Службы Windows, влияющие на безопасность
Службы (Services) - это приложения,
запускаемые в фоновом режиме во время загрузки системы или при
возникновении определенных событий и обеспечивающие основные
функциональные возможности ОС. Как правило, службы не имеют
графического интерфейса, поэтому их работа в большинстве своем не
заметна для пользователя. При стандартной установке Windows XP
Professional в систему инсталлируется порядка 80-ти разнообразных
служб. И несмотря на то, что не все из них запускаются
автоматически, количество работающих по умолчанию всё равно кажется
слишком завышенным, если учесть, что значительная часть от общего
числа уязвимостей, когда-либо обнаруженных в этой ОС, приходится
именно на системные службы. К тому же, в домашних условиях во многих
работающих по умолчанию службах просто нет никакой
необходимости. По этим и ряду других причин, связанных с
оптимизацией работы компьютера, все неиспользуемые вами службы
рекомендуется отключить. Более того, отключение ненужных служб и
функций — один из самых эффективных способов защиты от возможных
нападений.
Просмотреть список всех служб, установленных на компьютере,
можно следующим образом:
Пуск (Start) > Панель Управления (Control
Panel) > Администрирование (Administrative Tools) > Службы
(Services)
Либо запустив из командной строки
services.msc:
Пуск (Start) > Выполнить
(Run) > копируем в строку:
services.msc > нажимаем ОК или клавишу
ENTER
 Список установленных на компьютере
служб
Эта консоль, помимо просмотра текущего состояния и описания
всех служб, позволяет остановить, возобновить или отключить каждую
из них, задать действия по восстановлению на случай сбоя, выполнить
настройку для конкретного профиля оборудования, изменить тип запуска
и многое другое. Но нас, в первую очередь, будет интересовать
последняя из перечисленных возможностей. Итак, для каждой службы
существует три варианта запуска:
- Авто (Automatic) - служба запускается
автоматически во время загрузки ОС;
- Вручную (Manual) - служба запускается
автоматически, в том случае, когда какой-либо процесс вызывает
функцию StartService;
- Отключено (Disabled) - служба не может быть
запущена - попытки запустить службу закончатся неудачей.
Чтобы изменить значение типа запуска, установленное по
умолчанию, кликните по нужной службе двойным нажатием мыши и в
открывшемся окне свойств в первой закладке - "Общие" ("General") -
выберите желаемый "Тип Запуска" ("StartUp
Type"):
 Изменение "Типа Запуска" службы.
Ниже приведен основной список служб в алфавитном порядке, для
которых "Тип Запуска" рекомендуется установить в положение
"Отключено" (однако в качестве общего правила нужно принять,
что необходимо отключить все неиспользуемое!):
- Беспроводная настройка (Wireless Zero
Configuration) - отключаем за полной ненадобностью в том
случае, если у вас нет адаптеров беспроводной связи, и вы не
собираетесь использовать "нулевую" конфигурацию беспроводной сети
(WZCS
key handling).
- Веб-клиент (WebClient) - позволяет
приложениям Windows создавать, сохранять и изменять файлы,
находящиеся на серверах WebDAV* (использование Web
Publishing Wizard для публикации данных в Интернет).
 Web Publishing Wizard На просмотр
ресурсов в Интернете отключение этой службы никак не влияет,
поскольку она используется только для WebDAV-подключений, к тому
же программы, которым этот сетевой протокол необходим, как
правило, имеют встроенные перенаправители WebDAV, работающие
независимо от службы "Веб-клиент" (MS06-008).
- Диспетчер очереди печати (Print Spooler) -
отвечает за обработку, планирование и распределение документов,
предназначенных для печати. Обязательно отключаем в том случае,
если у вас нет принтера (MS05-043,
US-CERT
VU#914617).
- Диспетчер сеанса справки для удаленного рабочего стола
(Remote Desktop Help Session Manager) - управляет
возможностями удаленного помощника. Отключите, если не используете
эту функцию (MS05-041).
- Диспетчер сетевого DDE** (Network DDE DSDM) -
управляет общими ресурсами сетевого динамического обмена данными
(DDE).
- Маршрутизация и удаленный доступ (Routing and Remote
Access) - обеспечивает многопротокольные функции
маршрутизации, подключения удаленного доступа и удаленного доступа
по сети VPN (MS06-025).
- Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS
Helper Service) - данная служба необходима при совместном
использовании ресурсов и сетевой печати. Отключите, если у вас нет
необходимости в этих функциях.
- Обозреватель компьютера (Computer Browser) -
обеспечивает функционирование списка Windows-доменов, компьютеров
в масштабе всей сети и других аппаратных устройств, совместимых с
протоколом NetBIOS. Для обычных пользователей и домашних
компьютеров эта служба полностью бесполезна (MS05-007).
- Оповещатель (Alerter) - посылает выбранным
пользователям и компьютерам административные оповещения. В
домашних условиях служба не нужна (CVE-1999-0630).
- Планировщик заданий (Task Scheduler) -
позволяет составлять расписание для запуска программ, скриптов или
резервного копирования (Пуск/Start > Программы/Programs >
Стандартные/Accessories > Служебные/System Tools >
Назначенные задания/Scheduled Tasks):
 Использование планировщика заданий
Windows Если вы никогда не используете назначенные
задания, то отключите эту службу (MS04-022;
используется некоторыми вирусами для автозагрузки, пример: Trojan.Bookmarker.C).
- Сервер (Server) - выполняет основные функции
сервера: обеспечивает совместное использование файлов, принтеров,
именованных каналов в сети. Если у вас нет необходимости открывать
доступ к вашим файлам и принтерам, обязательно отключаем (MS06-035,
MS06-040,
MS06-063).
- Сервер папки обмена (ClipBook) - позволяет
просматривать содержимое папки буфера обмена удаленным
пользователям.
Просмоторщик буфера обмена*** (ClipBook Viewer)
открывается следующим образом: Пуск (Start) > Программы
(Programs) > Стандартные (Accessories) > Окно папки обмена
(ClipBook Viewer); либо в верхнем меню программы Acrobat Reader:
Window > Clipboard Viewer. Если вы не хотите ни с кем
обмениваться этой информацией, то отключите данную службу.
- Сетевой вход в систему (Net Logon) - данная
служба обеспечивает безопасность проверки подлинности пользователя
при подключении его компьютера к домену. Если ваш компьютер не
входит в домен, отключите её.
- Служба индексирования (Indexing Service) -
индексирует содержимое и свойства файлов на локальном и удаленных
компьютерах, что позволяет производить поиск любого слова или
фразы, которые содержатся в документах пользователя. Обычный поиск
файлов после отключения этой службы не замедляется (MS06-053).
- Служба обнаружения SSDP (SSDP Discovery
Service) - выполняет поиск устройств UPnP**** в домашней
сети. Обязательно отключаем в случае, если вы не работаете с
сетевыми устройствами (MS01-059).
- Служба сообщений (Messenger) - отправляет и
получает сообщения, переданные администратором или службой
оповещений. При отсутствии сети (и соответственно администратора)
абсолютно бесполезна (никакого отношения к программе Windows/MSN
Messenger, эта служба не имеет). Также желательно отключить для
того, чтобы запретить net send сообщения для скрытия вашего
компьютера от автоматизированных спам рассылок (MS03-043).
- Служба сетевого DDE (Network DDE) -
обеспечивает сетевой транспорт и безопасность для динамического
обмена данными (DDE) для программ, выполняющихся на локальном или
удаленных компьютерах.
 Конфигурации DDE
(%WINDIR%system32ddeshare.exe)
- Службы терминалов (Terminal Services) -
предоставляет возможность нескольким пользователям интерактивно
подключаться к компьютеру, является основой для удаленного
рабочего стола (включая удаленное администрирование), быстрого
переключения пользователей и удаленного помощника (MS05-041,
MS07-006).
- Службы IPSEC (IPSEC Services) - данная служба
обычно используется для шифрования IP-трафика между рабочей
станцией и доменом, а также для VPN-соединений. Если вы не входите
в домен и у вас нет VPN-сети, данную службу можно отключить.
- Удаленный реестр (Remote Registry Service) -
позволяет удаленным пользователям изменять параметры реестра на
вашем компьютере.
- Узел универсальных PnP-устройств (Universal Plug and
Play Device Host) - обеспечивает поддержку и управление
UPnP-устройствами. Отключите, если вы не подключаете к своей сети
какие-либо устройства UPnP (MS01-059).
- NetMeeting Remote Desktop Sharing (NetMeeting Remote
Desktop Sharing) - обеспечивает удаленный доступ
соответствующим пользователям к рабочему столу Windows с других
компьютеров с помощью программы Windows NetMeeting (программа
NetMeeting предназначена для проведения аудио и видеоконференций в
сети). Отключаем, если не используется (MS05-041,
MS04-011).
- Telnet (Telnet) - обеспечивает возможность
соединения и удалённой работы в системе по протоколу Telnet
(Teletype Network) с помощью командного интерпретатора. Не
использует шифрование и поэтому очень уязвим для атак при
применении его в сети (MS05-003).
_________________________ *
WebDAV (Web Distributed Authoring and Versioning) - это
современный и защищённый сетевой протокол высокого уровня,
расширяющий и работающий поверх HTTP (Hypertext Transfer Protocol)
для управления и более удобной работы с файлами и документами между
компьютерами в Интернет. ** Динамический обмен данными
(DDE) был одной из первых технологий, с помощью которой
оказался возможным обмен информацией между приложениями. Позднее
механизм DDE был заменен на автоматизацию OLE; тем не менее, DDE все
еще поддерживается для совместимости с устаревшими
приложениями. *** Буфер обмена находится в
активном состоянии в течение всего времени вашей работы в Windows. К
примеру, когда вы выделяете текст или какие-то графические элементы
внутри программы и затем даете команду "Копировать" ("Copy") или
"Вырезать" ("Cut"), вы перемещаете всю выбранную информацию в буфер
обмена (Clipboard). По команде "Вставить" ("Paste") содержимое
буфера обмена копируется в приложение. **** UPnP
(Universal Plug and Play) - это универсальная
автоматическая настройка и подключение сетевых устройств друг к
другу, в результате чего сеть (например, домашняя) может стать
доступной большему числу людей.
|