Службы Windows, влияющие на безопасность

Службы (Services) - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.
При стандартной установке Windows XP Professional в систему инсталлируется порядка 80-ти разнообразных служб. И несмотря на то, что не все из них запускаются автоматически, количество работающих по умолчанию всё равно кажется слишком завышенным, если учесть, что значительная часть от общего числа уязвимостей, когда-либо обнаруженных в этой ОС, приходится именно на системные службы. К тому же, в домашних условиях во многих работающих по умолчанию службах просто нет никакой необходимости.
По этим и ряду других причин, связанных с оптимизацией работы компьютера, все неиспользуемые вами службы рекомендуется отключить. Более того, отключение ненужных служб и функций — один из самых эффективных способов защиты от возможных нападений.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:


Пуск (Start) > Панель Управления (Control Panel) > Администрирование (Administrative Tools) > Службы (Services)

Либо запустив из командной строки services.msc:

Пуск (Start) > Выполнить (Run) > копируем в строку: services.msc > нажимаем ОК или клавишу ENTER
 

Список установленных на компьютере служб
Список установленных на компьютере служб

Эта консоль, помимо просмотра текущего состояния и описания всех служб, позволяет остановить, возобновить или отключить каждую из них, задать действия по восстановлению на случай сбоя, выполнить настройку для конкретного профиля оборудования, изменить тип запуска и многое другое. Но нас, в первую очередь, будет интересовать последняя из перечисленных возможностей.
Итак, для каждой службы существует три варианта запуска:

  • Авто (Automatic) - служба запускается автоматически во время загрузки ОС;
  • Вручную (Manual) - служба запускается автоматически, в том случае, когда какой-либо процесс вызывает функцию StartService;
  • Отключено (Disabled) - служба не может быть запущена - попытки запустить службу закончатся неудачей.
Чтобы изменить значение типа запуска, установленное по умолчанию, кликните по нужной службе двойным нажатием мыши и в открывшемся окне свойств в первой закладке - "Общие" ("General") - выберите желаемый "Тип Запуска" ("StartUp Type"):

Изменение
Изменение "Типа Запуска" службы.

Ниже приведен основной список служб в алфавитном порядке, для которых "Тип Запуска" рекомендуется установить в положение "Отключено" (однако в качестве общего правила нужно принять, что необходимо отключить все неиспользуемое!):

  • Беспроводная настройка (Wireless Zero Configuration) - отключаем за полной ненадобностью в том случае, если у вас нет адаптеров беспроводной связи, и вы не собираетесь использовать "нулевую" конфигурацию беспроводной сети (WZCS key handling).
  • Веб-клиент (WebClient) - позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV* (использование Web Publishing Wizard для публикации данных в Интернет).
    Web Publishing Wizard
    Web Publishing Wizard

    На просмотр ресурсов в Интернете отключение этой службы никак не влияет, поскольку она используется только для WebDAV-подключений, к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы "Веб-клиент" (MS06-008).
  • Диспетчер очереди печати (Print Spooler) - отвечает за обработку, планирование и распределение документов, предназначенных для печати. Обязательно отключаем в том случае, если у вас нет принтера (MS05-043, US-CERT VU#914617).
  • Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) - управляет возможностями удаленного помощника. Отключите, если не используете эту функцию (MS05-041).
  • Диспетчер сетевого DDE** (Network DDE DSDM) - управляет общими ресурсами сетевого динамического обмена данными (DDE).
  • Маршрутизация и удаленный доступ (Routing and Remote Access) - обеспечивает многопротокольные функции маршрутизации, подключения удаленного доступа и удаленного доступа по сети VPN (MS06-025).
  • Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service) - данная служба необходима при совместном использовании ресурсов и сетевой печати. Отключите, если у вас нет необходимости в этих функциях.
  • Обозреватель компьютера (Computer Browser) - обеспечивает функционирование списка Windows-доменов, компьютеров в масштабе всей сети и других аппаратных устройств, совместимых с протоколом NetBIOS. Для обычных пользователей и домашних компьютеров эта служба полностью бесполезна (MS05-007).
  • Оповещатель (Alerter) - посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна (CVE-1999-0630).
  • Планировщик заданий (Task Scheduler) - позволяет составлять расписание для запуска программ, скриптов или резервного копирования (Пуск/Start > Программы/Programs > Стандартные/Accessories > Служебные/System Tools > Назначенные задания/Scheduled Tasks):
    Использование планировщика заданий
    Использование планировщика заданий Windows

    Если вы никогда не используете назначенные задания, то отключите эту службу (MS04-022; используется некоторыми вирусами для автозагрузки, пример: Trojan.Bookmarker.C).
  • Сервер (Server) - выполняет основные функции сервера: обеспечивает совместное использование файлов, принтеров, именованных каналов в сети. Если у вас нет необходимости открывать доступ к вашим файлам и принтерам, обязательно отключаем (MS06-035, MS06-040, MS06-063).
  • Сервер папки обмена (ClipBook) - позволяет просматривать содержимое папки буфера обмена удаленным пользователям.
    Просмоторщик буфера обмена*** (ClipBook Viewer) открывается следующим образом: Пуск (Start) > Программы (Programs) > Стандартные (Accessories) > Окно папки обмена (ClipBook Viewer); либо в верхнем меню программы Acrobat Reader: Window > Clipboard Viewer. Если вы не хотите ни с кем обмениваться этой информацией, то отключите данную службу.
  • Сетевой вход в систему (Net Logon) - данная служба обеспечивает безопасность проверки подлинности пользователя при подключении его компьютера к домену. Если ваш компьютер не входит в домен, отключите её.
  • Служба индексирования (Indexing Service) - индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, что позволяет производить поиск любого слова или фразы, которые содержатся в документах пользователя. Обычный поиск файлов после отключения этой службы не замедляется (MS06-053).
  • Служба обнаружения SSDP (SSDP Discovery Service) - выполняет поиск устройств UPnP**** в домашней сети. Обязательно отключаем в случае, если вы не работаете с сетевыми устройствами (MS01-059).
  • Служба сообщений (Messenger) - отправляет и получает сообщения, переданные администратором или службой оповещений. При отсутствии сети (и соответственно администратора) абсолютно бесполезна (никакого отношения к программе Windows/MSN Messenger, эта служба не имеет). Также желательно отключить для того, чтобы запретить net send сообщения для скрытия вашего компьютера от автоматизированных спам рассылок (MS03-043).
  • Служба сетевого DDE (Network DDE) - обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) для программ, выполняющихся на локальном или удаленных компьютерах.
    Конфигурации DDE
    Конфигурации DDE (%WINDIR%system32ddeshare.exe)

  • Службы терминалов (Terminal Services) - предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру, является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей и удаленного помощника (MS05-041, MS07-006).
  • Службы IPSEC (IPSEC Services) - данная служба обычно используется для шифрования IP-трафика между рабочей станцией и доменом, а также для VPN-соединений. Если вы не входите в домен и у вас нет VPN-сети, данную службу можно отключить.
  • Удаленный реестр (Remote Registry Service) - позволяет удаленным пользователям изменять параметры реестра на вашем компьютере.
  • Узел универсальных PnP-устройств (Universal Plug and Play Device Host) - обеспечивает поддержку и управление UPnP-устройствами. Отключите, если вы не подключаете к своей сети какие-либо устройства UPnP (MS01-059).
  • NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing) - обеспечивает удаленный доступ соответствующим пользователям к рабочему столу Windows с других компьютеров с помощью программы Windows NetMeeting (программа NetMeeting предназначена для проведения аудио и видеоконференций в сети). Отключаем, если не используется (MS05-041, MS04-011).
  • Telnet (Telnet) - обеспечивает возможность соединения и удалённой работы в системе по протоколу Telnet (Teletype Network) с помощью командного интерпретатора. Не использует шифрование и поэтому очень уязвим для атак при применении его в сети (MS05-003).

 
И в заключении несколько советов по данной теме:

  • Одним из способов определить, какие службы должны запускаться в вашей системе автоматически, может быть временное изменение типа запуска каждой из них на положение "Вручную" (единственное исключением из всего списка будет служба "Удаленный вызов процедур (RPC)"/"Remote Procedure Call (RPC)", так как тип её запуска не может быть изменен пользователем через консоль services.msc). После перезагрузки запустятся только те службы, в которых действительно есть обязательная необходимость.
  • Некоторые службы могут зависеть друг от друга. Об этом важно знать по причине того, что любая остановка или перезапуск службы всегда оказывает влияние и на службы, зависящие от нее. Поэтому перед тем как отключить какую-либо службу, желательно убедиться, что её работа не требуется для функционирования каких-либо нужных вам служб и приложений.
     
    Для просмотра зависимостей нужно, открыв свойства службы, перейти в последнюю закладку - "Зависимости" ("Dependencies"). Верхний список будет показывать службы, от работы которых зависит функционирование выбранной. И нижний список, наоборот, содержит службы, которые находятся в зависимости от данной.
    Отсутствие каких-либо зависимостей в некоторых случаях может помочь вам при выборе решения об отключении.
  • Список всех запущенных служб и соответствующих им процессов можно получить с помощью команды tasklist /svc:
    Пуск (Start) > Выполнить (Run)
    Вписываем: cmd
    Нажимаем ОК или клавишу ENTER.
    В появившемся приложении вводим команду: tasklist /svc
    И нажимаем на клавишу ENTER.
     
    Результат будет получен примерно в следующем виде:

    tasklist /svc

  • В качестве удобных инструментов для работы со службами можно использовать следующие бесплатные утилиты:

_________________________
* WebDAV (Web Distributed Authoring and Versioning) - это современный и защищённый сетевой протокол высокого уровня, расширяющий и работающий поверх HTTP (Hypertext Transfer Protocol) для управления и более удобной работы с файлами и документами между компьютерами в Интернет.
** Динамический обмен данными (DDE) был одной из первых технологий, с помощью которой оказался возможным обмен информацией между приложениями. Позднее механизм DDE был заменен на автоматизацию OLE; тем не менее, DDE все еще поддерживается для совместимости с устаревшими приложениями.
*** Буфер обмена находится в активном состоянии в течение всего времени вашей работы в Windows. К примеру, когда вы выделяете текст или какие-то графические элементы внутри программы и затем даете команду "Копировать" ("Copy") или "Вырезать" ("Cut"), вы перемещаете всю выбранную информацию в буфер обмена (Clipboard). По команде "Вставить" ("Paste") содержимое буфера обмена копируется в приложение.
**** UPnP (Universal Plug and Play) - это универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.