Повышение безопасности путем оптимизации сервисов

Сетевой экран (брандмауэр, firewall). Сейчас трудно найти пользователя компьютера, который не знает назначения данного программного девайса. Практически любой скажет, что сетевой экран — это программа, необходимая для безопасной работы в сети. Но не каждый знает, каким образом это достигается. А достигается безопасность путем проведения комплекса мероприятий, куда входит фильтрация трафика, контроль программ, контроль портов и т.д.

Сегодня я бы хотел подробнее остановиться именно на портах. Ведь открытый порт — это отверстие в вашей системе безопасности, через которое, как выражается один мой хороший друг, не только все слышно, но и видно. В детище дяди Билла открытый порт обычно говорит о том, что его юзает какая-то служба. Служб у винды немало, но при этом, думаю, многие со мной согласятся, что большая часть их никак не используется домашним пользователем. Тут возникает справедливый вопрос: а используют ли они ресурсы машины? Ответ: конечно, да! Исходя из вышесказанного, получаем такую картину: служба, совершенно нам не нужная, потребляет драгоценные ресурсы компьютера и при этом еще и держит открытым порт, чтобы всякие «нехорошие дядьки» шарили по нашей машине как по своей. И что делать? А ведь все проще простого: службу надо просто отключить.

Утилиты для работы со службами

Работать со службами можно двумя способами: используя утилиту services.msc или пользуясь командой «net start» в командной строке. Если с первой разберется любой, то по второй, я полагаю, не помешает небольшой комментарий на тему, что да как. Сложного ничего нет. Ввод этой команды без дополнительных параметров спровоцирует вывод на экран всех запущенных служб (см. рис. 1). Синтаксис довольно простой: вводим net start имя_службы. При работе в командной строке можно использовать либо приведенные ниже сокращения, либо полные русские названия служб, взятые в скобки типа «»:

Alerter — оповещатель;
Browser — обозреватель компьютеров;
Nwcworkstation — клиент для сетей NetWare;
Clipsrv — сервер папки обмена;
DHCP — DHCP-клиент;
Evebtlog — журнал событий;
Messenger — служба сообщений;
Netlogon — сетевой вход в систему;
NTLMSSP — поставщик поддержки безопасности NT LM;
RASMAN — диспетчер подключений удаленного доступа;
Remoteaccess — маршрутизация и удаленный доступ;
RPClocator — локатор удаленного вызова процедур RPC;
RPCSS — удаленный вызов процедур RPC;
SCHEDULE — планировщик заданий;
Server — сервер;
Spooler — диспетчер очереди печати;
Lmhosts — поддержка NetBIOS через TCP/IP;
UPS — источник бесперебойного питания;
Workstation — рабочая станция. 

Итак, как видим, пользуясь командной строкой, вы можете остановить и запустить службы или просмотреть, какие из них работают на вашей машине. Но для более детальной работы со службами вам необходима утилита services.msc (см. рис. 2).

Кого казнить, а кого помиловать?

Итак, теперь стоит вполне справедливый вопрос: какие службы отключить, а какие — нет? Ну, тут надо смотреть, исходя из потребностей каждого конкретного пользователя. И имейте в виду, что некоторым службам для нормального функционирования необходимы дополнительные службы во включенном состоянии. Поэтому внимательно читайте выскакивающие уведомления;). Начнем.

Adobe LM Service — по умолчанию служба отключена. Тип запуска поставлен на ручной. Ничего менять не будем.

Anti Hotkey Poller — служба по умолчанию работает. Функция отключения в контекстном меню отсутствует.

ATI Smart — по умолчанию отключена. Трогать не будем.

Bluetooth Service — эта вещь работает. Тут думать нечего: если часто пользуетесь «зубами», то, дабы не создавать себе лишних осложнений, не отключайте.

DHCP-клиент — данная служба управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен. Пусть работает, т.к. у нас достаточно много нужд, удовлетворяемых посредством работы с IP-адресами...

DNS-клиент — данная служба разрешает DNS-имена для этого компьютера. Мне она нужна, да и вам, думаю, не помешает.

MS Software Shadow Copy Provider — управление теневыми копиями тома. По умолчанию отключена. Пусть так и остается.

MSCSPTISRV — по умолчанию...

NetMeeting Remote Desktop Sharing — эта служба разрешает проверенным пользователям посредством программы NetMeeting получать удаленный доступ к рабочему столу Windows. Если кому-то это необходимо, в чем я сомневаюсь, то пусть включит. Мы же оставим ее в значении по дефолту, т.е. отключенной.

PACSPTISVR — оставляем по дефолту.

Plug and Play — думаю, комментарии излишни. Конечно, включена...

Portable Media Serial Number Service — из названия видно, что она нам ни к чему.

QoS RSVP — обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ. Обычному пользователю она не нужна; значение — выключена.

Telnet — служба, позволяющая удаленному пользователю входить в систему и запускать программы. Нужна немногим, но тем, кому необходима, я бы советовал включать по мере надобности.

Windows Audio — управление звуковыми устройствами для Windows-программ. По умолчанию работает. А без звука туговато будет. Оставляем… Windows Installer — думаю, всем понятно, что это такое. Я бы советовал включать только при необходимости.

Автоматическое обновление — пожалуй, самый «вредный» сервис, хотя… с какой стороны посмотреть. В общем, тут сами решение принимайте; я отключу.

Адаптер производительности WMI — не работает, ну и пусть.

Беспроводная настройка — автоматическая настройка 802.11-адаптеров. Тут все зависит от того, есть у вас вышеописанный адаптер или же нет. Брандмауэр Windows/Общий доступ к Интернету (ICS) — обеспечивает поддержку служб трансляции адресов, адресации и размещения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.

Веб-клиент — сервис, использующийся программами для изменения документов, хранящихся в сети Интернет. Веб-мастерам очень необходима, но другим ни к чему.

Вторичный вход в систему — вот эта вещь нам понадобится. Я думаю, что многие, работая от пользователя, запускали отдельные приложения путем нажатия правой кнопки мыши и выбора пункта Запуск от имени…

Диспетчер автоподключений удаленного доступа — создает подключения к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS- имени или адресу. Оставляем по дефолту.

Диспетчер логических дисков — обнаружение и наблюдение за новыми жесткими дисками и передача информации службе диспетчера логических дисков. По дефолту включена. Ресурсы потребляет, а польза от нее только при подключении нового винчестера. Короче, отключаем.

Диспетчер очереди печати — загружает в память файлы для последующей печати. В общем-то, она необходима только тогда, когда мы пользуемся принтером. Так что распечатали и выключили. Пусть чуть-чуть неудобно, зато машина побыстрее работает.

Диспетчер подключений удаленного доступа — создание сетевых подключений. По дефолту работает. Если вы активно ее юзаете, то пусть работает, в противном случае отключаем.

Диспетчер сеанса справки для удаленного рабочего стола — остановка означает невозможность работы с Удаленным помощником. По дефолту служба стоит — пусть стоит.

Диспетчер сетевого DDE — управляет общими сетевыми ресурсами динамического обмена данными DDE. Вероятность того, что кому-то это надо, весьма мала — отключена.

Диспетчер учетных записей безопасности — хранение информации о безопасности для учетной записи локального пользователя. Остановить эту службу нельзя, поэтому оставляем запущенной.

Журнал событий — поддержка сообщений журналов событий. Отключение запрещено системой.

Запуск серверных процессов DCOM — для работы с сетью (любой) данная служба понадобится.

Защищенное хранилище — обеспечивает защищенное хранение секретных данных — таких, как закрытые ключи — для предотвращения несанкционированного доступа служб, процессов или пользователей. Отключение этой службы повлечет не поднятие уровня безопасности, а, наоборот, его падение. 

Инструментарий управления Windows — по дефолту.

Клиент отслеживания изменившихся связей — поддержка связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене. Дефолт.

Модуль поддержки NetBIOS через TCP/IP — на мой взгляд, редкий пользователь (именно пользователь) использует NetBIOS, поэтому отключаем. Планировщик заданий — однозначно отключаем.

Рабочая станция — обеспечение поддержки сетевых подключений и связь. По дефолту.

Сервер — доступ к расшаренным ресурсам через сетевое подключение. Тут сами смотрите. Если предоставляете своим товарищам возможность скачивать информацию с вашего компьютера, то эта служба вам пригодится.

Сетевые подключения — по умолчанию.

Служба восстановления системы — выполнение функций восстановления системы.

Служба времени Windows — синхронизация даты и времени на всех клиентах и серверах сети. Отключаем.

Служба сетевого расположения (NLA) — собирает и хранит сведения о размещении и настройке сети. Собственно, данная служба не так и нужна. 

Службы IPSEC — управление политикой IP-безопасности и запуск ISAKMP/Oakkey (IKE) и драйвера IP-безопасности.

Службы криптографии — предоставляет три службы управления: службу баз данных каталога, которая проверяет цифровые подписи файлов Windows; службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корня центра сертификации; службу ключей, которая позволяет подавать заявки на сертификаты.

Службы терминалов — предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Отключаем.

Уведомление о системных событиях — протоколирует системные события — такие, как регистрация в Windows — в сети и изменения в подаче электропитания. Отключаем.

Удаленный вызов процедур (RPC) — обеспечивает сопоставление конечных точек и иных служб RPC.

Удаленный реестр — позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Отключаем незамедлительно.

Центр обеспечения безопасности — ведет наблюдение за настройками и параметрами безопасности системы. Оставляем.

Сетевой вход в систему — поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена. По дефолту.

Вот рекомендации по работе некоторых служб. Хочу напомнить, что количество служб может изменяться в зависимости от установки программ, оборудования и т.д. Например, установка антивируса, скажем, Касперского влечет за собой появление соответствующей службы.

Возможности services.msc 

Утилита предоставляет пользователю довольно большие возможности. Давайте рассмотрим некоторые ее свойства и значения параметров. Основное окно программы, как видно из скринсейвера, правое. Есть два основных режима работы: стандартный и расширенный. В расширенном режиме к каждой службе дается краткое пояснение о ее предназначении, анализируя которое, пользователь может сделать вывод о том, необходима она ему или нет. Список служб представлен в виде таблицы. Поподробней хотелось бы остановиться на колонке Тип запуска. Существует три типа запуска: автоматически, вручную и отключено. Сразу хочу сказать, что ни один из них не влияет на загрузку службы при запуске системы. Параметр Авто означает, что система в случае надобности сама включит службу. Параметр Вручную дает возможность пользователю самому включать службу, если вдруг она понадобилась. Весьма интересна вкладка Свойства в контекстном меню. Окно свойств состоит из четырех пунктов: общие, вход в систему, восстановление и зависимости. В пункте Общие мы можем узнать сокращенное имя службы, использующееся при работе с командой net start, адрес файла- ядра службы, а также тип запуска. Вход в систему позволяет настроить Автозагрузку службы. На выбор предоставляются два варианта загрузки: с системной учетной записью и с учетной записью, определенной пользователем. Также из этого пункта можно запретить или разрешить загрузку службы с определенными профилями оборудования. Восстановление определяет действия компьютера при сбое службы. Действия можно определить в три последовательности: первый сбой, второй сбой и последующие сбои. Возможен сброс счетчика сбоев через определенное количество дней. Последний пункт называется Зависимости и содержит список компонентов, от которых зависит служба, и список компонентов, которые зависят от службы. Работу по остановке, запуске, приостановке и т.д. можно осуществлять из контекстного меню, вызванного правой клавишей мыши. В меню окна Действие имеются две интересные закладки, которые будут полезны в первую очередь системному администратору. Это Подключиться к другому компьютеру и Отправить сообщение консоли. Особенно полезна первая (см. рис. 3).

Управление автозагрузкой служб 

Для редактирования списка автозагрузки служб используется утилита конфигурирования системы, которая вызывается вводом команды msconfig в консоли Выполнить. Утилита довольно проста в управлении, и, я думаю, практически все пользовались ей для редактирования списка автозагрузки программ. После появления главного окна утилиты выбираем пункт Службы (см. рис. 4) и приступаем к редактированию. У утилиты имеется очень интересная настройка, которая располагается внизу и носит название Не отображать службы Майкрософт. С помощью этой функции очень удобно вычислять службы сторонних программ.

Выводы 

Как уже говорилось, каждая служба которая так или иначе использует сеть, работает с портом. Порт же — это лазейка. Для наглядности предоставляю два скринсейвера (см. рис. 5, 6), показывающих открытые порты до отключения служб и после. Отсюда следует, что ненужные службы следует выключить (от греха подальше:)). Однако главное — не переусердствовать.

Если вы не знаете, как поведет себя компьютер после отключения конкретной службы, то лучше этого не делать. Но эксперементировать все-таки можно, т.к. перезагрузка компьютера возвратит службы к жизни. 

Да и если найти оптимальный для вас вариант работающих служб, можно довольно ощутимо ускорить работу системы. Поэтому не пожалейте пару часиков и проверьте ваши службы:).

Удачи...