Windows Vista. Для профессионалов - читать бесплатно онлайн полную версию книги автора Роман Клименко (ч. 184)

Безопасность операционной системы

Управление приложениями

Тип запуска: вручную.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: appmgmts.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: AppMgmt.

Службы, необходимые для работы данной: нет.

Управляет установкой, удалением и перечислением приложений, которые были установлены с помощью групповых политик. Иными словами, после отключения данной службы пользователи не смогут устанавливать или удалять данные приложения.

Существует несколько параметров типа REGDWORD, управляющих работой данной службы. Все они расположены в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Diagnostics.

• RunDiagnosticLoggingApplicationManagement – определяет, будет ли выполняться запись сведений о работе данной службы.

• AppMgmtDebugLevel – указывает уровень слежения за работой данной службы (какая информация о работе службы будет сохраняться).

• AppMgmtDebugBreak – определяет, разрешено ли прекращать слежение за работой данной службы.

Кроме того, служба Управление приложениями также может записывать сведения о своей работе в файл журнала appmgmt.log, расположенный в каталоге %SystemRoot% \ Debug \ Us erMode.

Служба базовой фильтрации

Тип запуска: автоматически.

Учетная запись: локальная служба.

Дополнительные привилегии: SeAuditPrivilege, SeImpersonatePrivilege.

Файлы службы: bf е. dll.

Исполняемый файл: svchost.exe – k LocalServiceNoNetwork.

Подраздел реестра: BFE.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Эта служба управляет работой встроенного брандмауэра Windows и службы IPSec, а также пользовательскими фильтрами брандмауэра. Для отключения данной службы необходимо отключить и службы Маршрутизация и удаленный доступ, Агент политики IPSec, Брандмауэр Windows и Модули ключей IPSec для обмена ключами в Интернете и протокола IP с проверкой подлинности.

Изоляция ключей CNG

Тип запуска: вручную.

Учетная запись: система.

Дополнительные привилегии: нет.

Файлы службы: нет.

Исполняемый файл: lsass.exe.

Подраздел реестра: Key I so.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Данная служба является частью процесса lsass.exe и выполняет изоляцию личных ключей пользователей от запущенных процессов в специальном хранилище.

Службы криптографии

Тип запуска: автоматически.

Учетная запись: сетевая служба.

Дополнительные привилегии: SeChangeNotifyPrivilege, SeCreateGlobalPrivilege, SeImpersonatePrivilege.

Файлы службы: cryptsvc.dll.

Исполняемый файл: svchost.exe – k NetworkService.

Подраздел реестра: CryptSvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Выполняет следующие действия: управляет базой данных каталога цифровых подписей всех файлов Windows (требуется для установки нового программного обеспечения), управляет восстановлением, добавлением и удалением сертификатов на данном компьютере, поддерживает работу протокола SSL. После отключения данной службы все эти возможности операционной системы будут работать некорректно.

Клиент групповой политики

Тип запуска: автоматически.

Учетная запись: система.

Дополнительные привилегии: SeImpersonatePrivilege, SeTcbPriviLege, SeTakeOwnershipPriviLege, SelncreaseQuota Privilege, SeAssign Primary Token Privilege, SeSecurityPriviLege, SeChangeNotifyPrivilege, SeCreatePermanentPrivilege.

Файлы службы: gpsvc.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: gpsvc.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RPCSS), Multiple UNC Provider (Мир).

Если раньше работа групповых политик осуществлялась с помощью процесса winlogon.ехе, то теперь для этого предназначена отдельная служба. Она управляет применением групповых политик и определением медленного подключения (при низкой скорости подключения выполняется периодическое применение не всех групповых политик домена, а только основных из них). При этом также изменился способ определения медленного подключения (раньше применялся запрос протокола ICMP, однако это могло вызвать проблемы, так как многие администраторы блокируют передачу ответов на ICMP-запросы).

Кроме того, был изменен способ обнаружения контроллера домена. Теперь для этого применяется обработчик NLA 2.0, который оповещает службу Клиент групповой политики о доступности домена.