвать проблемы с безопасностью?


Чтобы ответить на этот вопрос, мы должны взглянуть на структуру управления сервисом, чтобы убедиться, что мы знаем, что мы можем контролировать в отношении сервиса. Мы также должны посмотреть на основные службы, на то, что мы можем и не можем удалить с компьютера. Наконец, мы рассмотрим различные способы управления службами и их конфигурациями.


Структура управления сервисом


Управление управлением службой имеет смысл только в том случае, если вы полностью понимаете варианты, доступные для управления службой. Есть некоторые скрытые самородки, доступные для всех сервисов, которые очень сложно увидеть в интерфейсе. Другие варианты услуг легко увидеть и понять, если вы знаете, где можно посмотреть услуги.


Мы начнем с просмотра списка услуг и непосредственных свойств. Это делается путем просмотра Консоли управления компьютером, доступ к которой легко получить, щелкнув правой кнопкой мыши Мой компьютер и выбрав в меню Управление. В результате появится окно со списком параметров управления. Если вы перейдете к нижней части списка, вы увидите Службы и приложения. Развернув этот узел, вы увидите параметр «Службы», при выборе которого должны отображаться все доступные вам службы, как показано на рисунке 1.



Изображение 25960
Рисунок 1: Консоль управления компьютером — это идеальный способ просмотра служб на вашем компьютере.


В списке служб сразу показаны некоторые параметры, которые вы сможете просмотреть и настроить для каждой службы. Ключевые параметры, которые вы должны отметить на рисунке выше, следующие:



  • Статус
  • Тип запуска
  • Войти как

Статус — это текущее состояние службы. Здесь вы либо увидите Started, либо <blank>. <blank> означает, что служба не запущена и не работает в данный момент. Чем больше <blank> у вас есть, тем безопаснее ваш компьютер. Это очевидно, поскольку чем меньше у злоумышленника возможностей проникнуть в ваш компьютер, тем лучше.


Только потому, что служба не запущена, делает ли это компьютер защищенным от службы? Ответ - нет. Причина в том, что у каждой службы есть «возможность» запуститься, если она настроена на это. Вот где тип запуска так важен. Существует три варианта типов запуска:



  • Автоматически — служба будет запускаться при загрузке компьютера. Большинство необходимых служб, которые мы исследуем, должны иметь этот режим запуска, чтобы работать во время процесса загрузки и сразу после загрузки компьютера.
  • Вручную — в этом режиме служба не запускается в процессе загрузки. Скорее, он не позволяет службе работать до тех пор, пока она не понадобится. Службу можно запустить несколькими способами. Могут быть автоматические методы, такие как установка приложения или запуск зависимой службы. Службу также можно запустить вручную, если администратор щелкнет правой кнопкой мыши службу и выберет в меню «Пуск».
  • Отключено — это не позволит службе запускаться автоматически или вручную. Единственный способ запустить службу из этого состояния — сначала изменить тип запуска на автоматический или ручной, а затем запустить службу.

Наконец, у вас есть столбец «Вход в систему», который совпадает с «учетной записью службы» для службы. Это учетная запись, которая будет управлять службой операционной системы. Большинство служб по умолчанию, установленных на контроллерах домена Windows 2000 и Server 2003, используют LocalSystem. Учетная запись пользователя LocalSystem на самом деле не является «учетной записью пользователя» в том смысле, в каком она является учетной записью администратора. Эта учетная запись является системной учетной записью, контролируемой сервером. LocalSystem имеет системный доступ, который немного выше учетной записи администратора.


Серверы Windows XP и Windows Server 2003 также используют новую учетную запись, которая называется «Сетевые службы». Эта учетная запись предназначена специально для использования со службами, которым необходимо взаимодействовать с другими компьютерами в сети. Учетная запись «Сетевые службы» обеспечивает лучшую безопасность, чем учетная запись «LocalSystem», и ее следует использовать всегда, когда служба может работать с этой учетной записью.


Есть еще два лакомых кусочка по службам, которые не видны в Консоли управления компьютером. Во-первых, некоторые службы можно удалить, а не просто отключить. Как вы можете себе представить, если служба не требуется, нет необходимости, чтобы она была на компьютере. Для некоторых сервисов это просто невозможно. Такие службы, как Alterer, Clipbook, Messenger и Telnet, нельзя удалить. Существуют и другие службы, такие как File Transfer Protocol и World Wide Publishing Service, которые можно удалить.


Второй — это список управления доступом к службе (ACL). ACL не виден из интерфейса и виден только при запуске сценария или с помощью инструмента, такого как инструмент SVCACLS.EXE из набора ресурсов Windows. Изменяя ACL службы, вы можете контролировать, кто может запускать, останавливать и управлять службой.


Какие услуги мне нужны?


Кажется, мне постоянно задают вопрос: «Какие сервисы мне нужно запустить?» Это очень динамичный вопрос, и его очень трудно понять. Тем не менее, позвольте мне дать вам некоторые рекомендации, которые позволят вам ответить на этот вопрос. Во-первых, чем меньше, тем лучше, когда речь идет о безопасности. Во-вторых, чем больше, тем лучше, когда речь идет о функциональности. Как видите, они противоречат друг другу. Итак, сначала вам нужно оценить, какие службы требуются вашему серверу для выполнения работы. Если администраторы используют Telnet для удаленного администрирования серверов и без него компания может потерять миллионы долларов из-за неисправности сервера, Telnet может быть очень важным сервисом для вашей компании, даже если он очень небезопасен.


Затем вы можете изучить требования и функциональные возможности каждой службы. Корпорация Майкрософт разработала руководство по безопасности Windows Server 2003 и руководство по безопасности Windows XP, которые были обновлены для пакета обновлений 2. В этих руководствах представлена важная информация о каждой службе и о том, требуется ли служба для основных функций сервера. Существует также многоуровневое руководство по безопасности, в котором указано, предлагается ли услуга для сред с низким или высоким уровнем безопасности. В двух комплектах документации вы найдете информацию об усилении защиты следующих типов компьютеров:



  • Контроллеры домена
  • Серверы инфраструктуры
  • Файловые серверы
  • Серверы печати
  • IIS-серверы
  • IAS-серверы
  • Серверы служб сертификации
  • Хозяева бастиона
  • Клиенты


Управление сервисом


Теперь, когда вы знаете о различных параметрах, которые можно настроить для службы, и о том, какие службы вам необходимо запустить, как вы будете эффективно управлять службами? Вы можете быть компанией среднего размера с тысячами клиентов и сотнями серверов, которыми вам необходимо управлять. Рассматривать управление службами вручную — не вариант.


Первый вариант, который вы должны рассмотреть, — это использование групповой политики для управления службами. Благодаря тому, что групповая политика может нацеливаться на определенные компьютеры одновременно, это идеальный способ настроить параметры для служб. С помощью групповой политики вы можете настроить тип запуска и ACL службы, как показано на рисунке 2.



Изображение 25961
Рисунок 2: Групповая политика позволяет настроить тип запуска и ACL для установленной службы.


Параметры групповой политики Microsoft имеют большое значение для управления предприятием, но вы можете видеть, что они опускают настройку учетной записи службы для служб. Чтобы управлять учетной записью службы и ее паролем, вы можете использовать такое решение, как PolicyMaker Standard Edition, как показано на рисунке 3.



Изображение 25962
Рисунок 3. В PolicyMaker Standard Edition можно настраивать учетные записи и пароли служб.


Резюме


Некоторые службы абсолютно необходимы для компьютеров с Windows. Однако они также являются потенциальными дырами в безопасности для злоумышленника. Таким образом, контроль над тем, какие службы работают, кто может ими управлять (через ACL), учетную запись службы и пароль учетной записи службы, имеет важное значение для защиты серверов и сети в целом. Групповая политика и дополнительные расширения (от PolicyMaker) могут иметь большое значение для эффективного обеспечения совместимости и безопасности всех компьютеров.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023