Service Control Manager
Service Control Manager
διαχειριστής ελέγχου υπηρεσιών
This page was automatically translated from English.
Back to Translate
View original web page or mouse over text to view original language
Service Control Manager
The service control manager (SCM) is started at system boot. Η υπηρεσία ελέγχου του διαχειριστή (ΕΑΜ) ξεκινά στο σύστημα εκκίνησης. It is a remote procedure call (RPC) server, so that service configuration and service control programs can manipulate services on remote machines. Είναι μια διαδικασία απομακρυσμένης κλήσης (RPC) server, έτσι ώστε διαμόρφωσης υπηρεσίας και των υπηρεσιών ελέγχου των προγραμμάτων μπορούν να χειραγωγήσουν τις υπηρεσίες σε απομακρυσμένες μηχανές.
The service functions provide an interface for the following tasks performed by the SCM: Η υπηρεσία λειτουργεί παρέχει μια διεπαφή για τις ακόλουθες εργασίες που εκτελούνται από τις επιδοτήσεις:
Maintaining the database of installed services. Η διατήρηση της βάσης δεδομένων των εγκατεστημένων υπηρεσιών.
Starting services and driver services either upon system startup or upon demand. Ξεκινώντας τις υπηρεσίες και τις υπηρεσίες οδηγού είτε κατά την εκκίνηση του συστήματος ή κατόπιν αιτήσεώς του.
Enumerating installed services and driver services. Παράθεσης εγκατεστημένες υπηρεσίες και υπηρεσίες οδηγού.
Maintaining status information for running services and driver services. Η διατήρηση πληροφοριών κατάστασης για τη λειτουργία των υπηρεσιών και των υπηρεσιών του οδηγού.
Transmitting control requests to running services. Διαβίβασης των αιτήσεων για τον έλεγχο λειτουργίας των υπηρεσιών.
Locking and unlocking the service database. Το κλείδωμα της απελευθέρωσης των υπηρεσιών και βάσης δεδομένων.
The following sections describe the SCM in more detail: Τα ακόλουθα τμήματα περιγράφουν τις επιδοτήσεις με περισσότερες λεπτομέρειες:
Database of Installed Services Βάση δεδομένων για τις εγκατεστημένες υπηρεσίες
Automatically Starting Services Αυτόματη Εκκίνηση Υπηρεσίες
Starting Services on Demand Ξεκινώντας Υπηρεσίες on Demand
Service Record List Υπηρεσία Εγγραφή Κατάλογος
SCM Handles SCM Λαβές
Από τη Βικιπαίδεια, την ελεύθερη εγκυκλοπαίδεια
This page was automatically translated from English.
View original web page or mouse over text to view original language.
Το Windows Service Control Manager (SCM) (SERVICES.EXE) είναι μια διαδικασία απομακρυσμένης κλήσης (RPC) διακομιστή που διαχειρίζεται η δημιουργία, διαγραφή, η έναρξη και η διακοπή των υπηρεσιών Windows. It is started at system boot and is RPC based so that service configuration and service control programs can manipulate services on remote machines. [ 1 ] Είναι ξεκίνησε στο σύστημα εκκίνησης και είναι βασισμένη RPC ώστε διαμόρφωσης υπηρεσίας και των υπηρεσιών ελέγχου των προγραμμάτων μπορούν να χειραγωγήσουν τις υπηρεσίες στις απομακρυσμένες μηχανές [1].
The service functions provide an interface for the following tasks performed by the SCM: Η υπηρεσία λειτουργεί παρέχει μια διεπαφή για τις ακόλουθες εργασίες που εκτελούνται από τις επιδοτήσεις:
Maintaining the database of installed services. Η διατήρηση της βάσης δεδομένων των εγκατεστημένων υπηρεσιών.
Starting services and driver services either upon system startup or upon demand Ξεκινώντας υπηρεσιών, και με οδηγό τις υπηρεσίες, είτε κατά την εκκίνηση του συστήματος ή κατόπιν ζήτησης
Enumerating installed services and driver services. Παράθεσης εγκατεστημένες υπηρεσίες και υπηρεσίες οδηγού.
Maintaining status information for running services and driver services. Η διατήρηση πληροφοριών κατάστασης για τη λειτουργία των υπηρεσιών και των υπηρεσιών του οδηγού.
Transmitting control requests to running services. Διαβίβασης των αιτήσεων για τον έλεγχο λειτουργίας των υπηρεσιών.
Locking and unlocking the service database. Το κλείδωμα της απελευθέρωσης των υπηρεσιών και βάσης δεδομένων.
Services - Υπηρεσίες, στον χώρο των Windows, ονομάζονται τα προγράμματα που τρέχουν σε background εκτελώντας κάποιες λειτουργίες. Στον χώρο του Unix/Linux ονομάζονται δαίμονες. Με την πάροδο του χρόνου η φύση των υπηρεσιών συνέβαλε ώστε να στοχοποιηθούν.
Θα μπορούσαμε να πούμε ότι τα Services είναι άλλη μια πόρτα εισόδου των κακοποιών.
Πριν από την Vista εποχή, τα Windows δυστυχώς δεν προστάτευαν ιδιαίτερα τα windows services από κακόβουλες επιθέσεις.
Παρακάτω λοιπόν θα αναφέρω τις αλλαγές που έγιναν στα vista services.
Τί είναι τα Services ;
1) Τα services μπορούμε να τα φανταστούμε σαν Windows εφαρμογές με κάποιες διαφορές.
2) Τα services μπουρουν να τρέχουν συνεχώς, μερικά τρέχουν με την εκκίνηση του υπολογιστή.
3) Με τα Vista μπορούμε να ρυθμίσουμε από το Vista Service Configuration Tool, ποτε θα
ξεκινήσει ένα service.
4) Συνήθως οι δραστηριότητές τους εκτελούνται σε background mode, spooling printer jobs…
5) Κατά κανόνα, δεν χρειάζοντε κάποιον χρήστη για να τρέξουν.
Πώς δουλεύουν τα services ;
Όταν μια κλασσική εφαρμογή τρέχει, τότε το λειτουργικό δίνει στην εφαρμογή ένα αντίγραφο από το security token που αντιστοιχεί στον λογαριασμό του χρήστη.
Τα services τρέχουν κάτω από τρεις λογαριασμούς γνωστούς σαν “service accounts”.
1) Local System account, έχει την ικανότητα επικοινωνιας με άλλους υπολογιστές μέσα
σε ένα δίκτυο.
2) Local Service Account, έχει ελάχιστες δυνατότητες και δεν μπορεί να επικοινωνήσει με
υπολογιστές δικτύου.
3) Network Service Account, όπως ο Local Service Account, με περισσότερες δικτυακές
δυνατότητες.
4) Τα services δεν φορτώνονται επ’ ευθείας στην μνήμη από τον loader αλλά τρέχουν μέσα σε
ένα ένα πρόγραμμα που ονομάζεται svchost.exe (ονομάζεται και wrapper).
Με τον TaskManger -> Processes μπορούμε να δούμε σχετικές πληροφορίες.
ΣΗΜΑΝΤΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ για τα Windows Xp services
1) Στα Windows Xp, αν και τα services τρέχουν κάτω από τους λογαριασμούς LocalSystem,
LocalService και NetworkService, το περισσότερο χρονικό διάστημα τα services
τρέχουν με τα υψηλά προνόμια του λογαριασμού LocalSystem.
2) Όταν ξεκινάει ένα service δεν παίρνει access token, το svchost.exe το παίρνει.
3) Όλα τα services που τρέχουν μέσα σε ένα svchost.exe μοιραζονται το access token του
svchost.exe.
Τι είναι λοιπόν αυτό που καθιστά τα services επικίνδυνα ;
Οι πιο σημαντικοί λόγοι είναι οι εξής:
1) Τρέχουν συνεχώς, από την εκκίνηση έως το κλείσιμο του υπολογιστή.
2) Πολλα από τα service μπορούν να αλληλεπιδρούν με τους υπολογιστές του δικτύου.
3) Πολλα από τα service τρέχουν σαν local System Services.
Υπ’ ‘οψιν, ο λογαριασμός service account είναι υψηλών προνομίων.
Το module που διαχειρίζεται τα services είναι o Service Control Manager (SCM), servises.exe.
Ο Service Control Manage είναι αυτός που ξεκινάει όλα τα svchost.exe.
Επειδή λοιπόν τα services είναι πρόγράμματα που κατά κανόνα :
1) τρέχουν συνέχεια,
2) αλληλεπιδρούν με τους υπολογιστές δικτύου,
3) και συχνά τρέχουν σαν LocalSystem (πολλά προνόμια),
η MS στα πλαίσια ασφάλειας, προσέθεσε στo Service Control Manager των Vista ΕΠΙΠΛΕΟΝ προστατευτικούς μηχανισμούς, εφαρμόζοντας και στα service την πολιτική “τρέχω με τα λιγότερα δυνατόν προνομια”.
Ας δούμε όμως πως προσπαθεί η MS να πετύχει αυτό το σκοπό.
SESSION SEPARATION
Νομίζω από τα XP, η MS έχει εισάγει στα λειτουργικά της την ιδέα του Session.
Το Session με άπλα λογια είναι μία ομάδα εφαρμογών, φανταστειτε δηλαδή το desktop που σχετίζεται με κάποιο χρήστη.
Στα Windows Xp, τέτοια sessions είναι:
Terminal Services Sessions : Ο χρήστης έχει την δυνατότητα να τρέχει επάνω σε ένα server αρκετά sessions μέσω Terminal Services. Αυτά τα sessions είναι εντελώς απομονωμένα το ένα από το άλλο. Έτσι, ο χρήστης ενός PC (με XP) μπορεί να εμφανίζει στην οθόνη του διαφορετικά desktop που το καθένα τρέχει διαφορετικές εφαρμογές χωρίς η μια εφαρμογή να έχει επίγνωση της άλλης.
Fast User Switching :. Κάθε χρήστης έχει έχει το δικό του desktop και τις δικές του εφαρμογές.
Remote Desktop και Remote Assistance, ...
Πριν από τα Vista, τα windows αρίθμιζαν το κάθε session ξεκινώντας από το 0 γνωστό σαν “Consol Session”.
Τα Vista αριθμούν 1, το session του πρώτου χρήστη που θα κάνει logon, του επόμενου 2 ...
Με τα Vista η MS μετέφερε όλα τα services στο Session 0 και έθεσε κάποιους νέους κανόνες.
1) Το Session 0 δεν έχει user interface, δηλαδή δεν μπορεί να αλληλοεπιδράσει με video
hardware, και δεν μπορεί να δημιουργήσει pop up messages σε χρήστες άλλων session.
2) O μοναδικός δρόμος επικοινωνίας είναι με το πρωτόκολλο Remote procedure Call (RPC) που
"θεωρήται" ασφαλής μέθοδος επικοινωνίας των εφαρμογών.
Με απλά λόγια, βάζοντας λοιπόν τα services στο session 0 και τους χρήστες σε διαφορετικά δυσκόλεψε την προς τα άνω κλειμάκωση των προνομίων.
REDUCING SERVICE PRIVILIGIES
Στα λειτουργικά πριν από τα Vista, π.χ. windows xp, τα services κληρονομούν τα προνόμια του λογαριασμού στον οποίον τρέχει το svchost. Τα Vista διαφέρουν από προηγούμενα λειτουργικά κάνοντας ένα φιλτράρισμα σε αυτά τα προνόμια. Στα Vista, ο χρήστης μπορεί να διατάξει τον Service Control Manager να τρέξει κάποιο service με προνόμια LocalSystem service account, που όμως θα αφαιρέσει από το access token του svchost ότιδήποτε προνόμια δεν είναι αναγκαία.
1) Οι κατασκευαστές Vista service μπορούν τώρα να συμπεριλάβουν μέσα στο service μερικές
εντολές για τον SCM λέγοντάς στον Service Manager “χρειάζομαι MONO αυτά τα προνόμια”.
2) Στα Vista, o administrator μπορεί να ενημερώσει τον SCM τα προνόμια που θέλει να δώσει σε κάποιο service. Αυτή η διαχείρηση του SCM μπορεί να γίνει και με το εργαλείο SC.EXE
παράδειγμα sc priv service_name privilige1/privilige2 …
Αυτές οι αλλαγές καταγράφοντε μέσα στην registry και διατειρούντε ακόμα και μετά από reboot.
Με το εργαλείο sc.exe μπορούμε να θέσουμε και ερωτήματα στον SCM.
Αν το svchost.exe έχει μόνο ένα service, το οποίο δεν γνωρίζει με τι προνόμια πρέπει να τρέχει, σε αυτή την περίπτωση το svchost.exe και το service κλειρονομούν τα προνόμια του service account.Αν το svchost.exe έχει μόνο ένα service το οποίο γνωρίζει με τι προνόμια πρέπει να τρέχει, τότε ο SCM θα δημιουργήσει ένα token από τις πληροφορίες που εδωσε το service στον SCM και θα το δώσει στο svchost.exe.
SERVICE ISOLATION
Εκτός από τον χωρισμό των sessions (service session, user session) και την ελαχιστοποίηση των servise προνομίων, η MS έκανε άλλο ένα βηματάκι με το service isolation. Δεν θα ήταν πολυ πιο ασφαλές το περιβάλλον του λειτουργικού, εάν το κάθε servise έπαιζε μόνο με ένα μικρό αριθμό αντικειμένων, μόνο αυτά που χρειάζεται και τίποτα παραπάνω;
Πώς λειτουργεί ο μηχανισμός Service Isolation;
Όπως ο χρήστης έτσι και το κάθε service παίρνει ένα Security ID (Service Security ID).
Έτσι ένα service με Service Security ID X, μπορεί να αστυνομευθεί ώστε να εφαρμόζει το προνόμιο WRΙΤΕ σε κάποιο αντικείμενο ΜΟΝΟ εάν το access token του αντικειμένου περιέχει εγραφή που να δίνει προνόμια WRITE αποκλειστικά στο Service Security ID X.
Στα Vista, τέτοιους περιορισμούς μπορεί να ενσωματώσει σε ένα Service, όχι μόνο ο δημιουργός προγραμματιστής αλλά και ο administrator με την βοήθεια του εργαλέιου sc.exe.
SERVICE RESTRICTED TOKEN
Ένα service με SID X που τρέχει μέσα σε κάποιοο svchost.exe έχει την δυνατότητα να διαβάζει και να γράφει (προνόμια READ/WRITE) όλα τα αντικείμενα που το service account μπορεί να διαβάζει (προνόμιο READ/WRITE). Στα Vista o admin μπορεί να τροποποιήσει αυτή την συμπεριφορά λέγοντας στον SCM “θέλω να απαγορεύσω στο service SID X το προνόμιο WRITE”. Αυτός ο περισρισμός των service γίνεται με την παρακάτω εντολή.
Sc SID_type service_name none restricted unrestricted.
Πως δίνω προνόμια Write σε κάποιο Service με SID.
Με δεξί κλικ, advanced security, add για να δημιουργήσω ένα νέο προνόμιο.
NETWORK RESTRICTIONS
Ο κατασκευαστής λογισμικού στα Vista έχει την δυνατότητα για δημιουργήσει ένα service που θα ζητά από το τοίχος προστασίας “επέτρεψέ μου ΜΟΝΟ την επικοινωνία με την πόρτα Χ”.
Έτσι στην περίπτωση που το PC θα καταλυφθεί από κακόβουλο κώδικα, αυτός δεν μπορεί να σαρώσει τις πόρτες του συστήματος.
ΕΡΓΑΛΕΙΟ sc.exe
Το sc.exe είναι ένα πολύ χρήσιμο εργαλείο (command-line tool) με το οποίο ρυθμίζουμε το SCM.
Sc [server_name] command service_name [options]
Οι παράμετροι στις παρενθέσεις δεν είναι υποχρεωτικοί.
Με την παράμετρο server_name ελέχγουμε απομακρυσμένους υπολογιστές.
Με την παράμετρο command επιλέγουμε την εντολή που θέλουμε να εκτελέσουμε.
Με την παράμετρο service_name αναφερόμαστε στο service που μας ενδιαφέρει.
Στα Vista η MS έχει συμπεριλαβει πολλούς τέτοιους ΡΙΖΙΚΟΥΣ αμυντικούς μηχανισμούς σε σημείο ΠΑΡΑΝΟΙΑΣ. Αν οι λύσεις που έδωσε στα σημερινά προβλήματα είναι επιτυχείς ή όχι θα το δούμε στην πορεία. Αλλαγές σαν τις παραπάνω, δεν θα περίμενα από τους τελικούς χρήστες να γνωρίζουν όπότε αυτοί έχουν ένα δίκιο να που ότι τα Vista είναι μια από τα ίδια. Από τους σχετικούς του επαγγέλματος όμως θα περίμενα πριν αφορήσουν να ενημερωθούν λίγο.
Είναι λοιπόν τα Vista ασφαλέστερα από τα XP; Ως προς τα Services Νομίζω πως ΝΑΙ.
Πιστέψτέ με, ώς προς το σύνολο τους είναι ασφαλέστερα μιας και έχουν γίνει ΠΑΜΠΟΛΛΕΣ τέτοιες διάφανες στον τελικό χρήστη αλλαγές.
Τελευταία επεξεργασία από το μέλος drhouse : 20-07-08 στις 23:58..
.gif)
Επισκόπηση υπηρεσιών
Μια υπηρεσία είναι ένας τύπος εφαρμογής που εκτελείται στο παρασκήνιο και είναι παρόμοια με εφαρμογές UNIX daemon. Οι εφαρμογές των Υπηρεσιών συνήθως παρέχουν δυνατότητες όπως οι εφαρμογές πελάτης/διακομιστής, οι διακομιστές Web, διακομιστές βάσης δεδομένων, και άλλες εφαρμογές βασισμένες σε διακομιστές για χρήστες, τοπικά και στο δίκτυο.
Μπορείτε να χρησιμοποιήσετε τις Υπηρεσίες για να κάνετε τα εξής:
Εκκίνηση, διακοπή, προσωρινή διακοπή, συνέχιση ή απενεργοποίηση υπηρεσιών σε απομακρυσμένους και τοπικούς υπολογιστές. Πρέπει να έχετε τα κατάλληλα δικαιώματα για να πραγματοποιήσετε εκκίνηση, διακοπή, προσωρινή διακοπή, επανεκκίνηση, και απενεργοποίηση υπηρεσιών.
Διαχείριση υπηρεσιών σε τοποικούς και απομακρυσμένους υπολογιστές (σε απομακρυσμένους υπολογιστές που εκτελούν μόνο Windows XP, Windows 2000, ή Windows NT 4.0).
Εγκαταστείστε ενέργειες ανάκτησης σε περίπτωση που αποτύχει μια υπηρεσία, για παράδειγμα, την αυτόματη επανεκκίνηση της υπηρεσιάς ή την επανεκκίνηση του υπολογιστή (μόνο σε υπολογιστές που εκτελούν Windows XP ή Windows 2000).
Ενεργοποίηση ή απενεργοποίηση υπηρεσιών για ένα προφίλ υλικού
Προβολή της κατάστασης και της περιγραφής κάθε υπηρεσίας.
Αναρτήσεις
