Windows Vista, практикум №11

 | 15.20

Мой Компьютер, №12, 17.03.2008

Будем считать, что основные сведения о службах вы уже получили. Например, вы знаете, что самым простым способом управления службами локального и удаленного компьютера является использование оснастки Службы (консоль services.msc). Тогда, естественно, вы знаете и то, что с помощью данной оснастки можно выполнять следующие действия: останавливать, запускать и приостанавливать работу службы; настраивать или полностью отключать службы; определять учетную запись, от имени которой будет работать служба; настраивать действия компьютера при сбое в работе службы; разрешать запуск службы в определенном профиле оборудования; просматривать зависимости работы службы.

Профили оборудования

Кстати, о настройке запуска службы в определенном профиле оборудования. По умолчанию существует только один профиль оборудования — Undocked Profile (не обращайте внимания на профиль Test, его я добавил вручную для проверки). И, как ни странно, операционная система Windows Vista не содержит возможностей добавления новых профилей оборудования.

Если в предыдущих версиях Windows такая возможность находилась на вкладке Оборудование диалога Свойства: Система, то в Windows Vista соответствующее место на этой вкладке пустует. Сначала я подумал, что разработчики Windows забыли добавить эту возможность, но исследования показали, что профили оборудования в Windows Vista просто не используются.

Хотя, возможно, все дело в том, что я сделал что-то не так. В общем, если вы хотите поэкспериментировать с профилями оборудования, вы должны знать, что:

  • Сведения о существующих профилях оборудования хранятся в виде подразделов формата 0000 (например, подразделы 0000, 0001, 0002) ветви HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlIDConfigDBHardware Profiles. Чтобы создать новый профиль оборудования, достаточно создать новый подраздел, используя параметры, подобные параметрам подраздела 0001 данной ветви реестра (этот подраздел как раз и определяет профиль оборудования Undocked Profile).
  • Также для создания профиля оборудования вы должны в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlIDConfigDBHardware Profiles создать параметр REG_DWORD типа, имеющий такое же название, что и созданный вами профиль оборудования. Значение данного параметра должно быть равно 1.
  • Сведения о настройках профилей оборудования хранятся в виде подразделов формата 0000 (например, подразделы 0000, 0001, 0002) ветви HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profiles. При создании нового профиля оборудования вы должны обязательно создать соответствующий новому профилю раздел данной ветви реестра (иначе при отображении диалога Свойства служб будет отображаться ошибка).
  • Несмотря на то, что используемый профиль оборудования определяется параметром REG_DWORD типа CurrentConfig, расположенным в ветви HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlIDConfigDB, в Windows Vista вы не сможете воспользоваться этим параметром. Все дело в том, что после перезагрузки компьютера значение данного параметра всегда будет устанавливаться в 1. Поэтому чтобы сменить профиль оборудования, нужно поступить по-другому. Например, можно переименовать разделы из ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profiles. К примеру, чтобы загрузить компьютер на основе созданного вами профиля с номером раздела 0002, достаточно профилю 0001 присвоить имя 0002, а созданному вами профилю 0002 присвоить имя стандартного профиля 0001. То есть поменять номера профилей местами.

По адресу www.onestyle.com.ua/project.php?u=43 можно найти reg-файл, с помощью которого я добавлял новый профиль оборудования. Возможно, вы захотите поэкспериментировать с ним.

Если службу отключить не удается

Некоторые службы запрещено отключать при помощи оснастки Службы (services.msc). Если вы хотите обойти ограничение, следует воспользоваться программой sc.exe. Однако перед этим вы должны понять, что большинство служб, отключение которых запрещено при помощи оснастки Службы, действительно являются необходимыми для работы операционной системы Windows Vista. Поэтому их отключение может непредсказуемым образом сказаться на функциональности данной операционной системы.

Ниже представлен перечень служб, отключение которых при помощи оснастки Службы запрещено. Чтобы отключить одну из этих служб, достаточно воспользоваться командой вида sc config <раздел реестра> start= disabled. Если же и с помощью данной команды нельзя отключить работу службы, тогда сначала следует изменить права доступа к ветви службы (ветви HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices<раздел реестра>), после чего уже применять данную команду.

  • Plug-and-Play (раздел реестра PlugPlay). Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму. Остановка или отключение этой службы может привести к нестабильной работе системы.
  • Клиент групповой политики (раздел реестра gpsvc). Данная служба ответственна за применение параметров, определенных администраторами для компьютеров и пользователей через компонент групповой политики. Если эта служба остановлена или отключена, параметры не будут применены. Так же не будет возможно управление приложениями и компонентами через групповую политику. Если эта служба остановлена или отключена, любые компоненты или приложения, зависящие от компонента групповой политики, могут не функционировать.
  • Модуль запуска процессов DCOM-сервера (раздел реестра DcomLaunch). Обеспечивает запуск служб DCOM.
  • Планировщик заданий (раздел реестра Schedule). Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
  • Удаленный вызов процедур (RPC) (раздел реестра RpcSs). Обеспечивает сопоставление конечных точек и служит диспетчером управления службы COM. Если эта служба остановлена или отключена, программы, использующие службу COM или службы удаленного вызова процедур (RPC), не смогут работать.

Из всех представленных выше служб, наверное, наиболее востребованной будет возможность отключения службы Планировщик заданий. Отключение данной службы приводит к повышению скорости работы операционной системы. Однако следует понимать, что отключение данной службы приведет к отключению некоторых возможностей Windows Vista (например, возможности создания групп сборщиков данных, автоматической архивации и дефрагментации файлов и т.д.), однако не для всех пользователей эти возможности являются актуальными.

Использование программы sc.exe

Оснастка Службы является прекрасным средством для работы со службами, однако она не поддерживает некоторые возможности настройки служб, которые могут предоставить вам стандартные программы командной строки операционной системы Windows Vista. В частности, наиболее интересные и полные возможности по работе со службами поддерживает программа sc.exe.

В данной статье мы не будем рассматривать те возможности программы sc.exe, которые доступны и в оснастке Службы. Рассмотрим только уникальные возможности данной программы — все они представлены ниже.

  • sc config <имя службы> type= <тип>. Позволяет изменить тип службы или драйвера. Возможны следующие типы: own (программа, запускающая отдельный процесс), share (программа, запускаемая в общем процессе), interact (данной службе разрешено взаимодействовать с Рабочим столом пользователя), kernel (устройство уровня ядра), filesys (драйвер файловой системы уровня ядра), rec (распознавание файловой системы), adapt (аргумент для адаптера).
  • sc config <имя службы> binPath= <путь>. Позволяет изменить путь к исполняемому файлу службы.
  • sc config <имя службы> group= <группа>. Позволяет изменить группу, в которую входит данная служба. От группы зависит очередность, в которой будет запускаться служба.
  • sc config <имя службы> depend= <службы>. Позволяет указать список служб (разделенных косой чертой), которые должны быть запущены перед тем, как будет запущена данная служба.
  • sc interrogate <имя службы> <номер>. Позволяет отправить службе запрос с определенным идентификатором. Стандартными запросами к службам являются запросы на запуск, остановку и приостановку. Если же служба поддерживает дополнительные запросы, тогда их можно вызвать при помощи данной команды.
  • sc sidtype <имя службы> <тип службы>. Позволяет изменить тип службы. Возможны следующие типы: none, unrestricted, restricted (добавить SID данной службы к списку ограниченных SID дескриптора процессов).
  • sc qsidtype <имя службы>. Отобразить тип SID, используемый службой.
  • sc showsid <имя службы>. Отобразить SID службы.
  • sc privs <имя службы> <привилегии>. Позволяет изменить привилегии, используемые определенной службой (привилегии разделяются косой чертой). Возможность использования привилегий службами была впервые реализована именно в операционной системе Windows Vista. С ее помощью можно ограничить общие права доступа службы, предоставив ей только отдельные привилегии, которые действительно необходимы данной службе.
  • sc control <имя службы> <код>. Позволяет послать службе управляющий код. Примеры кодов: paramchange, netbindadd, netbindremove, netbindenable, netbinddisable.
  • sc delete <имя службы>. Позволяет удалить данную службу.
  • sc create <имя службы> <параметры>. Позволяет создать службу. При создании службы можно использовать следующие параметры.
  1.  type= <ownЅshareЅinteractЅkernelЅfilesysЅrec> (по умолчанию = own)
  2.  start= <bootЅsystemЅautoЅdemand|ЅdisabledЅdelayed-auto> (по умолчанию demand)
  3.  error= <normalЅsevereЅcriticalЅignore> (по умолчанию normal)
  4.  binPath= <путь_к_двоичному_файлу>
  5.  group= <группа_запуска>
  6.  tag= <yesЅno>
  7.  depend= <зависимости, разделенные косой чертой>
  8.  obj= <имя_учетной_записиЅимя_объекта> (по умолчанию LocalSystem)
  9.  DisplayName= <выводимое имя>
  10.  password= <пароль>
  • sc sdshow <имя службы>. Отобразить дескриптор безопасности службы.
  • sc sdset <имя службы> <дескриптор>. Установить дескриптор безопасности службы.
  • sc boot <okЅbad>. Позволяет определить, будет ли текущий запуск операционной системы сохранен в качестве последней удачной конфигурации.
  • sc lock. Позволяет заблокировать базу данных служб, что приведет к невозможности изменения состояния службы (будет запрещено запускать, останавливать и приостанавливать работу служб).
  • sc QueryLock. Определяет, заблокирована ли база данных служб, а также того, как ее заблокировали.

Автоматический отложенный запуск служб

Операционная система Windows Vista помимо стандартных способов запуска служб (автоматически, вручную, отключена) поддерживает еще один способ запуска: автоматически (отложенный запуск). При использовании данного способа запуска операционная система запускает службу не сразу после входа пользователя в систему, а немножко позже.

То есть, благодаря данному способу запуска служб при входе пользователя в систему не возникает затормаживаний. По этой причине следует пытаться использовать данный способ запуска служб (тех служб, от работы которых не зависит работа других служб) вместо стандартного автоматического способа запуска.

Отключение служб при помощи программы msconfig.exe

Помимо оснастки Службы для отключения служб можно использовать и возможности вкладки Службы диалога Конфигурация системы (программа msconfig.exe). Особенность этого способа заключается во флажке Не отображать службы Microsoft, при выборе которого перед вами предстанут только те службы, которые не были созданы разработчиками Microsoft.

То есть, если вы хотите отключить службу, установленную какой-либо сторонней программой, сделать это при помощи программы msconfig.exe предпочтительнее, чем использовать другие программы работы со службами.

Изменение способа запуска служб при помощи шаблонов безопасности

Хотелось бы задать читателям вопрос. Если вы решите изменить способ запуска определенных служб Windows Vista, как вы это сделаете?

Как мне кажется, большинство читателей воспользуется для этого оснасткой Службы. Я и сам поступал так же до тех пор, пока не вспомнил об одной возможности операционных систем семейства Windows.

На самом деле использование оснастки Службы для настройки способа запуска служб — не лучшее решение. Также не лучшим решением будет использование программы msconfig.exe или различных программ командной строки. Как мне кажется, идеальным решением этой задачи будет использование шаблонов безопасности. Пускай этот способ дольше, однако в дальнейшем вы очень легко сможете выполнить следующие задачи.

  • Перенести все настройки запуска служб на другой компьютер.
  • Проанализировать состояние компьютера и определить, состояние каких служб не удовлетворяет вашим потребностям.
  • Быстро восстановить состояние запуска служб на необходимое вам.

Использование шаблонов безопасности

Шаблон безопасности представляет собой inf-файл, в котором описывается состояние различных настроек компьютера. В частности, при помощи шаблона безопасности выполняется настройка следующих компонентов операционной системы.

  • Настройка процесса входа в систему и использования паролей пользователей.
  • Настройка аудита.
  • Определение привилегий и прав пользователей.
  • Настройка параметров безопасности.
  • Настройка работы журнала событий (консоль eventvwr.msc).
  • Определение групп с ограниченным доступом.
  • Настройка состояния запуска служб, а также прав доступа к ним.
  • Настройка прав доступа к отдельным ветвям реестра, а также возможность смены их владельца и настройки аудита.
  • Настройка прав доступа к отдельным папкам и файлам, а также возможность смены их владельца и настройки аудита.

В контексте данной статьи мы воспользуемся только возможностью настройки способа запуска служб.

Этап 1. Создание шаблона безопасности

Итак, наш эксперимент следует начать с создания шаблона безопасности.

Для работы с шаблонами безопасности используется оснастка Шаблоны безопасности, загрузить которую можно только при помощи программы mmc.exe (отдельной стандартной консоли для работы с данной оснасткой не существует). Основной вид данной оснастки (здесь вы видите оснастку Шаблоны безопасности с уже созданным шаблоном безопасности).

Начать работу с шаблонами безопасности необходимо с создания своего шаблона. Если в предыдущих версиях Windows имелись стандартные шаблоны безопасности, то в Windows Vista их не существует (точнее, они существуют и хранятся в каталоге %systemroot%inf, но не отображаются в оснастке Шаблоны безопасности).

Для создания своего шаблона просто выберите в контекстном меню раздела, определяющего путь к каталогу шаблонов (на рисунке это раздел D:Usersparad0xDocumentsSecurityTemplates), команду Создать шаблон. После того, как вы введете название нового шаблона (шаблон на рисунке выше называется test), он будет создан.

Этап 2. Настройка запуска служб в шаблоне безопасности

После того, как вы создадите свой шаблон, перейдите к его разделу Системные службы.

Это приведет к отображению в правой панели оснастки списка всех служб, установленных в вашей операционной системе. Если вы хотите определить способ запуска одной из представленных служб, просто отобразите ее диалог Свойства (при помощи команды Свойства контекстного меню службы) и выберите нужный способ запуска.

После того, как вы настроили способ запуска для всех нужных вам служб, необходимо выполнить еще одно и, наверное, самое главное действие — сохранить все изменения в созданном вами шаблоне. Для этого в контекстном меню раздела вашего шаблона выберите команду Сохранить.

Этап 3. Подключение шаблона безопасности

После того, как мы создали шаблон безопасности, необходимо воспользоваться отдельной оснасткой, чтобы внести все настройки вашего шаблона в конфигурацию операционной системы.

Для этого применяется оснастка Анализ и настройка безопасности, запускать которую также необходимо с помощью программы mmc.exe.

После того, как вы запустите данную оснастку, необходимо выбрать команду Открыть базу данных из контекстного меню раздела оснастки.

Если вы впервые запустили данную оснастку, тогда в появившемся диалоге Открыть базу данных введите любое название, используемое для новой базы данных, после чего выберите шаблон безопасности (который создали на предыдущих этапах данного совета), который будет включен в созданную вами базу данных.

Если вы уже создавали ранее базу данных, просто выберите ее из списка.

После того, как вы загрузите базу данных, окно оснастки Анализ и настройка безопасности примут такой вид. Также на данном рисунке можно увидеть контекстное меню раздела оснастки.

Этап 4. Анализ состояния компьютера

После того, как вы загрузили в оснастку Анализ и настройка безопасности базу данных с созданным ранее шаблоном безопасности, следует выбрать из контекстного меню раздела оснастки команду Анализ компьютера.

Robo User
Web-droid editor

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *