Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах Работа со службами Windows Vista, Часть 2


Уважаемые подписчики, на нашем сайте (http://www.onestyle.com.ua) организован опрос, тема которого: 'Содержимое какой из книг вы бы хотели прочитать в будущих статьях на нашем сайте?'. Голосование ведется до 7 апреля. Спешите проголовать за книгу, содержимое которой вы хотели бы видеть в данной рассылке!
Другие наши рассылки:
  • Новости IT-мира: Ежедневно ссылки на новости и статьи сайтов ixbt.com, thevista.ru, xakep.ru, securitylab.ru, oszone.ru, inattack.ru, ht.ua, overclockers.ru, центр загрузки Microsoft, softportal.com, realcoding.net, 3dcenter.ru, ladoshki.com, smti.ru, seonews.ru, ibm.com и др.

Данная статья была написана для журнала Мой компьютер.

Изменение способа запуска служб при помощи шаблонов безопасности

Хотелось бы задать читателям вопрос. Если вы решите изменить способ запуска определенных служб Windows Vista, как вы это сделаете?

Как мне кажется, большинство читателей воспользуется для этого оснасткой Службы. Я и сам поступал так же до тех пор, пока не вспомнил об одной возможности операционных систем семейства Windows.

На самом деле, использование оснастки Службы для настройки способа запуска служб — не лучшее решение. Также не лучшим решением будет использование программы msconfig.exe или различных программ командной строки. Как мне кажется, идеальным решением этой задачи является использование шаблонов безопасности. Пускай этот способ является более долгим, однако в дальнейшем вы очень легко сможете выполнить следующие задачи.

  • Перенести все настройки запуска служб на другой компьютер.
  • Проанализировать состояние компьютера и определить, состояние каких служб не удовлетворяет вашим потребностям.
  • Быстро восстановить состояние запуска служб на необходимое вам.

Использование шаблонов безопасности Шаблон безопасности представляет собой inf-файл, в котором описывается состояние различных настроек компьютера. В частности, при помощи шаблона безопасности выполняется настройка следующих компонентов операционной системы.

  • Настройка процесса входа в систему и использования паролей пользователей.
  • Настройка аудита.
  • Определение привилегий и прав пользователей.
  • Настройка параметров безопасности.
  • Настройка работы журнала событий (консоль eventvwr.msc).
  • Определение групп с ограниченным доступом.
  • Настройка состояния запуска служб, а также прав доступа к ним.
  • Настройка прав доступа к отдельным ветвям реестра, а также возможность смены их владельца и настройки аудита.
  • Настройка прав доступа к отдельным папкам и файлам, а также возможность смены их владельца и настройки аудита.

В контексте данной статьи мы воспользуемся только возможностью настройки способа запуска служб.

Этап 1. Создание шаблона безопасности Итак, наш эксперимент следует начать с создания шаблона безопасности.

Для работы с шаблонами безопасности используется оснастка Шаблоны безопасности, загрузить которую можно только при помощи программы mmc.exe (отдельной стандартной консоли для работы с данной оснасткой не существует). Основной вид данной оснастки представлен на рисунке 1 (на данном рисунке отображается вид оснастки Шаблоны безопасности с уже созданным шаблоном безопасности).

Рисунок 1

Начать работу с шаблонами безопасности необходимо с создания своего шаблона. Если в предыдущих версиях Windows имелись стандартные шаблоны безопасности, то в Windows Vista их не существует (точнее, они существуют и хранятся в каталоге %systemroot%\inf, но не отображаются в оснастке Шаблоны безопасности).

Для создания своего шаблона просто выберите в контекстном меню раздела, определяющего путь к каталогу шаблонов (на рисунке это раздел D:\Users\parad0x\Documents\Security\Templates), команду Создать шаблон. После того, как вы введете название нового шаблона (шаблон на рисунке 3 называется test), он будет создан.

Этап 2. Настройка запуска служб в шаблоне безопасности После того, как вы создадите свой шаблон, перейдите к его разделу Системные службы.

Это приведет к отображению в правой панели оснастки списка всех служб, установленных в вашей операционной системе. Если вы хотите определить способ запуска одной из представленных служб, просто отобразите ее диалог Свойства (при помощи команды Свойства контекстного меню службы, рис. 2), и выберите нужный способ запуска.

Рисунок 2

После того, как вы настроили способ запуска для всех нужных вам служб, необходимо выполнить еще одно, и, наверное, самое главное действие — сохранить все изменения в созданном вами шаблоне. Для этого в контекстном меню раздела вашего шаблона выберите команду Сохранить.

Этап 3. Подключение шаблона безопасности После того, как мы создали шаблон безопасности, необходимо воспользоваться отдельной оснасткой для того, чтобы внести все настройки вашего шаблона в конфигурацию операционной системы.

Для этого применяется оснастка Анализ и настройка безопасности, запускать которую также необходимо с помощью программы mmc.exe.

После того, как вы запустите данную оснастку, необходимо выбрать команду Открыть базу данных из контекстного меню раздела оснастки.

Если вы впервые запустили данную оснастку, тогда в появившемся диалоге Открыть базу данных просто введите любое название, используемое для новой базы данных, после чего выберите шаблон безопасности (который создали на предыдущих этапах данного совета), который будет включен в созданную вами базу данных.

Если вы уже создавали ранее базу данных, просто выберите ее из списка.

После того, как вы загрузите базу данных, окно оснастки Анализ и настройка безопасности примет вид, представленный на рисунке 3. Также на данном рисунке можно увидеть контекстное меню раздела оснастки.

Рисунок 3

Этап 4. Анализ состояния компьютера После того, как вы загрузили в оснастку Анализ и настройка безопасности базу данных с созданным ранее шаблоном безопасности, следует выбрать из контекстного меню раздела оснастки команду Анализ компьютера….

В процессе анализа компьютера все установленные настройки текущего шаблона безопасности, находящегося в базе данных, будут сравнены с текущими настройками операционной системы, в результате чего перед вами отобразится список текущих настроек компьютера. Красным крестиком в этом списке будут помечены те настройки, которые не соответствуют настройкам шаблона безопасности, а зеленым те, которые соответствуют настройкам (рис. 4).

Рисунок 4

Этап 5. Настройка компьютера при помощи шаблона безопасности И, наконец-то, последний шаг — применение настроек шаблона безопасности.

После того, как вы определили, что настройки вашего компьютера не соответствуют настройкам созданного вами шаблона безопасности, достаточно воспользоваться командой Настроить компьютер контекстного меню раздела оснастки, чтобы настройки шаблона безопасности были применены к компьютеру.

Настройка прав доступа к службам

Для каждой службы, установленной в операционной системе Windows Vista, определены права доступа пользователей. То есть, сведения о том, какие именно группы пользователей могут управлять службой.

Как вы могли узнать из предыдущего материала статьи, настроить права доступа пользователей к службе можно при помощи команды вида sc sdset [имя службы] [дескриптор безопасности]. Просмотреть же текущие права доступа к службе можно при помощи команды вида sc sdshow [имя службы].

Эти команды в качестве дескриптора безопасности используют строку в формате SDDL, имеющую формат D:([A (разрешить права доступа) или D (запретить права доступа)];;[строка разрешений];;;[SID или акроним SID])…. Например, D:(A;;CCLCSWLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO ;;;BA)(A;;CCLCSWLO;;;IU)(A;;CCLCSWLO;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD).

Строка разрешений состоит из двухбуквенных сочетаний, каждое из которых определяет определенное право доступа, предоставляемое (или запрещаемое) пользователю, имеющему указанный SID. Акроним SID также представляет собой двухбуквенное сочетание, которое идентифицирует одну из стандартных учетных записей или групп пользователей.

Например, давайте рассмотрим первую часть дескриптора безопасности, представленного выше — (A;;CCLCSWLORC;;;AU). Данная часть дескриптора безопасности разрешает (A) всем прошедшим проверку пользователям (AU) следующие возможности: просмотр настроек службы (CC), просмотр состояния работы службы (LC), просмотр служб, зависящих от данной (SW), опрос службы (LO) и чтение разрешений службы (RC).

Описание двухбуквенных сочетаний и акронимов, которые могут указываться в строке состояния, в данной статье приведено не будет. Вы можете самостоятельно найти описания двухбуквенных сочетаний в базе знаний Microsoft. Однако, скорее всего, это вам не понадобится, ведь изменить права доступа к службам можно намного проще — при помощи уже рассмотренных нами выше шаблонов безопасности.

Итак, чтобы изменить права доступа к определенной службе, достаточно при помощи оснастки Шаблоны безопасности создать новый шаблон безопасности (либо воспользоваться уже существующим), после чего перейти к разделу шаблона Системные службы.

После этого перед вами отобразится список всех доступных в операционной системе служб. В этом списке нужно выбрать нужную вам службу, после чего воспользоваться командой Свойства ее контекстного меню. В появившемся после этого диалоге (рисунок 4) установите флажок Определить следующий параметр политики в шаблоне, а потом нажмите на кнопку Изменить параметры…. Это приведет к отображению диалога настройки прав доступа.

Привилегии служб

Нововведением Windows Vista является то, что службы в ней, также как и группы либо отдельные учетные данные, могут обладать привилегиями. Сделано это было для того, чтобы уменьшить общие права служб. То есть, если службе нужна только определенная привилегия, тогда вместо того, чтобы запускать службу от имени системы (как было в предыдущих версиях Windows), выполняется запуск с учетной записью локальной или сетевой службы, но с предоставлением отдельной привилегии.

Изменить привилегии, предоставляемые службе, можно при помощи команды sc privs [имя службы] [привилегии]. Просмотреть же назначенные привилегии служб можно при помощи команды вида sc qprivs [имя службы].

Также просмотреть привилегии служб, а также их описание, можно по адресу www.onestyle.com.ua/online.php?p=141.

Отключаем ненужные службы

Итак, мы с вами рассмотрели общие вопросы работы со службами. Теперь же давайте подумаем над вопросом, который мучает не одного пользователя операционной системы Windows Vista — какие службы лучше отключить, чтобы и функциональность операционной системы не снизилась, и при этом существенно повысилась ее производительность.

В этой статье мы с вами рассмотрим только стандартные службы, запускаемые автоматически. Такие службы (по мнению автора) представлены в трех разделах ниже.

Основные службы, которые можно отключить Итак, службы, отключение которых можно выполнить большинству пользователей.

  • Автономные файлы. Используется для создания автономных файлов. То есть, сетевых файлов, к которым вы сможете получить доступ даже в том случае, если сеть в данный момент недоступна. Если вы не используете эту возможность, тогда нет смысла и в работе данной службы.
  • Веб-клиент. Используется программами и компонентами Windows для получения доступа к интернету. Например, для публикации изображений или печати фотоснимков. Как правило, пользователям, проживающим не в Америке, все возможности, предоставляемые данной службой, без надобности. Поэтому эту службу лучше отключить.
  • Клиент отслеживания изменившихся связей. Используется для проверки и автоматического исправления путей в ярлыках при перемещении оригинальных файлов, на которые ссылаются ярлыки, с одного тома NTFS на другой. Данную службу можно отключить.
  • Обозреватель компьютеров. Используется для построения списка компьютеров, доступных в сети. Если у вас нет сети, тогда нет смысла и в работе данной службы. Если же сеть есть, тогда для корректной работы возможности построения списка компьютеров сети достаточно лишь одного компьютера со включенной службой Обозреватель компьютеров. Поэтому на остальных компьютерах данную службу можно отключить.
  • Определение оборудования оболочки. Реализует возможности работы механизмов автозапуска и уведомления компонентов Windows о подключении дополнительных устройств. Данную службу можно отключить.
  • Служба ввода планшетного ПК. Используется на планшетных ПК (монитор которых поддерживает возможности ввода при помощи пера). На обычных компьютерах и ноутбуках эту службу лучше отключить.
  • Служба времени Windows. Используется для синхронизации времени с серверами Интернета. Если вы не используете эту возможность, службу можно отключить.
  • Служба регистрации ошибок Windows. Используется для отправки отчетов об ошибках в Windows. Если вы не хотите отправлять отчеты об ошибках, данную службу можно отключить.
  • Центр обеспечения безопасности. Используется для наблюдения за настройками безопасности компьютера и уведомления пользователей о том, что какая-либо сделанная пользователем настройка может отрицательно повлиять на безопасность компьютера. Назначение данной службы довольно интересно, а вот реализация малофункциональна и совершенно без надобности для опытных пользователей, поэтому данную службу можно отключить.

Дополнительные службы, которые можно отключить Службы, отключение которых нужно производить выборочно (если функциональность службы вам не нужна).

  • DHCP-клиент. Данную службу можно отключить, если для назначения IP-адресов компьютеров сети вы не используете DHCP-сервер. Однако данную службу нельзя отключать, если вы используете возможности синхронизации компьютера с КПК или коммуникатором. В противном случае Windows не сможет обнаружить подключенный коммуникатор.
  • Вторичный вход в систему. Предназначена для запуска программ от имени другого пользователя. Если вы работаете от имени администратора, не используя программу runas.exe, тогда эту службу можно отключить.
  • Диспетчер печати. Используется принтером для организации и хранения в памяти очереди документов, назначенных на печать. Если у вас нет принтера, тогда смысла в работе данной службы нет.
  • Доступ к HID-устройствам. Используется для взаимодействия и настройки клавиш быстрого доступа на устройствах манипуляции (клавиатуры, мыши). На данный момент, драйвера большинства клавиатур и мышей не поддерживают работу данной службы, предлагая альтернативные варианты решения этой проблемы. Поэтому данную службу можно отключить.
  • Защитник Windows. Если вы не пользуетесь стандартной программой Защитник Windows, предпочитая ей сторонние решения для поиска вредоносных программ, тогда данную службу необходимо отключить.
  • Информация о совместимости приложений. Выполняет проверку совместимости запускаемых вами программ. Особой необходимости в работе данной службы нет. Однако если вы ее отключите, тогда, возможно, так и не узнаете о несовместимой с Windows Vista программой до тех пор, пока при перезагрузке перед вами не отобразится экран BSOD.
  • Служба загрузки изображений Windows (WIA). Используется при работе сканера и цифровой камеры. Если у вас нет таких устройств, данную службу можно отключить.
  • Служба перечислителя переносных устройств. Используется для синхронизации файлов между съемными устройствами и стандартными программами Windows (например, проигрывателем Windows Media и мастером импорта рисунков).
  • Служба поддержки Bluetooth. Если вы не используете Bluetooth, данную службу можно отключить.
  • Службы терминалов. Если вы не используете службы терминалов, их возможности можно отключить.
  • Модуль запуска службы Windows Media Center. Если вы хоть раз запускали оболочку Windows Media Center, тогда данная служба будет запускаться автоматически. Если же вы больше не намерены запускать оболочку Windows Media Center, данную службу лучше отключить.
  • Служба медиаприставки Windows Media Center. Если вы хоть раз запускали оболочку Windows Media Center, тогда данная служба будет запускаться автоматически. Если же вы больше не намерены запускать оболочку Windows Media Center, данную службу лучше отключить.
  • Поиск Windows. Используется для индексации файлов с целью ускоренного поиска. Данная служба очень сильно загружает компьютер, поэтому если вы готовы пожертвовать функцией индексации ради повышения производительности, данную службу можно отключить.
  • Служба общих сетевых ресурсов проигрывателя Windows Media. Используется механизмом общего доступа к библиотеке проигрывателя Windows Media. Если вы не пользуетесь данной функцией, эту службу лучше отключить.

Службы, которые можно отключить, если у вас нет сети Службы, которые можно отключить в том случае, если ваш компьютер не подключен к сети.

  • Рабочая станция. Используется для подключения к общим ресурсам удаленного компьютера. Данная служба необходима для работы с общими ресурсами, однако в ней нет необходимости при работе с Интернет.
  • Сервер. Используется для создания общих ресурсов на компьютере, и подключения к ним. Данная служба необходима для работы с общими ресурсами, однако в ней нет необходимости при работе с Интернет.
  • Служба автонастройки WLAN. Используется для автоматического обнаружения беспроводных устройств. Если у вас нет беспроводных устройств, данную службу лучше отключить.
  • Служба интерфейса сохранения сети. Используется для подключения к сети.
  • Служба сведений о подключенных сетях. Собирает сведения о подключениях к сети, уведомляя программы об изменениях в сети.
  • Служба списка сетей. Собирает сведения о сетях, к которым подключен компьютер.

По адресу www.onestyle.com.ua/project.php?u=44 можно найти три шаблона безопасности: basic.inf, more.inf и network.inf. Эти шаблоны позволяют автоматически отключить все службы, перечисленные в разделах выше (каждый шаблон определяет службы, представленные в отдельном разделе).

Что делать после отключения служб?

Итак, вы отключили службы, которые, как вам показалось, совершенно не нужны для работы вашей операционной системы. Что же делать дальше? Просто перезагружаться и продолжать работать в операционной системе? Конечно, можно и так, однако очень рекомендуется не забыть после отключения служб и перезагрузки компьютера просмотреть стандартный журнал Система (при помощи оснастки Просмотр событий) на наличие записей вида Служба [имя службы] является зависимой от службы [имя службы], которую не удалось запустить из-за ошибки…, либо других записей, говорящих об ошибках, связанных с отключением служб.

Если такие записи есть, тогда либо отключите и те службы, которые не могут работать без уже отключенных вами, либо включите отключенные ранее службы. Ведь регулярно возникающие ошибки неудачного запуска служб также замедляют процесс загрузки компьютера.

Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=102

В избранное