Служба диспетчера доступа к возможностям что это?

Рекомендации по безопасности для системных служб в Windows Server 2016

• 11/26/2018
• Время чтения: 51 мин
• Соавторы

Относится к: Windows Server 2016Applies to: Windows Server 2016

Операционная система Windows включает многие системные службы, предоставляющие важные функции.The Windows operating system includes many system services that provide important functionality.

Разные службы используют политики запуска по умолчанию: некоторые запускаются по умолчанию (автоматическое), некоторые при необходимости (вручную), а также некоторые отключены по умолчанию и должно быть явно включено до их выполнения.

Different services have different default startup policies: some are started by default (automatic), some when needed (manual), and some are disabled by default and must be explicitly enabled before they can run.

Тем не менее некоторые корпоративные клиенты могут предпочитать баланс более ориентированные на безопасность для их компьютеров под управлением Windows и серверы, т.е.

уменьшает их атаки минимально, а затем поэтому можете полностью отключить все службы, которые не требуются в их отношении сред.

However, some enterprise customers may prefer a more security-focused balance for their Windows PCs and servers, one that reduces their attack surface to the absolute minimum, and may therefore wish to fully disable all services that are not needed in their specific environments.

Для тех заказчиков Microsoft® предоставляет соответствующие рекомендации о том, какие службы можно безопасно отключить для этой цели.For those customers, Microsoft® is providing the accompanying guidance regarding which services can safely be disabled for this purpose.

Руководство предназначено только для Windows Server 2016 с возможностями рабочего стола, (если не используется в качестве замены рабочего стола для конечных пользователей).

The guidance is only for Windows Server 2016 with Desktop Experience (unless used as a desktop replacement for end users). Начиная с Windows Server 2019, эти правила настраиваются по умолчанию.Beginning with Windows Server 2019, these guidelines are configured by default.

Каждая служба в системе имеется следующим образом:Each service on the system is categorized as follows:

• Следует отключить: Enterprise, ориентированные на безопасность будет скорее всего предпочтут к отключении этой службы и отказаться от его функциональных возможностей (см. Дополнительные сведения ниже).Should Disable: A security-focused enterprise will most ly prefer to disable this service and forego its functionality (see additional details below).
• ОК, чтобы отключить: Эта служба предоставляет функциональные возможности для некоторых, но не для всех предприятий и предприятий, ориентированные на безопасность, не использующих его можно будет спокойно отключить его.OK to Disable: This service provides functionality that is useful to some but not all enterprises, and security-focused enterprises that don’t use it can safely disable it.
• Не отключайте: Отключение этой службы влияет на основные функциональные возможности или препятствовать правильной работе или иных ролей или компонентов.Do Not Disable: Disabling this service will impact essential functionality or prevent specific roles or features from functioning correctly. Поэтому его не следует отключать.Therefore it should not be disabled.
• (Нет рекомендаций): Последствия отключения этих служб полностью не вычислен.(No guidance): The impact of disabling these services has not been fully evaluated. Таким образом конфигурация по умолчанию эти службы не должен изменяться.Therefore, the default configuration of these services should not be changed.

Клиенты могут настроить свои Windows компьютеров и серверов, чтобы отключить выбранные службы с помощью шаблонов безопасности в их групповые политики или с помощью PowerShell службы автоматизации.Customers can configure their Windows PCs and servers to disable selected services using the Security Templates in their Group Policies or using PowerShell automation.

В некоторых случаях руководство содержит определенные параметры групповой политики, которые отключают функциональные возможности службы напрямую, в качестве альтернативы для отключения самой службы.In some cases, the guidance includes specific Group Policy settings that disable the service’s functionality directly, as an alternative to disabling the service itself.

Корпорация Майкрософт рекомендует, что клиенты отключить следующие службы и соответствующих запланированных задач в Windows Server 2016 с возможностями рабочего стола.Microsoft recommends that customers disable the following services and their respective scheduled tasks on Windows Server 2016 with Desktop Experience:

Службы.Services:

1. Xbox Live Auth ManagerXbox Live Auth Manager
2. Xbox Live игр сохраненияXbox Live Game Save

Запланированные задачи:Scheduled tasks:

1. \Microsoft\XblGameSave\XblGameSaveTask\Microsoft\XblGameSave\XblGameSaveTask
2. \Microsoft\XblGameSave\XblGameSaveTaskLogon\Microsoft\XblGameSave\XblGameSaveTaskLogon

(Вы также информацию можно найти на все службы, описанные в этой статье, просматривая вложенные таблицы Microsoft Excel: Рекомендации по отключению системных служб в Windows Server 2016 с возможностями рабочего стола)(You can also access the information on all services detailed in this article by viewing the attached Microsoft Excel spreadsheet: Guidance on Disabling System Services on Windows Server 2016 with Desktop Experience)

Отключение служб, не устанавливаются по умолчаниюDisabling services not installed by default

Корпорация Майкрософт не рекомендует применение политик для отключения службы, которые не устанавливаются по умолчанию.Microsoft recommends against applying policies to disable services that are not installed by default.

• Службы обычно требуется, если он установлен.The service is usually needed if the feature is installed. Установка службы или компонента необходимы права администратора.Installing the service or the feature requires administrative rights. Запрет установки компонента, не запуска службы.Disallow the feature installation, not the service startup.
• Блокирование службы Microsoft Windows не остановить администратора (или без прав администратора в некоторых случаях) установку аналогично эквивалент независимых производителей, возможно, один высокий риск безопасности.Blocking the Microsoft Windows service doesn't stop an admin (or non-admin in some cases) from installing a similar third-party equivalent, perhaps one with a higher security risk.
• Исходный или тест производительности, который отключает службы Windows не по умолчанию (например, W3SVC) даст некоторые аудиторы ошибочный впечатление, что технологии (например, IIS) по своей природе небезопасен и никогда не должен использоваться.A baseline or benchmark that disables a non-default Windows service (for example, W3SVC) will give some auditors the mistaken impression that the technology (for example, IIS) is inherently insecure and should never be used.
• Если функция (и служба) никогда не установлен, это просто добавляет ненужные массового базовыми показателями и проверки.If the feature (and service) is never installed, this just adds unnecessary bulk to the baseline and to verification work.

Для всех системных служб, перечисленных в этом документе две таблицы, которые выполните предложения описание столбцов и рекомендаций Майкрософт для включения и отключения системных служб в Windows Server 2016 с возможностями рабочего стола:For all system services listed in this document, the two tables that follow offer an explanation of columns and Microsoft recommendations for enabling and disabling system services in Windows Server 2016 with Desktop Experience:

Описание столбцовExplanation of columns

Источник: https://docs.microsoft.com/ru-ru/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server

«Диспетчер подключений удаленного доступа»: что это за служба и какие действия с ней можно производить?

Компьютеры 30 августа 2018

Служба «Диспетчер подключений удаленного доступа» в Windows-системах многим рядовым пользователям практически неизвестна, и очень часто они просто-напросто не знают, что это такое и за что отвечает этот системный компонент.

Между тем иногда можно встретить появление некоторых специфичных ошибок, в которых прямо или косвенно присутствует отсылка именно к этой службе.

Попробуем восполнить пробел в знаниях, а также рассмотрим некоторые типичные ситуации, связанные с функционированием этого компонента.

Что такое «Диспетчер подключений удаленного доступа»?

Вообще, начать следует с того, что большинство неподготовленных пользователей ошибочно воспринимают эту службу за инструмент удаленного доступа к другому компьютеру.

Действительно, частично описываемый компонент и отвечает за такие подключения, однако среда его использования гораздо шире.

Но если говорить понятным языком, «Диспетчер подключений удаленного доступа» используется операционной системой для множества операций, среди которых особое место занимает активация VPN-подключений и общего доступа к интернету, не говоря уже о возможности управления другими компьютерами, находящимися в Сети, обновлении Windows, использовании телефонии и т.д.

А вот тут и начнут появляться уведомления об ошибках, в которых прямо о том, что нарушение работы связано именно с «Диспетчером подключений удаленного доступа», сказано не будет, однако код ошибки может свидетельствовать как раз об этом. На возможных сбоях остановимся подробнее чуть позже, а пока давайте выясним, насколько целесообразно активировать или отключать этот компонент.

Нужно ли запускать службу в ручном режиме?

Как правило, если посмотреть на состояние самой службы, используя для этого в Windows-системах соответствующий раздел, вызываемый через консоль «Выполнить» командой services.msc, нетрудно убедиться, что ее старт по умолчанию установлен на автоматический запуск.

В кратком описании сказано, что «Диспетчер подключений удаленного доступа» оказывает влияние на VPN-подключения, а также на некоторые другие, явно зависящие от нее компоненты (какие именно не уточняется).

Тем не менее поскольку данный компонент стартует исключительно автоматически, производить с ним какие-либо операции самостоятельно не нужно. Исключение составляют только те ситуации, когда по каким-либо причинам он был деактивирован.

Но как запустить «Диспетчер подключений удаленного доступа» вручную, если произошел какой-то сбой? Все просто!

Двойным кликом необходимо вызвать окно редактирования параметров, затем нажать кнопку запуска и только потом из выпадающего списка выбрать автоматический тип старта. После сохранения изменений перезагрузку системы, в принципе, производить не нужно. Такое действие может потребоваться только в том случае, если вы пытаетесь устранить ошибки, связанные именно с этим компонентом.

Можно ли отключить «Диспетчер подключений удаленного доступа»?

Иногда у пользователей возникают совершенно законные вопросы по поводу отключения этой службы, поскольку в том же интернете можно встретить немало рекомендаций по улучшению быстродействия системы как раз за счет деактивации неиспользуемых компонентов. Насколько это целесообразно? По большому счету отключать эту службу не стоит (в оперативной памяти сам процесс занимает порядка 3-4 Мб и особого влияния на чрезмерное потребление системных ресурсов не оказывает).

С другой стороны, если вы действительно не используете то же VPN-подключение, доступ к удаленному «Рабочему столу», не планируете устанавливать апдейты для операционной системы, не используете печать на сетевом принтере, деактивировать саму службу и связанный с ней процесс RasMan можно.

Грубо говоря, отключение целесообразно производить только в том случае, если ваш компьютер практически полностью изолирован от внешнего мира.

Но и в данном случае рекомендуется только заблокировать порты UDP 445, 138, 137 и 135, а также порты TCP 593, 445, 139 и 135. Блокированию также подлежат все активированные пользователем в ручном режиме порты, используемые службой RPC (вызов удаленных процедур). Саму службу можно оставить в ручном режиме старта.

Побочные эффекты при деактивации службы

Что же касается последствий отключения описываемой службы, после этого ни о каком использовании VPN и речи не будет, телефонию использовать будет невозможно, не говоря уже о том, что некоторые проблемы могут возникнуть при установке в систему самонастраивающихся устройств Plug&Play.

Кроме того, как уже говорилось выше, могут появиться и неполадки в работе Windows Audio (чаще всего появляется ошибка запуска дочерних служб с номером 1068), не исключается и возникновение сбоя 711.

Устранение проблем с запуском службы

Впрочем, и с самой службой можно встретить проблемы. В частности, это связано с тем, что «Диспетчер подключений удаленного доступа» не запускается ни под каким предлогом.

В этом случае, как ни странно, рекомендуется проверить именно состояние дочерних служб, а также обратить внимание на дополнительные процессы вроде вызова удаленных процедур, базовой фильтрации в брандмауэре, для которых тип запуска должен быть выставлен на автоматический.

Иногда можно попробовать просто восстановить систему до той точки, когда проблем не наблюдалось. В наихудшей ситуации можно попробовать вернуть Windows (8 или 10) в исходное состояние или даже переустановить заново.

Краткие выводы

Выше была приведена только очень краткая информация. На самом деле с самим описанным компонентом дела обстоят гораздо сложнее.

Но если давать напоследок какие-то рекомендации, можно сказать, что заниматься экспериментами по деактивации этой службы, ее дочерних компонентов, принудительным завершением процессов svchost или удалением одноименного файла не стоит.

Вследствие таких необдуманных действий проблемы можно получить гораздо более серьезные (некоторые программы окажутся неработоспособными, да и вся операционная система может «полететь»).

Источник: .ru

Источник: http://monateka.com/article/287492/

Службы Windows — часть 2

Какие сервисы нужны для нормального функционирования службы Веб-клиент (WebClient):

· WebDav Client Redirector

Какие сервисы требуют работу службы Веб-клиент (WebClient) для нормального функционирования:

· Никакие

Вторичный вход в систему (Secondary Logon)

Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен.

Название службы: seclogon Название процесса: svchost.exe По умолчанию в Windows XP Home: Автоматически По умолчанию в Windows XP Pro: Автоматически Рекомендуемое значение: Автоматически Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Вторичный вход в систему (Secondary Logon):

· Никакие

Какие сервисы требуют работу службы Вторичный вход в систему (Secondary Logon) для нормального функционирования:

· Никакие

Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)

Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу. Данная служба может быть необходима для функционирования вашего Интернет соединения.

Попробуйте отключить ее, если у вас перестал работать Интернет, то верните значение службы в Автоматически.

Имейте ввиду, что данная служба может потребоваться для некоторых прямых подключений или DSL-подключений.

Название службы: RasAuto Название процесса: svchost.exe По умолчанию в Windows XP Home: Вручную По умолчанию в Windows XP Pro: Вручную Рекомендуемое значение: Вручную Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager):

· Диспетчер подключений удаленного доступа (Remote Access Connection Manager)

o Телефония (Telephony)

— Plug and Play (Plug and Play)

— Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

· Телефония (Telephony)

o Plug and Play (Plug and Play)

o Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager) для нормального функционирования:

· Никакие

Диспетчер логических дисков (Logical Disk Manager)

Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков. Если эта служба остановлена, состояние динамических дисков и информация о конфигурации может оказаться устаревшей. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Название службы: dmserver Название процесса: svchost.exe По умолчанию в Windows XP Home: Вручную По умолчанию в Windows XP Pro: Автоматически Рекомендуемое значение: Вручную Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер логических дисков (Logical Disk Manager):

· Plug and Play (Plug and Play)

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

· Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)

Диспетчер отгрузки (Upload Manager)

Данная служба будет удалена после установки SP2.

Управляет синхронной и асинхронной передачей файлов между клиентами и серверами в сети. Если эта служба остановлена, синхронная и асинхронная передача файлов между клиентами и серверами в сети не будет выполняться.

Название службы: uploadmgr Название процесса: svchost.exe По умолчанию в Windows XP Home: Автоматически По умолчанию в Windows XP Pro: Автоматически Рекомендуемое значение: Отключена Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер отгрузки (Upload Manager):

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Диспетчер отгрузки (Upload Manager) для нормального функционирования:

· Никакие

Диспетчер очереди печати (Print Spooler)

Диспетчер очереди печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например USB-портами и протоколами семейства TCP/IP. Если вы не используете печать и у вас в системе не установлено ни одного принтера, то отключите данную службу.

Название службы: Spooler Название процесса: spoolsv.exe По умолчанию в Windows XP Home: Автоматически По умолчанию в Windows XP Pro: Автоматически Рекомендуемое значение: Автоматически Вход от имени: Локальная система Используемые протоколы и порты, на которых служба ожидает входящий трафик: TCP: 139, TCP: 445

Какие сервисы нужны для нормального функционирования службы Диспетчер очереди печати (Print Spooler):

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Диспетчер очереди печати (Print Spooler) для нормального функционирования:

· Служба факсов (Fax Service)

· TCP/IP Printer Server

Диспетчер подключений удаленного доступа (Remote Access Connection Manager)

Создает сетевое подключение. Данная служба необходима, если вы используете общий доступ к Интернету. Попробуйте отключить ее, если у вас перестал работать интернет, то верните значение службы в Автоматически. Имейте ввиду, что данная служба может потребоваться для некоторых прямых подключений или DSL-подключений.

Название службы: RasMan Название процесса: svchost.exe По умолчанию в Windows XP Home: Вручную По умолчанию в Windows XP Pro: Вручную Рекомендуемое значение: Вручную Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер подключений удаленного доступа (Remote Access Connection Manager):

· Телефония (Telephony)

o Plug and Play (Plug and Play)

o Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

· Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) (Internet Connection Firewall/Internet Connection Sharing)

· Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)

Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager)

Управляет возможностями удаленного помощника. После остановки данной службы удаленный помощник будет недоступен. Если вам не нужна данная служба, то просто отключите ее. В режиме бездействия данная служба занимает от 3.4 до мб оперативной памяти.

Название службы: RDSessMgr Название процесса: sessmgr.exe По умолчанию в Windows XP Home: Вручную По умолчанию в Windows XP Pro: Вручную Рекомендуемое значение: Отключена Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager):

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) для нормального функционирования:

· Никакие

Диспетчер сетевого DDE (Network DDE DSDM)

Управляет сетевыми общими ресурсами динамического обмена данными (DDE). Если эта служба остановлена, сетевые общие ресурсы DDE не будут доступны. Я не нашел применения данной службы. Если вы не используете Сервер папки обмена (ClipBook), то отключите данную службу.

Название службы: NetDDE dsdm Название процесса: netdde.exe По умолчанию в Windows XP Home: Отключена По умолчанию в Windows XP Pro: Отключена Рекомендуемое значение: Отключена Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Диспетчер сетевого DDE (Network DDE DSDM):

· Никакие

Какие сервисы требуют работу службы Диспетчер сетевого DDE (Network DDE DSDM) для нормального функционирования:

· Служба сетевого DDE (Network DDE)

o Сервер папки обмена (ClipBook)

Диспетчер учетных записей безопасности (Security Accounts Manager)

Хранит информацию о безопасности для учетной записи локального пользователя.

Без этой службы не будет работать служба IIS Admin (IIS Admin). Если вы не делали никаких изменений в локальной политике безопасности (gpedit.msc), то можете отключить данную службу.

Если же вы делали изменения в локальной политике безопасности и отключите данную службу, то все изменения, которые вы делали, перестанут работать.

Поэтому я рекомендую оставить режим запуска этой службы по умолчанию, то есть Автоматически.

Какие сервисы нужны для нормального функционирования службы Диспетчер учетных записей безопасности (Security Accounts Manager):

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Диспетчер учетных записей безопасности (Security Accounts Manager) для нормального функционирования:

· Координатор распределенных транзакций (Distributed Transaction Coordinator)

o Message Queuing

— Message Queuing Trigg

· IIS Admin

o FTP Publishing Service

o Simple Mail Transport Protocol (SMTP)

o World Wide Web Publishing Service

Доступ к HID-устройствам (Human Interface Device Access)

Обеспечивает универсальный доступ к HID-устройствам (Human Interface Devices), который активизирует и поддерживает использование заранее определенных клавиш быстрого вызова на клавиатуре, устройствах управления или иных устройствах мультимедиа.

Если эта служба остановлена, клавиши быстрого вызова, управляемые этой службой, не будут работать. Вы можете не иметь проблем с внешними устройствами при отключении этой службы.

Если же какая-нибудь «уникальная» функция вашего устройства перестанет работать, то измените значение на «Автоматически».

Название службы: HidServ Название процесса: svchost.exe По умолчанию в Windows XP Home: Отключена По умолчанию в Windows XP Pro: Отключена Рекомендуемое значение: Отключена Вход от имени: Локальная система

Какие сервисы нужны для нормального функционирования службы Доступ к HID-устройствам (Human Interface Device Access):

· Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие сервисы требуют работу службы Доступ к HID-устройствам (Human Interface Device Access) для нормального функционирования:

Источник: http://MirZnanii.com/a/116009-2/sluzhby-windows-2