5-02-05 02:38
[MS Windows] Servisi
piše BORIS TROJAN
Servis koristi neki korisnički račun da bi mogao pristupiti resursima i objektima operacijskog sistema. Kod većine zadanih sistemskih servisa korisnički račun se ne mijenja jer bi to dovelo do pada servisa. Ako je za rad servisa odabran korisnički račun koji nema sistemske dozvole log on as a service, snap-in Services MMC konzole tu dozvolu automatski dodjeljuje tom korisničkom računu. Međutim, to opet ne jamči da će se servis uspješno pokrenuti. Važno je znati da promjena zadanih postavki servisa može utjecati na njegov rad. Posebno je bitno biti oprezan kod promjena postavki Startup type i Log on as onih servisa koji su konfigurirani da se pokreću automatski. Vrijednosti načina pokretanja servisa mogu biti: Automatic, Manual i Disabled.
Neki servisi tu vrijednost mijenjaju obzirom na stanje posla koji obavljaju. Zadana postavka može biti Manual, u trenutku zadavanja posla mijenja se u Automatic, a nakon što su poslovi dovršeni ili prekinuti, postavka će biti vraćena na Manual. Svaki je servis ili aplikacija potencijalna meta napada. To je smisao načela da je poželjno deaktivirati (disable) ili ukloniti svaki suvišni servis ili .exe datotek u mrežnoj okolini. Konfiguracija servisa preko Group Policy Object editora izvodi se u:
Computer Configuration\Windows Settings\Security Settings\System Services\
Operacijski sistem Windows ima u sebi tri lokalna korisnička računa koji se koriste za logiranje različitih sistemskih servisa:
Local System: ovaj korisnički račun ima potpuni pristup sistemu i na mreži djeluje kao računalo. Ako servis koristi ovaj korisnički račun na domenskom kontroleru, automatski će imati pristup na čitavoj domeni. Neki su servisi konfigurirani da zadano koriste ovaj korisnički račun i njega ne treba mijenjati. Ime je ovom korisničkom računu LocalSystem i nema zaporku.
Local Service: ovo je poseban, ugrađeni korisnički račun čije su karakteristike slične korisničkom računu authenticated user. Ovaj korisnički račun ima isti nivo dozvola prema resursima i objektima kao i korisnički račun koji je član grupe Users. Ovako ograničen pristup osigurava zaštitu sistema u slučajevima pojedinačnog kompromitiranja servisa ili procesa. Servisi koji rade pod korisničkim računom Local Service pristupaju mrežnim resursima kao anonymous i kao null sesija. Ime ovog korisničkog računa je NT AUTHORITY\LocalService i nema zaporku.
Network Service: ovo je poseban, ugrađeni korisnički račun karakteristika sličnih korisničkom računu authenticated user. Tom korisničkom računu dodijeljena je ista razina dozvola prema resursima i objektima kao i korisnički račun koji je član grupe Users. Servisi koji rade pod korisničkim računom Network Service pristupaju mrežnim resursima s autoritetom korisničkog računa computer. Ime tog korisničkog računa je NT AUTHORITY\NetworkService i nema zaporku.
Organizacija rada servisa unutar Windows operacijskog sustava opisana je na portalu u već objavljenom članku "Svchost.exe in Windows 2000". Također, u članku "WSREMOTE kao servis i shell" opisana je procedura pokretanja nezavisne .exe aplikacije kao servisa.
|