Читайте также:
|
Очень важен контекст защиты сервиса, так как он определяет к каким ресурсам сможет получить доступ сервис. Большинство сервисов выполняется в контексте защиты учетной записи локальной системы – Local System или SYSTEM. В Windows XP введены две разновидности учетной записи локальной системы: сетевой сервис (network service) и локальный сервис (local service).
Учетная запись локальной системы (Local System)
Под этой учетной записью выполняются базовые компоненты ОС пользовательского режима, включая диспетчер сеансов - \Windows\System32\Smss.exe, процесс подсистемы Windows – Csrss.exe, подсистему локальной аутентификации - \Windows\System32\LSASS.exe и процесс Winlogon - \Windows\System32\Winlogon.exe. Другими словами большинство системных сервисов выполняются в контексте системной учетной записи Local System Account и может делать все, но только в пределах данного компьютера.
Если сервис запускается от имени системы, то появляется позможность задействовать опцию интерактивного взаимодействия с рабочим столом (Allow Service Interact with Desktop). Для большинства сервисов эта опция не используется. Не смотря на то, что большинство сервисов консольные, что оправдано их назначением, они могут быть интерактивными и иметь собственный пользовательский интерфейс. Чтобы предоставить сервису право на взаимодействие с пользователем, в параметр Type (Тип) в разделе реестра данного сервиса следует добавить модификатор SERVICE_INTERACTIVE_PROCESS. Примером может служить сервис Spooler, предназначенный для отсылки заданий на песать на принтер. Когда принтер заканчивает печать или закончилась бумага, сервис посредством диалоговых средств – графического окна и звука – сообщает об этом пользователю. Для того, чтобы пользователь смог увидеть сообщения от сервиса в его настройках должна быть установлена опция Allow service to interact with desktop.
Учетная запись Local System дает ее обладателю максимум возможностей:
- ее обладатель является членом группы администраторов;
- дает право на задание практически любых привилегий;
- дает право на доступ к большинству файлов и разделов реестра; даже если какие-то объекты не разрешают полный доступ, процессы под этой учетной записью могут воспользоваться привилегией захвата объекта во владение (take-ownership privilege) и тем самым получить нужный вид доступа;
- процессы под этой учетной записью по умолчанию применяют профиль пользователя HKU\DEFAULT, поэтому им недоступна конфигурационная информация, хранящаяся в профилях пользователей, сопоставленных с другими учетными записями;
- если данная система входит в домен Windows, то учетная запись Local System включает идентификатор защиты (security identifiers, SID) для компьютера, на котором выполняется сервисный процесс; поэтому сервис, работающий под данной учетной записью, будет автоматически аутентифицирован на других машинах в том же лесу (Лес – это группа доменов в Active Directory);
- если учетной записи компьютера специально не назначены права доступа к общим сетевым ресурсам, то процесс может получить права доступа к сетевым ресурсам, разрешающим null-сеансы, т.е. соединения, не требующие соответствующих удостоверений защиты.
Дата добавления: 2015-08-13; просмотров: 46 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Программы управления сервисами | | | Начало работы сервиса |