Friday, December 15, 2006

Выпуск N3. Немного о безопасности в Windows или как из удобной вещи сделать надёжную.

Пожалуй время продолжить. Прежде всего хотелось бы сказать ещё пару слов по уже пройденной теме, а именно о "Какие программы следует спрятать подальше". Как я уже говорил что, в своих системах я переношу описанные утилиты в отдельную защищённую директорию, поскольку в этом методе есть определённые преимущества. Однако есть и маленькие хитрости, а именно WFP (Windows File Protection system). Это встроенная система защиты файлов, которые разработчики Windows считают критическими для её жизнидейтелности. Для того чтобы данные файлы не были случайно повреждены или удалённы неопытным пользователем, система хранит их копию в защищённой директории %SystemRoot%\System32\dllcach\. Система постоянно сканирует эти файлы и в случае обнаружения несоответствия, немедленно заменяет на эталонный. Превосходная мысль, резко снижает количество головной боли отделам тех. поддержки. Однако, нам как раз и требуется удалить, точнее перенести в секретное место, эти самые (некоторые из них) файлы. Что же делать, пути два (ну скажем полтора ;) - для WinXP Professional и Win2K3 (как я уже писал, Vista я пока не рассматриваю) есть возможность временно остановить WFP через Group Policy, в других вариантах это не пройдёт (для Win2K есть не документированный метод, но воизбежание неожиданностей, я не буду описывать его здесь). Независимо от типа операционки, нужно сделать следующее - написать скрипт который будет одновременно (практически одновременно) убирать файлы и из их оригинальной директории (%SystemRoot%, %SystemRoot%\System или %SystemRoot%\System32), а так же и из dllcach. Если WFP не остановлена, вы получите извещение о том что, важная часть системы была повреждена и предложение вставить инсталяционный диск (ВНИМАНИЕ!!! не храните инслаяционную версию локально на диске, иначе ничего не выйдет, да это и не безопасно). Вежливо откажитесь :)
Ну вот теперь можно пожалуй перейти к следующей теме.
Не всё что удобно - полезно, или какие сервисы лучше остановить.
Как известно в Windows на любой случай жизни есть сервис. Не будем отрицать что, для домашнего компьютера это удобно. Захотелось владельцу подключится к сети - пожалуйста, через NetBIOS - пожалуйста, а с файлами - пожалуйста, а с Novell сервера - пожалуйста, а... - пожалуйста. Жаль кофе сам в постель не приносит. К сожалению за удобства надо платить, и цена всем этим "пожалуйста" производительность и конечно же безопасность. Очень многие сервисы, обладая несомненными удобствами, имеют массу уязвимостей, а незначительная ошибка в конфигурации, может привести к краху всей политики безопасности. И тут не помогут не современные firewall-ы, не системы Intrusion detection, не самые драконовские права доступа и пароли. И так, моё мнение, на сервере не должна работать ни одна служба, в прямую не связанная с функциями сервера. Даже системы управления желательно отключить, обеспечив только возможность быстрой их активизации в случае необходимости. Я считаю что эксперт в области безопасности обязан, убедить и научить персонал - администраторов, операторов, службы поддержки, работать в новой среде. Поверьте мне, это не займёт слишком много времени, особенно если вы подготовите скрипты, которые позволят персоналу выполнять их обязанности или временно открывать те механизмы, без которых невозможно обойтись.
Как известно сервисы в Windows делятся на 5 типов по виду старта. Первые два, строго говоря, скорее не сервисы, а дриверы. Взглянем на список сервисов который хранится в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Загрузчик виндовс (NTLDR), начинает загрузку драйверов нижнего уровня, они имеют значение 0 в поле Start. После этого NTLDR передаёт управление ядру (Ntoskrnl.exe) Ядро, после некоторых манипуляций с реестром, начинает загрузку драйверов устройств. Их значение в поле Start равно 1-це. После этого подымается Win32 подсистема и выполнив некоторые дополнительные действия инициализирует процесс локальной авторизации (lsass.exe) и система управления сервисами, начинает запуск драйверов третьего уровня. Они и являются сервисами в обычном понимании, значение их ключа Start от 2 до 4. Сейчас мы будем рассматривать именно их.
И так, если бы мы жили в идеальном мире, ваш сервер был чистым Windows 2000 SP4 без примеси всяких дополнительных IIS, SQL и иже с ними то... На установленном и полностью отконфигурированном сервере достаточно следующего минимально-идеального набора (кроме перечисленных ниже, остальные в состоянии Start = 4 (Disable)) :
• DNS Client - Automatic (Start = 2) - Клиент DNS, необходим для работы через Internet, а так же в некоторых корпоративных сетях. Даже если в вашей сети нет DNS сервера и выхода в интернет остановка сервиса может вызвать задержки в работе некоторых сетевых аппликаций. (Необходим для обнаружения AD domain controller-а)
• EventLog - Automatic (Start = 2) - Служба журнала событий, необходима для отслеживания событий безопасности, а так же записи системных и апликативных сообщений. Должна быть включена всегда и везде. О конфигурации аудита и методах защиты журналов от стирания или фальсификации, мы поговорим позже. Хочу только отметить что в политике безопасности существует специальный раздел - "Shut down system immediately if unable to log security audits" Если он активирован, сервер будет немедленно остановлен в случае невозможности записи событий безопасности. Как видите, иногда, правильный лог даже важнее жизни самого сервера.
• IPSec Policy Agent - Manual (Start = 3) ( в этом состоянии сервис не подымается при подъёме OS, а только по запросу другой системы) - Сервисе управления политикой IPSec получаемой от domain controller-а или local registry если компьютер не является частью домена. Пересылает политику на IPSec driver. IPSec является важным методом сетевой безопасности в сетях Microsoft.
• Logical Disk Manager - Automatic (Start = 2) - Менеджер локальных дисков. Необходим для управления mapping-ом локальных и подключаемых дисков. Поаккуратней с экспериментами с этим сервисом - восстановление реестра off-line дело не из приятных ;)
• Network Connections Manager - Manual (Start = 3) - Ну тут все понятно, машина без сетевых подключений не может является сервером, по определению. Управляет не только LAN, но и Dial-Up подключениями.
• Plug & Play - Automatic (Start = 2) - Из названия ясно - управляет обнаружением нового оборудования. Когда я был молод и наивен, я полагал что на стабильном сконфигурированном сервере где железо не меняется годами, он не нужен. О, как я ошибался, после ребута сервер поднялся, но зайти на него не было ни какой возможности. Думаю, что в некоторых специфических случаях его можно остановить, он это для любителей экстрима.
• Protected Storage - Automatic (Start = 2) - Сервисе управляет защитой критических, с точки зрения безопасности, данных. Например, ключе пользователей. Обеспечивает защиту от несанкционированного доступа со стороны сервисов, аппликаций или пользователей. Остановка сервиса делает эти данные недоступными.
• Remote Procedure Call (RPC) - Manual (Start = 3) - Сервис вызова удалённых процедур. От него зависит добрая половина всех сервисов в Windows. И хотя именно RPC очень часто являлись ненадёжными с точки зрения безопасности, остановка этого сервиса будет иметь катастрофические последствия (загляните в список зависимых сервисов - Dependency, и вы все поймёте сами :)
• Security Accounts Manager (SAM) - Automatic (Start = 2) - Управление пользовательскими записями безопасности (знающий все поймёт по сокращённому имени сервиса). Этот сервис никогда не должен останавливаться.
• Server - Automatic (Start = 2) - Необходим только в случае использования сервера как файле или принтер сервер, а так же при работе с AD. Во всех остальных случаях желательно деинсталировать этот сервис. Это легко сделать через настройку любого из сетевых интерфейсов. Достаточно нажать кнопку Uninstall на сервисе с именем "File and Printer Sharing for Microsoft Networks", и сервисе Сервер исчезнет из списка.
• Workstation - Automatic (Start = 2) (Может работать в Manual но не очень стабильно) - Используется для удалённого доступа с сервера к другим Microsoft Networks ресурсам. Если это не нужно, деинсталируйте сервисе, убрав в свойствах сетевого интерфейса строку "Client for Microsoft Networks"
Ну что-ж помечтали, а теперь к реальности. Попробуем рассмотреть какие сервисы и в каких случаях могут быть остановлены:

A B C D E F H I K L M N P Q R S T U V W

• Alerter - имя Alerter - Используется для посылки административных сигналов выбранным пользователям и компьютерам. Отключение сервиса может блокировать реакцию некоторых аппликаций на административные сообщения. Например сигналы от UPS.
• Application Layer Gateway Service – ALG (Win2K3, WinXP)– используется как субкомпонента для Internet Connection Sharing и Internet Connection Firewall сервисов позволяя plug-in-ам протоколов внешних аппликаций проходить через ICF и использовать ICS.
• Application Management - AppMgmt - используется при инсталляции и удалении аппликаций через AD механизм (IntelliMirror) и COM объектов
• ASP .NET State Service - имя aspnet_state (Win2K3) - обеспечивает управление состоянием сессий на компьютере (смотри IIS). TCP 42424
• Automatic Updates - wuauserv (Win2KSP4, WinXP, Win2K3) - позволяет автоматически загружать и устанавливать Microsoft paths и hotfixs. Для лучшей надёжности и управляемости в критических серверах, используйте специальные инструменты или скрипты для установки только проверенных (на полную совместимость) и необходимых заплаток.
• Background Intelligent Transfer Service - BITS (Win2KSP4, WinXP, Win2K3) - позволяет незаметно загружать файлы между клиентом и HTTP сервером, используя время простоя сетевых соединений.
• Certificate Services - CertSvc - создаёт и управляет сертификатами X.509.
• Client Service for Netware - NWCWorkstation - как понятно из названия нужен только для связи с сетями Netware
• ClipBook - ClipSrv - используется для совместного использования информации из Clipboard-а удалённой машины. Отключение не влияет на функции локального копирования или переноса.
• Cluster Service - ClusSvc - сервисе управляет кластером от Microsoft. Необходим на каждом узле подключённом к кластеру. UDP 3343
• COM+ Event System - COMSysApp - Manual (Start = 3) - обеспечивает автоматическую пересылку событий используемых в COM модели. Необходим для правильной работы COM+ интерфейса (используется например в IIS). При отключении перестаёт работать System Event Notification (SENS) - например Login и logoff сообщения не доставляются
• COM+ System Application - EventSystem (Win2K3, WinXP)- Используется для конфигурации и управления объектами COM+ модели
• Computer Browser - Browser - нужен для поддержания списка компьютеров доступных в сети
• Cryptographic Services - CryptSvc (Win2K3, WinXP) - сервисе управления ключами
• DHCP Client - Dhcp - Клиент Dhcp. Необходим только если ваш компьютер пользуется динамически распределяемым IP адресом
• DHCP-Server - DHCPServer (в серверном варианте) - сервер динамического распределения IP адресов и некоторых других сетевых настроек. UDP 67 2535
• Distributed File System - Dfs (Win2Kx) - сервер распределённой файловой системы. Позволяет распределять файлы по локальной или удалённой сети и осуществлять монтаж в необходимой точке локальной файловой системы
• Distributed Link Tracking Client – TrkWks - клиент поддерживает целостность линков в NTFS файловой системе даже если сам адресуемый файл был переименован или перенесён на другую машину в домене
• Distributed Link Tracking Server - TrkSvr (в серверном варианте)- запускается на контроллере домена и поддерживает список всех перемещения линков внутри домена
• Distributed Transaction Coordinator- MSDTC - обеспечивает управление транзакциями между некоторыми компьютерными ресурсами и системами управления базами данных, очередями сообщений или к примеру файловой системой. Необходим для конфигурации (но не работы!) COM+ компонент, и таких систем как Message Queuing (MSMQ) или Microsoft SQL Server
• DNS Server - DNS (в серверном варианте) - производит разрешение DNS имён в IP. Необходим для работы AD. TCP/UDP 53
• Error Reporting Service - ERSvc (Win2K3, WinXP) - используется для сбора и посылки на Microsoft информации о сбоях в работе аппликации запущенных в нестандартной среде.
• Fast User Switching Compatibility – FastUserSwitching-Compatibility (WinXP) - облегчает процес переключения между акоунтами в много-пользовательской среде
• Fax Service - Fax - Fax сервер. Все ясно из названия
• File Replication - NtFrs (Win2Kx) - поддерживает синхронизацию файлов между различными машинами
• File Server for Macintosh - MacFile (Win2K3) - Обеспечивает доступ к файлам на NTFS для машин семейства Macintosh. TCP 548
• FTP Publishing Service - MSFtpsvc - FTP сервер. Одна из компонент IIS сервера. TCP 20, 21
• Help and Support – helpsvc (Win2K3, WinXP) - обеспечивает работу службы Помощи и Поддержки на локальном компьютере
• HTTP SSL - HTTPFilter (Win2K3, WinXP) - обеспечивает безопасную (кириптованую) передачу данных по HTTP протоколу. TCP 443
• Human Interface Device Access - HidServ (Win2K3, WinXP) - обеспечивает подключение специальных устройств ввода и применение "горячих" кнопок на клавиатуре пульте дистанционного управления и т.п.
• IAS Jet Database Access - IASJet (Win2K3) - обеспечивает доступ к Internet Authentication Service базе
• IIS Admin Service - IISADMIN - сервис управления IIS. Необходим если используется хотя бы одна из компонент (HTTP, FTP, SMTP или NNTP)
• IMAPI CD-Burning COM Service - ImapiService (Win2K3, WinXP) - обеспечивает облегчённый доступ к записи на IMAPI CD – Burning COM Service. Например для таких аппликаций как WMP или Explorer
• Indexing Service - cisvc - индексирует файловые ресурсы на локальном или удалённом компьютере. Ускоряет поиск файлов или веб запросов
• Infrared Monitor - Irmon (Win2K3) - Сервис инфракрасного порта
• Internet Authentication Service - IAS (в сервером варианте) - позволяет проводить централизованную аутентификацию, учёт и правление пользователями при локальном или удалённом подключении через Virtual Private Network (VPN), Remote Access Equipment (RAS), беспроводной 802.1x или Ethernet/Switch Access Points. Если сервис опущен, то запрос на авторизацию будет передан на запасной сервер, при его отсутствии - отвергнут
• Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) - SharedAccess (для Win2K только ICS) - ICS обеспечивает перевод адресов внутренней сети в глобальные (NAT), разрешение имён и адресов при подключении локальной сети в интернет через dial-up или broadband соединение путём установки sharing-а. Предназначение ICF понятно из названия.
• Intersite Messaging - IsmServ (Win2Kx) - предназначен для посылки сообщений между серверами. Сообщения посылаются с использованием SMTP over IP протокола. Поддержка SMTP осуществляется SMTP сервисом, который является частью IIS.
• Kerberos Key Distribution Center - Kdc (в сервером варианте) - позволяет пользователю идентифицироваться с использованием протокола Kerberos 5-й версии. TCP/UDP 88
• License Logging Service - LicenseService (в сервером варианте) - отслеживает клиентские лицензии доступа используемые в таких серверных приложениях как IIS, Terminal Services, File and Print services а так же например, в SQL сервере и службе Microsoft Exchange. При отключении сервиса серверные аппликации продолжат нормально работать, но их использование не будет более отслеживаться.
• Logical Disk Manager Administrative Service - dmadmin - позволяет просматривать и управлять состоянием жёстких дисков, строить новые разделы и т.п. Для работы использует сервисе - менеджер логических дисков (Logical Disk Manager), от него же и получает информацию о состоянии и новых устройствах. После конфигурации дисков на сервере может быть выключен.
• Message Queuing - msmq (Win2K3) - предоставляет средства разработки и создания инфраструктуры распределённых аппликаций доставки сообщений. Обеспечивает гарантированную, безопасную и эффективную доставку ц использованием транзакций и системы приоритетов. Может работать с обоими Win32® и COM API методами. Используется в таких сервисах как например, COM+ Queued Component (QC), WMI и MSMQ Triggers. TCP/UDP 1801, TCP 1801, 1803, 1805, 1807, UDP 3527
• Message Queuing Down Level Clients - mqds (Win2K3) - смотри Message Queuing.
• Message Queuing Triggers - Mqtgsvc (Win2K3) - смотри Message Queuing.
• Messenger - Messenger - посылает и доставляет сообщения от Alerter сервиса. Не имеет отношения к службе Windows Messenger. При отключении NET SEND и NET NAME перестанут работать. UDP 138
• Microsoft POP3 Service - POP3SVC (Win2K3) - служба доставки почты по POP3 протоколу. TCP 110
• Microsoft Software Shadow Copy Provider - SwPrv (Win2K3, WinXP) - применяется для управления программным обеспечением для создания теневой (Shadow) копии тома диска использованием сервиса Volume Shadow Copy. Что позволяет в определённый момент времени создавать консистентную копию диска (только для чтения) которая может использоваться такими программами как например - Ntbackup для копирования на ленту. При отключении становится невозможным управление данным классом программ.
• MSSQL$UDDI - MSSQL$UDDI (Win2K3) - обеспечивает поддержку UDDI (Universal Description, Discovery, and Integration) для MSSQL сервера. TCP 1433, UDP 1434
• MSSQLServerADHelper - MSSQLServerADHelper (Win2K3) - обеспечивает поддержку интерфейса между AD (Active Directory) и MSSQL сервером. Внимание, экоунт под которым бежит MSSQL сервер, будет иметь возможность изменять любые объекты в AD.
• .NET Framework Support Service - CORRTSvc (Win2K3) - предназначение следует из названия.
• Net Logon - Netlogon - сервисе обеспечивает авторизацию а так же обновление DNS записи при входе в домен. При подключении к домену, активизируется автоматически. На машинах - членах домена использует: RPC over named pipes; на домен-контроллере RPC over named pipes, RPC over TCP/IP, mailslots и LDAP. Необходима для подключения в домен.
• NetMeeting Remote Desktop Sharing - mnmsrvc - предназначен для подключения авторизованного пользователя к десктопу удалённой машины с использованием "Microsoft NetMeeting". Этот сервисе должен быть специально разрешён в NetMeeting. Отключение вызывает выгрузку NetMeeting display драйвера. TCP 3389
• Network DDE - NetDDE - обеспечивает сетевой транспорт и безопасность динамического обмена данными между аппликациями на одном и тем же или различных компьютерах. Используется такими аппликациями как например, Clipbrd.exe или DDEshare.exe. При отключении будет вызывать задержку в работе зависимых аппликаций на локальном компьютере, или ошибку "Компьютер не найден в сети" при удалённом подключении.
• Network DDE DSDM - NetDDEdsdm - используется "Network DDE" и поддерживает базу данных соединений с информацией об уровне безопасности, осуществляет проверку и разрешение валидности запроса.
• Network Location Awareness (NLA) - NLA (Win2K3, WinXP) - собирает и хранит информацию о состоянии сети, например изменения IP, доменных имён или положения в сети. Передаёт информацию заинтересованным аппликациям.
• Network News Transport Protocol (NNTP) - NntpSvc (в сервером варианте) - сервис доставки новостей. Обычно устанавливается как часть IIS или Exchange. TCP 119, 563
• NTLM Security Support Provider - NtLmSsp (Start = 3) - сервис позволяет пользователю подключатся к сетевым ресурсам используя NTLM протокол автонтефикации. Применялся в основном в версиях до Win2K.
• Performance Logs and Alerts - SysmonLog - применяется для локального или удалённого сбора мониторинговой информации о машине, процессах сервисах и т.д. Активизируется только при запуске процесса мониторинга. К сожалению невозможен доступ к удалённому списку параметров мониторинга при остановке сервиса "Remote registry".
• Portable Media Serial Number Service - WmdmPmSN (Win2K3, WinXP) - обрабатывает серийные номере переносных музыкальных плееров подключаемых к системе.
• Print Server for Macintosh - MacPrint (Win2K3) - принт сервер для машин типа Macintosh.
• Print Spooler - Spooler - сервисе управления локальными и сетевыми принтерами, а так же поддерживает очереди печати.
• QoS RSVP / QoS Admission Control (RSVP) - RSVP - предоставляет возможности о управлению и обработке сетевых сигналов для QoS (Quality of Service). Воспринимает сигналы от GQoS (Generic Quality of Service) API.
• Remote Access Auto Connection Manager - RasAuto - используется для определения состояния удалённого компьютера путём определения DNS или NetBIOS имени или адреса при подключении через dial-up или VPN. А так же подачи сообщения и переподключения по альтернативному пути при потере соединения. Остановка сервиса не вызывает проблем ц ручным подключением.
• Remote Administration Service - SrvcSurg (Win2K3) - сервис удалённого администрирования
• Remote Desktop Help Session Manager - RDSessMgr (Win2K3, WinXP) - управляет и контролирует службу Remote Assistance из комплекта центра поддержки (Help and Support Center - helpctr.exe).
• Remote Installation - BINLSVC (Win2K3)- позволяет удалённую установку Win2K, WinXP, Win2K3, на база предустановленного клиента - Pre Execution Environment (PXE). Использует Boot Information Negotiation Layer (BINL) сервис. UDP 4011
• Remote Procedure Call (RPC) Locator - RpcLocator - обеспечивает разрешение RPC имён (RpcNs), и обнаружение RPC серверов ц их поддержкой.
• Remote Registry Service - RemoteRegistry - предназначен для удалённой работы с реестром. При отключении блокирует функции удавленного мониторинга и администрирования.
• Remote Server Manager - AppMgr (Win2K3) - обеспечивает хранение,обработку и ранжирование сообщений удалённого администрирования, а так же запуск заданий удалённого администрирования.
• Remote Server Monitor - Appmon (Win2K3) - мониторинг удалённого администрирования.
• Removable Storage - NtmsSvc - обеспечивает каталогизацию и хранение информации об отключаемых устройствах подключавшихся к вашему компьютеру (например ленты или CD). Применяется в функциях типа автоматического проигрывания. При отключении могут может существенно замедлятся старт таких аппликаций как Backup или Remote Storage.
• Remote Storage Notification - Remote_Storage_User_Link (Win2K3) - предупреждает о попытке подключения к off-line файлу, недоступному в данный момент. Уменьшает простои и позволяет заранее отказаться от невыполнимой задачи.
• Remote Storage Server - Remote_Storage_Server (Win2K3) - системный сервис позволяющий хранить редко используемые файлы на втором диске. Отключение делает невозможным чтение и запись в эти файлы.
• Resultant Set of Policy Provider - RSoPProv (Win2K3) - позволяет подключиться к контроллеру домена на базе Win2K3 и симулировать установку групповой политики для компьютеров с Win2K или старше.
• Routing and Remote Access - RemoteAccess - обеспечивает LAN-LAN, LAN-WAN, VPN и NAT маршрутизацию, а так же удалённый доступ к серверу по dial-up или VPN. L2TP UDP 1701,PPTP TCP 1723.
• RunAs Service - Seclogon (Win2K) - позволяет запускать процессы от имени другого пользователя. Для WinXP и Win2K3 такую роль выполняет сервис - Secondary Logon.
• Server - lanmanserver - выполняет основные функции сервера: доступ к файлам, принтерам и именованным каналам через сеть. Может быть отключён, если вам не нужны стандартные методы доступа к серверу - например если это веб сервер или сервер аппликаций. UDP 137, 138; TCP 139, 445
• Simple Mail Transport Protocol (SMTP) - SMTPSVC (в сервером варианте) - сервис доставки электронной почты. Часто устанавливается как часть IIS. TCP 25.
• Simple TCP/IP Services - SimpTcp (в сервером варианте) - поддерживает простые TCP протоколы, такие как: Echo (port 7, RFC 862), Discard (port 9, RFC 863), Character Generator (port 19, RFC 864), Daytime (port 13, RFC 867), Quote of the Day (port 17, RFC 865).
• Single Instance Storage Groveler - Groveler (Win2K3) - одна из частей Remote Installation Services (RIS). Позволяет экономить место на диске, путём нахождения и замены линками, одинаковых файлов в RIS директориях.
• Shell Hardware Detection - ShellHWDetection (Win2K3, WinXP) - отслеживает и выдаёт сообщения о AutoPlay событиях аппаратного обеспечения (диски, флаш карты и т.п.)
• Smart Card - SCardSvr - обеспечивает контроль доступа к Smart Card-ам вставленной в ридер вашего компьютера.
• SNMP Service - SNMP (в сервером варианте) - обеспечивает обслуживание входящих запросов по протоколу SNMP в ваш компьютер. Имеет так же агенты для мониторинга сетевых устройств и посылки информации на консоль компьютера. UDP 161
• SNMP Trap Service - SNMPTRAP (в сервером варианте) - принимает trap сообщения генерируемые локальным или удалённым SNMP агентом и пересылает их на локальную программу управления SNMP. UDP 162.
• Special Administration Console Helper - Sacsvr (Win2K3) - выполняет задачи удалённого управления, если любая из систем семейства Win2K3 останавливает своё функционирование в связи с получением Stop error message.
• SQLAgent$* (*UDDI или WebDB) - SQLAgent$WEBDB (Win2K3) - может передавать администратору сообщения о наличии проблем на сервере и запускать периодическую активность. Поддерживаемые типы объектов: задания (Jobs), сигналы (Alerts) и операторы (Operators) - сетевые или e-mail адреса персонала получающего сообщения.
• SSDP Discovery Service - SSDPSRV (WinXP) - сервер позволяет подключение Universal Plug and Play (UnPnP) устройств через сеть и некоторые другие функции. TCP 5000, но в WinXP_SP2 TCP 2869. UDP 1900.
• Task Scheduler - Schedule - позволяет конфигурировать и запускать задания согласно расписанию.
• TCP/IP NetBIOS Helper Service - LMHosts - поддерживает работу NetBT, обеспечивая для него разрешение имён, а так же, пинг и поддержание списка доступных машин в сети.
• TCP/IP Print Server - LPDSVC (Win2K3) - обеспечивает доступ к сетевым принтерам по Line Printer Daemon протоколу. Может так же принимать данные от LPR утилиты в UNIX. TCP 515.
• Telephony - TapiSrv - обеспечивает поддержку программ управления телефонными устройствами, а так же VoIP.
• Telnet - TlntSvr - сервисе терминального доступа по одноимённому протоколу. TCP 23.
• Terminal Services - TermService - обеспечивает удалённый параллельный доступ к графическому интерфейсу Windows. TCP 3389.
• Terminal Services Session Directory - Tssdis (Win2K3) - позволяет организовывать кластера из нескольких терминальных серверов, для повышения производительности системы. Позволяет правильно трассировать запросы между несколькими серверами без потери сессии, а так же, хранит информацию об оборванной сессии, позволяя пользователю подключится к ней вновь. UDP 1083.
• Terminal Services Licensing - TermServLicensing (Win2K3) - позволяет регистрировать лицензии клиентов при их подключении к терминальному серверу.
• Themes - Themes (Win2K3, WinXP) - обеспечивает поддержку нового вида графического интерфейса в WinXP, позволяет модернизировать или создавать свои собственные темы. В Win2K3 выключен по умолчанию, при отключении в WinXP, новый вид интерфейса становится недоступен и активизируется классический вид.
• Trivial FTP Daemon - tftpd (Win2K3) - сервис простой пересылки файлов, является частью RIS. Применяется для доставки инсталяционных файлов на удалённую машину, а так же, для запуска бездисковых станций. Опасный сервис, активизируйте его только при необходимости удалённой инсталляции системы. TCP/UDP 69.
• Uninterruptible Power Supply - UPS - сервис поддержки устройств бесперебойного питания подкрученных к вашей машине через последовательный порт (если ваш UPS имеет USB соединение, не активируйте этот сервис).
• Universal Plug and Play Device Host - upnphost (WinXP) - хост сервис имеет все необходимые компоненты для регистрации, управления и обработки запросов от всех устройств подключённых по протоколу UPnP. Включает в себя так же, веб сервер с описанием сервиса и устройств, и страницу презентации. Остановка сервиса (в режиме Manual) приводит к посылке сигнала на отключение подключены устройств и невозможность их поиска, однако первый же запрос на подключение запускает сервис. Пир запуске сервир так же активизирует SSDP Discovery service.
• Upload Manager - Uploadmgr (Win2K3, WinXP) - предназначен для синхронной и асинхронной передачи файлов в сети. Позволяет анонимно передавать данные о аппаратной конфигурации клиента и ID операционной системы на Microsoft для автоматического поиска подходящих драйверов и установки из Интернета. TCP 80
• Utility Manager - UtilMan (Win2K) - сервис обеспечивает быстрый доступ к таким утилитам как: Magnifier - "увеличительное стекло на экране", Narrator - "прочитывает голосом надписи в меню и окнах" и On-Screen Keyboard - клавиатура на экране.
• Virtual Disk Service - VDS (Win2K3) - обеспечивает единый интерфейс управления виртуализацией блочных устройств, как например RAID, для всех программ операционной системы. Позволяет создавать аппаратно и программно независимые виртуальные диски и тома. Обеспечивать их полное управление, контроль и мониторинг.
• Volume Shadow Copy - VSS (Win2K3, WinXP) - (смотри описание Microsoft Software Shadow Copy Provider).
• WebClient - WebClient (Win2K3, WinXP) - позволяет Win32 аппликациям чтение и запись файлов в Интернете ц использованием WebDAV механизма. Отключение сервиса не позволит пользователю применять Web Publishing Wizard для публикации данных в Интернет.
• Web Element Manager - elementmgr (Win2K) - предоставляет веб интерфейс для удалённого администрирования. Использует asp технологию, собирает все данные при поднятии. Бежит с правами Local System и запрашивает необходимые данные через COM интерфейс для запуска которого необходимы права Local System или администратор. TCP 8098.
• Windows Audio - AudioSrv (Win2K3, WinXP) - сервис обрабатывает Plug-and-Play события от аудио устройств или например GFX эффекты. Сервис не может быть остановлен после старта, если сервис отключён могут наблюдаться проблемы со звуком или GFX (фильтры, эквалайзеры). Однако на серверах звуковые карты чаще всего не используются.
• Windows Image Acquisition (WIA) - StiSvc (Win2K3, WinXP) - поддерживает устройства ввода изображения по WIA. Устройства могут быть подключены по любым из перечисленных методов: SCSI, IEEE 1394, USB, а так же через паралельный последовательный или инфра-красный порт. Сервис поддерживает так же захват кадров из видео.
• Windows Installer - MSIServer - обеспечивает установку и удаление программ по заранее определённым правилам. Инсталляционные файлы имеют msi формат (возможна упаковка в другой формат, например exe). При отключении сервиса становится невозможным установка или удаление таких программ, а так же компонентов Windows.
• Windows Internet Name Service (WINS) - WINS (Win2K сервер) - служба имён от Microsoft работающая с протоколом NetBIOS. При отключении разрешение имён возможно локально из файла, либо в одной подсети с помощью broadcast запросов. В сетях необходимость в WINS отпадает после перевода всех доменов в AD и всех компьютеров на Win2K или старше. TCP 42 (Replication), 135 (WINS MANAGER), 137 (WINS Registration), 1101. UDP 445, 1100, 1512
• Windows Management Instrumentation Driver Extensions - Wmi - обеспечивает мониторинг драйверов и подготовку данных для WMI.
• Windows Media Services - WMServer (Win2K3) - версия для Win2K3 заменяет собой все четыре сервиса из WMS 4.0 или 4.1. Поддерживает различные протоколы: RTSP, MMS и HTTP. TCP 1755 (MMS), 554 (RSTP), 80 (HTTP), 135 (DCOM, WMI). UDP 161 (SNMP), 1755 (MMS), 135 (DCOM, WMI)
• Windows System Resource Manager – WindowsSystemResourceManager (Win2K3) – позволяет пользователю организовывать сценарии распределения ресурсов (память, CPU, и т.п.) для процесов. Такие сценарии могут действовать на нескольких машинах даже в гетерогенных сетях. Имеет встроенный календарь для организации управления сценариями то времени.
• Windows Time - W32Time – синхронизирует часы и календарь компьютера по центральному серверу с использованием протокола NTP. TCP 123.
• WinHTTP Web Proxy Auto-Discovery Service – WinHttpAutoProxySvc (Win2K3) – предоставляет возможности автоматической конфигурации прокси для WinHttp клиента. Использует для конфигурации загружаемый файл Proxy Auto-Configuration (PAC). Аналогичный подход используется в интернет эксплориаре при установка autoproxy.
• Wireless Configuration / Wireless Zero Configuration – WZCSVC (Win2K3, WinXP) – используется для автоматической конфигурации IEEE 802.11 беспроводного адаптера. Сканирует беспроводную сеть с целью обнаружения всех доступных сетей и определения их параметров. Благодаря этому, работа пользователя или аппликаций верхнего уровня, сводится к выбору сети из списка.
• WMI Performance Adapter - WmiApSrv (Win2K3, WinXP) – обеспечивает передачу информации о performance counters из WMI HiPerf модели в Performance Data Helper (PDH). Ей пользуются такие PDH клиенты как например Sysmon.
• Workstation – lanmanworkstation – обеспечивает клиентский доступ к удалённым файле и принтер сервисам, а так же получение информации через именованные каналы. Обеспечивает поддержку WNet API. Отключение сервиса никак не влияет на TCP (HTTP) протоколы и доступ в Интернет.
• World Wide Web Publishing Service - W3SVC - веб сервер. Предоставляет доступ к файлам или активным веб страницам (asp и т.п.) по HTTP и HTTPS протоколам. Является частью IIS. TCP/UDP 80, 443

Возможно этот список показался вам слишком длинным и нудным, но я надеюсь что вы сможете пользоваться им как справочником, когда решите попробовать сократить число включённых служб на вашем компьютере. Позволю себе сформулировать некоторое правило, которое кажется мне разумным при выборе сервисов кандидатов на отключение. Итак, если вы конфигурируете рабочую станцию помните, главное здесь функциональность, следом идёт производительность, а уж патом (кроме некоторых особых случаев) безопасность. Как следствие такого списка приоритетов, отключать следует только те службы, которые заведомо не используются в вашей конфигурации сети (скажем File Server for Macintosh - явно не нужен если в сети нет Macintosh-ей). Стоит так же обратить внимание на сервисы потребляющие неоправданно много ресурсов, но не используемые в повседневной работе, возможно разумнее остановить их, и запускать только по мере надобности.
Теперь взглянем на сервер. Приоритеты располагаются в прямо противоположном порядке - прежде всего безопасность, следом разумеется производительность (иногда выходит на первое место, но в нашем случае они сотрудничают, а не конфликтуют) и уж патом функциональность. Хочу отметить что излишние функциональные возможности на сервере часто приводят к лишней головной боли, не принося ни какой пользы. Как следствие - стараемся остановить все сервисы не являющиеся прямо необходимыми для выполнения прямых обязанностей сервера. Наиболее, в этом плане, удобны сервера со строго определёнными задачами и не подвергающиеся слишком частым обновлениям и изменениям.
Кстати, хотел обсудить с вами некоторое изменение. Мне кажется что мои выпуски немного длинноваты. Прочтение такого требует довольно много времени и серьёзного сосредоточения. Посему, сегодня я сделал выпуск только из одной темы "Не всё что удобно - полезно, или какие сервисы лучше остановить", а вас попрошу высказаться как лучше. Делать выпуски на одну тему (возможно чаще) с подробным изложением материала, или как раньше три темы? Заранее благодарю всех высказавших своё мнение.

Cледующий раз:
Права на диски или забудьте про группу Everyone

Если ваши советы и комментарии интересны всем, буду рад увидеть их здесь.
С личными просьбами и предложениями, добро пожаловать на e-mail