După ce instalați Windows pe un computer, acesta începe imediat un număr mare de servicii. Aceste servicii formează nucleul sistemului de operare și mijloacele pentru calculator. În plus față de serviciile de bază, puteți rula, de asemenea, un număr mare de servicii necesare pentru funcționarea aplicațiilor instalate. Există un număr foarte mare de produse Microsoft și dezvoltatori terți care instalează serviciul pe computer. Exemplele includ Exchange, SQL, SMS-uri, programe de backup, precum și programe de guvernare corporativă. pentru că mulți hackeri pot exploata vulnerabilități în serviciile de funcționare, pe care doriți să le protejați necesare pentru operarea serviciului și a dezactiva toate serviciile neutilizate. Vom vorbi despre modul de a gestiona serviciile pentru protecția calculatorului.
Timp de mulți ani, acest subiect a fost subiectul discuțiilor de la Microsoft. Administratorii și persoanele care se ocupă de securitate, nu-i plăcea faptul că Internet Information Services ruleaza pe servere Windows în mod implicit. Din motive de securitate, altele Information Services, plângerea a fost (în special controlere de domeniu) valabile.
Pentru a răspunde la această întrebare, trebuie să ne uităm la structura serviciilor de control pentru a se asigura că știm ce putem controla prin intermediul serviciului. De asemenea, trebuie să se uite la serviciul de bază, să știe că putem, și care nu pot fi eliminate de pe computer. În cele din urmă, vom învăța modalități diferite de a gestiona servicii și configurația lor.
Structura de gestionare a serviciilor
Service Management are sens doar când ați înțeles pe deplin tinctura pentru serviciul de gestionare. Există un număr de opțiuni ascunse disponibile pentru toate serviciile care sunt dificil de a vedea în interfața. Alte servicii ușor pentru a vedea și de a înțelege, dacă știi unde să te uiți.
Stare - Aceasta este starea actuală a serviciului. Aici puteți vedea sau difuzate sau <пусто>. <пусто> Aceasta înseamnă că serviciul nu se execută și este în prezent închis temporar. Cu cât mai mult <пусто>, cu atât mai sigură computerul este. Este evident că mai mici serviciul rulează, cu atât mai puțin probabil să atace calculatorul.
Dar, doar pentru că serviciul nu se execută, în cazul în care face computerul protejat de serviciu? Răspunsul este - nu. Motivul pentru aceasta constă în faptul că fiecare serviciu poate fi rulat dacă este configurat să facă acest lucru. Acesta este cazul atunci când tipul de pornire este de asemenea important. Există trei opțiuni pentru tipul de declanșare:
- Automat - pornește serviciul la pornirea computerului. Cele mai multe dintre serviciile necesare, pe care le investighează, necesită modul de pornire să fie efectuate în timpul încărcării și imediat după.
- Manual - această opțiune nu pornește serviciul după încheierea procesului de descărcare. El ține serviciul de la pornirea atâta timp cât el nu are nevoie. Serviciul poate fi pornit în moduri diferite. Acest lucru poate fi un proces automat, cum ar fi instalarea unei aplicații sau a lansa un serviciu dependent. Serviciul poate fi pornit și manual de către un administrator prin clic dreapta pe serviciul și selectați din meniul Start.
- Pentru persoane cu handicap - acest lucru nu permite ca serviciul să fie lansate manual sau automat. Singura modalitate de a porni serviciul, situat în statul - este de a schimba tipul de pornire de serviciu la Automat sau Manual, și numai apoi începe serviciul.
Există două setări pentru servicii care nu sunt vizibile în consola Computer Management. În primul rând, unele servicii pot fi eliminate, în loc de pur și simplu deconectați. După cum vă puteți imagina, în cazul în care nu este nevoie de serviciu, de ce-l lăsați pe computer. este imposibil pentru unele servicii. Servicii, cum ar fi Alterer, Clipbook, Messenger, și Telnet nu poate fi eliminat. Există, de asemenea, alte servicii, cum ar fi File Transfer Protocol și Wide serviciu de publicare World, care pot fi eliminate de pe computer.
Al doilea - o listă de control al accesului de serviciu (Access Control List sau ACL). ACL nu este vizibil din interfața, se poate vedea prin rularea unui script sau prin utilizarea unui instrument, cum ar fi SVCACLS.EXE Kit pentru Windows Resource. Schimbarea ACL serviciului, puteți controla cine poate porni, opri și de a gestiona serviciul.
Ce servicii am nevoie?
Prima întrebare pe care am cere mereu este: „Ce servicii am nevoie pentru a începe“ Aceasta este o problemă foarte dinamică și complexă. Cu toate acestea, permiteți-mi să vă dau o recomandare care va ajuta să răspundă la această întrebare. În primul rând, serviciile mai mici, cu atât mai bine pentru securitate. În al doilea rând, mai multe servicii, mai mult funcționalitatea. După cum puteți vedea, aceste două concepte sunt în contradicție unele cu altele. Prin urmare, în primul rând determina ce sunt necesare servicii, serverul face treaba. Dacă administratorii utilizați Telnet pentru a controla de la distanță computerul, iar compania va pierde milioane de dolari în cazul în care serviciul nu funcționează, Telnet - acesta este un serviciu foarte important pentru compania dumneavoastră, deși nu este foarte sigur.
- controlere de domeniu (DC)
- servere de infrastructură (infrastructura de servere)
- servere de fișiere (server de fișiere)
- Print servere (server de imprimare)
- servere IIS
- servere IAS
- Servicii Certificate servere
- gazde Bastion
- Clienți (clienți)
de gestionare a serviciilor
Acum, că v-ați decis pe care ar trebui să fie executați servicii și ce nu, și cu ce parametri trebuie să fie în diverse servicii, este necesar să se rezolve problema de modul de a gestiona în mod eficient serviciul? Compania dvs. poate totaliza mii de clienți și sute de servere pe care doriți să le gestionați. Prin urmare, ia în considerare operația manuală nu este logic.
Prima opțiune pe care ar trebui să ia în considerare - este de a utiliza politica de grup (Group Policy) pentru a gestiona servicii. Prin utilizarea capacităților de politică de grup pentru a gestiona simultan mai multe calculatoare, este o modalitate foarte bună pentru setările serviciilor de tincturi. Cu politica de grup, puteți seta tipul de pornire de serviciu și ACL, așa cum se arată în figura 2.
Figura 2: Politica de grup permite control tip de declanșare și ACL serviciu instalat.
Setările de politică de grup Microsoft au capacități extinse de gestionare a corporației, dar puteți vedea că ei neglijează configurația contului de serviciu. Pentru a gestiona contul de serviciu și parola acestuia, puteți utiliza această soluție ca Standard Edition politician. așa cum se arată în figura 3.
, Figura 3: Standard Edition poate decizie politică în domeniul configura conturile de servicii și parole.