Windows Vista. Для профессионалов - Роман Клименко
Шрифт:
Интервал:
Закладка:
Учетная запись: локальная служба.
Дополнительные привилегии: SeChangeNotifyPriviLege.
Файлы службы: %SystemRoot%ehomeehstart.dll.
Исполняемый файл: svchost.exe – к LocalServiceNoNetwork.
Подраздел реестра: ehstart.
Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).
Управляет запуском служб Служба ресивера Windows Media Center и Служба планировщика Windows Media Center.
Кэш шрифтов Windows Presentation Foundation 3.0.0.0
Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: нет.
Файлы службы: нет.
Исполняемый файл: %systemroot%WinFXv3. 0WPF PresentationFontCache.ехе.
Подраздел реестра: FontCache3.0.0.0.
Службы, необходимые для работы данной: нет.
Ускоряет работу приложений Windows Presentation Foundation (WPF) путем кэширования данных шрифтов.
Служба времени Windows
Тип запуска: автоматически.
Учетная запись: локальная служба.
Дополнительные привилегии: нет.
Файлы службы: w32time.dll.
Исполняемый файл: svchost.exe – k LocalService.
Подраздел реестра: W32Time.
Службы, необходимые для работы данной: нет.
Управляет синхронизацией времени локального компьютера с удаленным сервером времени (либо с сервером в локальной сети домена Active Directory).
W32tm.exe
Расположение: %systemroot%system32w32tm.ехе.
Для настройки возможностей синхронизации локального времени компьютера можно использовать программу командной строки w32tm.ехе. Она также присутствовала в операционной системе Windows ХР, поэтому рассмотрим ее возможности лишь поверхностно. Описание же всех параметров данной программы можно отобразить, воспользовавшись командой w32tm /?. Итак, она поддерживает следующие параметры.
• /register – устанавливает стандартные параметры реестра , предназначенные для настройки службы Служба времени Windows.
• /unregister – удаляет сведения о службе Служба времени Windows.
• /tz – отображает текущую настройку часового пояса.
• /resync /nowait – немедленно выполняет ресинхронизацию локальных часов компьютера. Эта команда обычно применяется на компьютерах, входящих в состав домена.
• w32tm /config /syncfromflags: manual /manualpeerlist:<список DNS-имен или IP-адресов соответствующих источников времени, разделенный запятыми> – устанавливает внешние серверы точного времени, с которыми нужно выполнять синхронизацию.
• /config /computer:<имя компьютера> /update – согласует параметры работы службы Служба времени Windows локального и удаленного компьютера.
Настройки групповой политики
Настройки синхронизации времени можно изменить с помощью групповых политик, расположенных в разделе Конфигурация компьютера → Административные шаблоны → Система → Служба времени Windows. Данные политики изменяют параметры REGDWORD-типа, расположенные в подразделах ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftW32Time.
• Глобальные параметры конфигурации – позволяет выполнить конфигурирование глобальных параметров работы службы Служба времени Windows.
• Настроить NTP-клиент Windows – дает возможность выполнить конфигурирование параметров работы клиента NTP, осуществляющего синхронизацию с сервером точного времени. Например, с ее помощью можно изменить значения следующих параметров, расположенных либо в подразделе Parameters, либо в подразделе TimeProvidersNtpClient ветви реестра.
– NtpServer – определяет NTP-сервер (название его сайта), а также порт, который нужно использовать при подключении.
– Туре – указывает тип сервера NTP. Возможны следующие типы серверов: No Sync (не выполнять синхронизацию), NTP (синхронизация с сервером времени Интернета), NT5DS (синхронизация с сервером времени домена Active Directory), All Sync (оба типа синхронизации).
– CrossSiteSyncFlags – определяет, может ли клиент NTP синхронизировать время с сервером точного времени, который находится за пределами его сайта Active Directory.
– EventLogFlags – указывает степень подробности протоколирования событий, связанных с работой клиента NTP.
– SpecialPollInterval – определяет интервал синхронизации клиента NTP с сервером точного времени.
• Включить NTP-клиент Windows – изменяет значение параметра Enabled, расположенного В ветви реестра HKEY_LOCAL_MACHINESOFTWAREPolicies MicrosoftW32TimeTimeProvidersNtpClient. Политика позволяет запретить или разрешить использование клиента NTP на локальном компьютере (то есть определить, может ли данный компьютер получать сведения точного времени).
• Включить NTP-сервер Windows – изменяет значение параметра Enabled, расположенного В ветви реестра HKEY_LOCAL_MACHINESOFTWAREPolicies MicrosoftW32TimeTimeProvidersNtpServer. Политика дает возможность запретить или разрешить использование сервера NTP на локальном компьютере (то есть определить, может ли данный компьютер предоставлять сведения точного времени).
WMI Performance Adapter
Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: нет.
Исполняемый файл: %systemroot%system32wbemWmiApSrv.exe.
Подраздел реестра: wmiApSrv.
Службы, необходимые для работы данной: нет.
Обеспечивает работу библиотеки WMI для клиентов сети.
Глава 7 Администрирование Windows Vista
• Настройка разрешений и аудит доступа
• Архивирование и восстановление
• Диагностика компонентов операционной системы
• Шифрование
• Работа с драйверами
• Работа с файловой системой
• Работа с принтерами
• Другие вопросы администрирования
В предыдущих главах мы рассмотрели основные программы операционной системы Windows Vista, оснастки, а также службы данной операционной системы. Сейчас же будут более подробно рассмотрены способы решения некоторых задач, которые могут возникнуть перед администратором Windows Vista.
7.1. Настройка разрешений и аудит доступа
По сравнению с предыдущими версиями операционных систем семейства Windows, настройка разрешений на доступ к файлам и ветвям реестра в Windows Vista совершенно не изменилась: окна операционной системы и механизмы изменения остались те же, настройки безопасности по-прежнему основаны на SID учетной записи пользователя.
...Примечание
SID представляет собой 48-битный код, который идентифицирует такие объекты операционной системы, как учетные записи пользователей, группы, компьютеры, домены и члены доменов. SID компьютера генерируется при инсталляции операционной системы и используется при генерации SID учетных записей локального компьютера: для создания SID учетной записи к SID компьютера добавляется уникальный на компьютере RID. При этом существует несколько RID, которые на любом компьютере идентифицируют одну и ту же учетную запись. Например, RID 500 идентифицирует учетную запись администратора, a RID 501 – учетную запись гостя.
Каждый SID начинается с буквы S, после которой указываются следующие элементы, разделенные дефисом: номер версии (как правило, 1), код агента идентификатора (как правило, 5), четыре кода субагентов, идущие подряд, и на последнем месте RID.
Однако теперь права администраторов на доступ к файлам и ветвям реестра по умолчанию несколько урезаны.
Реализация защиты
Подсистема защиты в операционных системах семейства Windows основана на SID, маркерах и дескрипторах защиты. Описание SID было приведено выше, сейчас же мы рассмотрим реализацию двух других терминов.
Маркер доступа
Маркер доступа представляет собой набор сведений, присваиваемых любому процессу при его создании и определяющих те операции, которые процесс может выполнять. Он содержит следующую информацию.
• Привилегии, которые предоставлены процессу или потоку (эта информация необходима для определения тех операций, которые может выполнять процесс в операционной системе).
• Тип олицетворения, если маркер является олицетворяющим (эта информация необходима для определения тех прав, которые будут заимствоваться процессом у другого процесса).
...Примечание
Олицетворение позволяет одному процессу заимствовать права другого (как будто он имеет маркер доступа другого процесса). Например, олицетворение часто применяется в клиент-серверных приложениях, где сервер может применять олицетворение для получения доступа к ресурсам компьютера от имени клиента (и с его правами доступа). При этом процесс, получивший олицетворяющий маркер (в нашем примере сервер), не может передавать его другому процессу.
Существует несколько уровней олицетворения: anonymous (олицетворение запрещено), identification (можно получать SID и привилегии клиента, но олицетворять клиента запрещено), impersonation (можно как идентифицировать, так и олицетворять клиента) и delegation (позволяет олицетворять клиента как на локальном, так и на удаленном компьютере). Вы уже встречались с этими уровнями при описании оснастки Службы компонентов.
• Информацию о том, кто создал данный маркер (диспетчер сеансов, RPC-cepвер и т. д.).
• DACL по умолчанию (эта информация необходима для определения тех атрибутов защиты, которые будут присваиваться создаваемым с помощью данного маркера объектам, если дескриптор защиты для создаваемого объекта не определен, и объект не наследует DACL родительского объекта).