Руководство по безопасной настройке и контролю сертифицированной версии зао «алтэкс-софт», 2011



Скачать 15.71 Kb.
Pdf просмотр
страница11/14
Дата26.11.2016
Размер15.71 Kb.
Просмотров2063
Скачиваний0
ТипРуководство
1   ...   6   7   8   9   10   11   12   13   14
Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
147
Системная служба
Имя службы
Режим запуска службы в конфигурации
«Enterprise Client»
«Specialized Security
– Limited
Functionality»
NetBIOS через TCP/IP
Телефония
TapiSrv
Запрещен
Запрещен
Служба Telnet
TlntSvr
Запрещен
Запрещен
Службы терминалов
TermService
Автоматически
Автоматически
Лицензирование служб терминалов
TermServ-
Licensing
Запрещен
Запрещен
Каталог сеанса служб терминалов
Tssdis
Запрещен
Запрещен
Темы
Themes
Запрещен
Запрещен
Источник бесперебойного питания
UPS
Запрещен
Запрещен
Диспетчер отгрузки
Uploadmgr
Запрещен
Запрещен
Служба виртуальных дисков
VDS
Запрещен
Запрещен
Теневое копирование тома
VSS
Вручную
Вручную
Веб-клиент
WebClient
Запрещен
Запрещен
Windows Audio
AudioSrv
Запрещен
Запрещен
Windows Installer
MSIServer
Автоматически
Автоматически
Инструментарий управления Windows
Wmi
Вручную
Вручную
Служба времени Windows
W32Time
Автоматически
Автоматически
Служба авто-обнаружения веб-прокси WinHTTP
WinHttpAuto-
ProxySvc
Запрещен
Запрещен
Беспроводная настройка
WZCSVC
Запрещен
Запрещен
Адаптер производительности WMI
WmiApSrv
Вручную
Вручную
Рабочая станция
Lanmanwork-
Автоматически
Автоматически

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
148
Системная служба
Имя службы
Режим запуска службы в конфигурации
«Enterprise Client»
«Specialized Security
– Limited
Functionality»
station
Служба веб-публикаций
W3SVC
Запрещен
Запрещен
Служба «Оповещатель» посылает выбранным пользователям и компьютерам административные оповещения. Отключение этой службы приводит к прекращению получения административных оповещений программами, в которых они используются. С целью обеспечения более высокого уровня безопасности для службы «Оповещатель» во всех рассматриваемых конфигурациях должен быть установлен режим запуска
«Запрещен»
, который препятствует запуску данной службы и соответственно передаче данных по сети.
«Служба шлюза уровня приложения» является компонентом службы общего доступа к подключению Интернета (ICS)/брандмауэра подключения к Интернету (ICF) и предназначена для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Модули шлюза уровня приложения (Application Layer
Gateway) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. С целью обеспечения более высокого уровня безопасности и предотвращения возможности неуполномоченным компьютерам выступать в качестве шлюза Интернета во всех рассматриваемых конфигурациях данная служба должны быть запрещена.
Служба «Управление приложениями» обеспечивает различные сервисы установки программного обеспечения, такие, как назначение, публикация и удаление программ. Данная служба необходима для выполнения операций инсталляций и удаления программ на клиентских компьютерах, установленных в вычислительной сети, а также получения списка уже установленных программ. Поскольку во многих случаях для централизованной доставки и установки прикладных программ на серверах используется специализированное программное обеспечение, во всех рассматриваемых конфигурациях безопасности данную службу рекомендуется отключить.
«Служба состояния сеанса ASP .NET» предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Служба хранит данные сеанса вне процесса и

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
149
использует сокеты для взаимодействия с запущенной на сервере средой ASP.NET. Во всех рассматриваемых конфигурациях безопасности указанную службу рекомендуется отключить.
Служба «Автоматическое обновление» обеспечивает автоматическую загрузку и установку обновлений для операционной системы. Для обеспечения большего контроля над процессом установки критических обновлений и выполнения загрузки только сертифицированных обновлений безопасности во всех рассматриваемых конфигурациях безопасности данная служба должна быть запрещена.
«Фоновая интеллектуальная служба передачи» выполняет передачу данных в фоновом режиме, используя резервы сети по пропускной способности. Применение службы BITS позволяет улучшить скорость и устойчивость процесса передачи файлов, а также снизить загрузку сетевого подключения. В случае если эта служба остановлена, компоненты операционной системы Windows Update, «Автоматическое обновление» и MSN
Explorer не смогут автоматически загружать программы и другие сведения. Чтобы исключить поддержку возможности автоматической загрузки программ во всех рассматриваемых конфигурациях безопасности запуск указанной службы должен осуществляться вручную.
Служба «MS Software Shadow Copy Provider» обеспечивает управление теневыми копиями, полученными с использование технологии теневого копирования тома.
Использование возможности теневого копирования тома позволяет системе создавать копии
(контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления. В случае запрета данной службы, управление теневыми копиями дисковых томов будет невозможно. По этому во всех рассматриваемых конфигурациях безопасности запуск указанной службы должен осуществляться вручную.
Служба «Сервер папки обмена» позволяет создавать и совместно использовать
«страницы» данных в папке обмена, которые можно просматривать с удаленных компьютеров. Эта служба зависит от службы сетевого DDE (NetDDE) в процессе создания общих файловых ресурсов, к которым могут подключаться другие компьютеры. Чтобы обеспечить более высокий уровень безопасности для рассматриваемых конфигураций режим запуска для данной службы должен соответствовать значению «Запрещен».
«Система событий COM+» реализует поддержку службы уведомления о системных событиях
(SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM. Данная системная служба не требуется в повседневном

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
150
режиме функционирования операционной системы, поэтому во всех рассматриваемых конфигурация безопасности она должна быть отключена.
Служба «Системное приложение COM+» обеспечивает управление настройкой и отслеживанием компонентов COM+. Поскольку данная системная служба не требуется в повседневном режиме функционирования операционной системы, поэтому во всех рассматриваемых конфигурация безопасности она должна быть отключена.
Служба «Обозреватель компьютеров» обслуживает список компьютеров в сети и выдает его программам по запросу. Если данная служба остановлена, список не будет создан или обновлен. Кроме того, служба «Обозреватель компьютеров» используется компьютерами под управлением операционных систем семейства Microsoft Windows, которым необходимо просматривать сетевые ресурсы. Компьютеры, определенные в качестве обозревателей, поддерживают список, содержащий перечень всех совместно используемых ресурсов, доступных в сети. С целью обеспечения требуемого режима функционирования вычислительной сети режим запуска службы «Обозреватель компьютеров» в рассматриваемых конфигурациях должен быть автоматическим.
«Службы криптографии» обеспечивают три службы управления ключами:

службу баз данных каталога, которая проверяет цифровые подписи файлов
Windows;

службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корневого центра сертификации с компьютера;

службу ключей, которая позволяет подавать заявки на сертификаты с компьютера.
Если данная служба остановлена, все эти службы управления не будут работать.
Таким образом, с целью обеспечения более высокого уровня безопасности запуск «Служб криптографии» должен осуществляться автоматически.
Служба «DHCP-клиент» управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен. Данная служба обеспечивает автоматическое получение клиентом IP-адреса и всех сетевых настроек компьютера независимо от того, к какой вычислительной сети осуществлено подключение. В случае если данная служба остановлена, конфигурирование сетевых настроек должно осуществляться администратором вручную.
Для всех рассматриваемых конфигураций безопасности для данной службы рекомендуется установить автоматический режим запуска. Однако, если в сети организации для адресации компьютеров используются статически выделяемые IP-адреса, службу «DHCP-клиент» рекомендуется отключить.

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
151
Служба «Распределенная файловая система DFS» объединяет разрозненные общие файловые ресурсы в единое логическое пространство имен и управляет данными логическими томами. В функционировании службы «Распределенная файловая система
DFS» на рядовых серверах домена нет необходимости, поэтому для указанных серверов во всех режимах функционирования она должна быть запрещена. Однако, для корректного функционирования контроллеров домена для указанной службы должен быть установлен автоматический режим запуска.
Служба «Клиент отслеживания изменившихся связей» позволяет программам отслеживать перемещения связных файлов в пределах одного тома NTFS, или их перемещения на другой том NTFS того же компьютера или на другой том NTFS другого компьютера в домене. С целью обеспечения более высокого уровня безопасности служба
«Клиент отслеживания изменившихся связей» во всех рассматриваемых конфигурациях должна быть запрещена.
Служба «Сервер отслеживания изменившихся связей» поддерживает клиентскую службу отслеживания распределенных связей домена для реализации надежной и эффективной поддержки связей в домене, а также обеспечивает хранение необходимой информации, которая позволяет отслеживать перемещение файлов для каждого тома в домене. В функционировании службы «Сервер отслеживания изменившихся связей» на рядовых серверах домена нет необходимости, поэтому для указанных серверов во всех режимах функционирования она должна быть запрещена. Однако, для корректного функционирования контроллеров домена для указанной службы должен быть установлен автоматический режим запуска.
Системная служба «Координатора распределенных транзакций» отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL
Server, которые охватывают несколько систем. Поскольку данная служба не требуется в повседневном режиме функционирования, во всех рассматриваемых конфигурациях безопасности ее рекомендуется отключить.
Служба «DNS-клиент» предназначена для разрешения DNS-имен путем запроса
DNS-сервера и кэширования полученных ответов. Служба «DNS-клиент» должна быть запущена на каждом компьютере, который выполняет разрешение имен при доступе к сетевым ресурсам (в том числе к компьютерам и сетевым устройствам), и является

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
152
необходимой для обнаружения размещения контроллера домена в доменах Active Directory.
Исходя из этого, режим запуска указанной службы во всех рассматриваемых конфигурациях безопасности должен быть автоматический.
«Служба регистрации ошибок» позволяет регистрировать и хранить информацию о сбоях служб и приложений, выполняющихся в нестандартной среде. Данная служба предоставляет группе поддержки продуктов Microsoft необходимую и достаточную информацию, необходимую для отладки драйверов и обработки возникающих ошибок. Если на компьютере включено уведомление об ошибках, пользователь будет уведомлен о произошедшей ошибке, однако не сможет отправить отчет об ошибках. По этим причинам, во всех рассматриваемых конфигурациях безопасности запуск указанной службы должен быть запрещен.
Служба «Журнал событий» обеспечивает поддержку сообщений журналов событий, выдаваемых Windows-программами и компонентами системы, и просмотр этих сообщений. Если указанная служба будет запрещена, администратор не сможет диагностировать возникающие в системе ошибки и отслеживать события аудита. По этому во всех рассматриваемых режимах функционирования запуск службы «Журнал событий» должен осуществляться автоматически.
«Служба факсов» совместимая с Telephony API (TAPI), обеспечивает для компьютеров возможность работы с факсами. Служба факсов позволяет пользователям отправлять и получать факсимильные сообщения из своих настольных приложений с помощью локального или общего сетевого устройства факсимильной связи. В рассматриваемых конфигурации безопасности с целью обеспечения требуемого уровня безопасности данная служба должна быть запрещена.
«Служба репликации файлов» (File Replication Service, FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. Служба репликации файлов является стандартным модулем репликации, задачей которого является репликация общей папки SYSVOL между контроллерами домена под управлением операционной системой Microsoft
®
Windows Server

2003 в составе одного домена. Кроме того, данная служба может быть настроена на выполнение репликации файлов и папок между целевыми объектами корня распределенной файловой системы DFS.
Если служба репликации файлов запрещена, репликация файлов не происходит и синхронизация данных не осуществляется. В случае с контроллером домена это может привести к проблемам функционирования. В тоже время, в функционировании указанной

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
153
службы на рядовых серверах нет необходимости. Поэтому во всех рассматриваемых конфигурациях безопасности запуск службы репликации файлов должен быть запрещен.
«Служба FTP-публикаций» обеспечивает подключение и администрирование
FTP-узла с помощью оснастки IIS (Internet Information Service). Не рекомендуется устанавливать службу FTP-публикации на компьютерах под управлением операционной системы Microsoft
®
Windows Server

2003, если в ней нет непосредственной необходимости.
По этой причине во всех конфигурациях безопасности, рассматриваемых в данном руководстве, службу FTP-публикаций необходимо отключить.
Служба «Справка и поддержка» обеспечивает возможность работы центра справки и поддержки на целевом компьютере. Если данная служба остановлена «Центр справки и поддержки» работать не будет. Во всех рассматриваемых конфигурациях безопасности данную службу рекомендуется отключить.
Системная служба «HTTP SSL» позволяет службам IIS выполнять функции протокола SSL (Secure Socket Layer - это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата конфиденциальной информации), т.е. обеспечивает безопасный протокол передачи данных гипертекста для служб HTTP, используя протокол SSL. Несмотря на то, что служба предназначена для применения с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде.
Во всех рассматриваемых конфигурациях безопасности данную системную службу рекомендуется отключить.
«Служба веб-публикации» обеспечивает связь и администрирование веб-узла с помощью диспетчера служб IIS. Данную службу не рекомендуется устанавливать, если нет непосредственной необходимости в ее использовании. Поэтому во всех рассматриваемых конфигурациях безопасности для рядовых серверов данную системную службу рекомендуется отключить.
Служба «Доступ к HID-устройствам» обеспечивает универсальный доступ к
HID-устройствам (Human Interface Devices), который активизирует и поддерживает использование заранее определенных клавиш быстрого вызова на клавиатуре, устройствах управления или иных устройствах мультимедиа. Поскольку указанная возможность в рассматриваемых конфигурациях безопасности не используется, данную службы необходимо отключить.
«Служба IIS Admin» предоставляет возможность администрирования компонентов
IIS, таких как FTP-узлы, пулы приложений, веб-узлы и расширения веб-служб. Отключение

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
154
этой службы не позволяет пользователям создавать веб- и FTP-узлы на своих компьютерах.
Для большинства компьютеров под управлением операционной системы Microsoft
®
Windows
Server

2003, настроенных в соответствии с одной из рассматриваемых конфигураций безопасности, эти возможности не требуются. По этим причинам во всех конфигурациях
«Служба IIS Admin» должна быть отключена.
«Служба COM записи компакт-дисков IMAPI» управляет записью компакт- дисков с помощью IMAPI-интерфейса (Image Mastering Applications Programming Interface).
Если данная служба остановлена, то целевой компьютер не сможет записывать компакт- диски. Поскольку для компьютеров под управлением операционной системы Microsoft
®
Windows Server

2003, настроенных в соответствии с одной из рассматриваемых конфигураций безопасности, данная возможность не требуются, службу COM записи компакт-дисков IMAPI рекомендуется отключить.
«Служба индексирования» индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью языка запросов. Служба индексирования также обеспечивает быстрый поиск документов на локальном и удаленных компьютерах. Поскольку на компьютерах под управлением операционной системы Microsoft
®
Windows Server

2003, настроенной в соответствии с одной из рассматриваемых конфигураций безопасности, данная возможности не используется, ее рекомендуется отключить.
Служба «Брандмауэр Интернета (ICF)/Общий доступ к Интернету
(ICS)» обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен, а также служб предотвращения вторжения для компьютеров вычислительной сети. Во всех рассматриваемых конфигурациях безопасности данную службу рекомендуется отключить по причине отсутствия необходимости ее использования.
«Служба Intersite Messaging» обеспечивает обмен сообщениями между компьютерами под управлением операционной системы Microsoft
®
Windows Server

2003 с расчетом маршрута между сайтами. Данная служба необходима для поддержки межсайтовой репликации с использованием электронных сообщений (служба каталогов Active Directory поддерживает возможность репликации изменений между сайтами с использованием SMTP- или IP-транспорта). Поскольку в данной службе на рядовых серверах под управлением
Microsoft
®
Windows Server

2003 нет необходимости, она должна быть отключена.
«Службы IPSec» обеспечивают безопасность сетевых подключений между сервером и клиентом в сетях TCP/IP, а также управляют политикой IP-безопасности, запускают процесс согласования ключей ISAKMP/Oakley (IKE) и согласуют настройки

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
155
политики IPSec. Во всех рассматриваемых конфигурациях безопасности для обеспечения возможности использования протокола IPSec режим запуска данных служб должен быть автоматический.
Служба «Центр распространение ключей Kerberos» функционирует только на контроллерах домена и обеспечивает регистрацию пользователей в вычислительной сети по протоколу Kerberos. Таким образом, во всех рассматриваемых конфигурациях безопасности автоматический режим запуска службы «Центр распределения ключей
Kerberos» должен быть определен только для котроллеров домена.
«Служба учета лицензий» обеспечивает лицензирование клиентского доступа для компонентов операционной системы (IIS-сервер, службу терминалов), а также для продуктов, не входящих в состав операционной системы (Microsoft SQL Server, Microsoft
Exchange Server). Во всех рассматриваемых конфигурациях безопасности службу учета лицензий рекомендуется запретить.
Служба «Диспетчер логических дисков» отвечает за обнаружение (данная служба анализирует события службы «Plug and Play», возникающие при добавлении новых дисков) и наблюдение за новыми жесткими дисками, а также передачу информации о томах жестких дисков службе управления диспетчера логических дисков. Во всех рассматриваемых конфигурациях безопасности для указанной службы рекомендуется установить режим запуска «Вручную».
«Служба администрирования диспетчера логических дисков» выполняет настройку жестких дисков и томов. Данная служба выполняется только во время процессов настройки конфигурации жестких дисков и томов, после чего останавливается. Таким образом, во всех рассматриваемых конфигурациях безопасности режим запуска службы администрирования диспетчера логических дисков должен быть определен как «Вручную».
«Служба сообщений» осуществляет передачу и отправку сообщений службы
«Оповещатель» между клиентскими и серверными компьютерами. Эта служба не имеет отношения к программе Windows Messenger и не является обязательной для компьютеров под управлением операционной системы Microsoft
®
Windows Server

2003. По этим причинам во всех рассматриваемых конфигурациях безопасности службу сообщений необходимо отключить.
«Служба сетевого входа в систему» используется для проверки подлинности пользователей и служб и обеспечивает безопасный канал между компьютером и контроллером домена. Она передает на контроллер домена учетные данные пользователя, а возвращает идентификаторы безопасности пользователя и назначенные ему права. При

Операционная система Microsoft
®
Windows Server

2003.
Руководство по безопасной настройке и контролю сертифицированной версии
© ЗАО «АЛТЭКС-СОФТ», 2011
156
останове указанной службы компьютер под управлением ОС Microsoft
®
Windows Server

2003 R2 не сможет осуществлять проверку подлинности пользователей и служб, а контроллер домена осуществлять регистрацию DNS-записей. Запрещение данной службы на контроллер домена вызовет отказ осуществлять обработку NTLM-запросов аутентификации, что приведет к тому, что он будет недоступен для клиентских компьютеров. Таким образом, во всех рассматриваемых конфигурациях безопасности для службы сетевого входа в систему должен быть установлен автоматический режим запуска.
Служба «NetMeeting Remote Desktop Sharing» разрешает авторизованным пользователям с помощью программы Microsoft NetMeeting
®
получать удаленный доступ к компьютеру через корпоративную интрасеть. Чтобы запретить удаленный доступ пользователей к компьютерам, эту службу необходимо отключить. С целью обеспечения повышенного уровня безопасности, режим запуска данной службы во всех рассматриваемых конфигурациях должен соответствовать значению «Запрещен».
Служба «Сетевые подключения» управляет объектами папки «Сеть и удаленный доступ к сети», отображающей свойства локальной сети и подключений удаленного доступа.
Если данная служба отключена, просмотр объектов локальной сети и удаленных подключений будет невозможен. Во всех рассматриваемых конфигурациях безопасности для указанной системной службы рекомендуется установить режим запуска «Вручную».
«Служба сетевого DDE» обеспечивает сетевой транспорт и безопасность динамического обмена данными (DDE) для программ, выполняющихся на одном или на разных компьютерах. Служба сетевого DDE, а также другие подобные автоматические сетевые службы могут использоваться нарушителями в своих целях. Поэтому с целью обеспечения требуемого уровня безопасности данная служба во всех рассматриваемых конфигурациях должна быть запрещена.
Служба «Диспетчер сетевого DDE» управляет сетевыми общими ресурсами динамического обмена данными DDE. Эта служба используется только службой сетевого
DDE для управления общими каналами связи DDE. Диспетчер сетевого DDE, а также другие подобные автоматические сетевые службы могут служить объектами атак. Поэтому с целью обеспечения требуемого уровня безопасности режим запуска для данной службы во всех рассматриваемых конфигурации должен соответствовать значению «Запрещен».
«Служба сетевого расположения» собирает и хранит сведения о размещении и настройках вычислительной сети (таких как IP-адресация, изменения имени домена) и уведомляет приложения об их изменении. Поскольку во всех рассматриваемых конфигурациях безопасности может существовать необходимость использования
1   ...   6   7   8   9   10   11   12   13   14


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал