- •Введение
- •1. Службы Windows.
- •1.1. Программа – служба
- •1.2. Три компонента сервиса
- •1.3. Диспетчер управления сервисами (scm)
- •1.4. Программы управления сервисами
- •1.5. Учетные зависи сервиса
- •1.6. Начало работы сервиса
- •1.7. Выполнение сервиса
- •2. Разработка сервиса Win32.
- •2.1. Структура программы сервиса
- •2.2. Протокол взаимодействия scm и сервиса
- •2.3. Пример функций сервиса.
- •Программа, осуществляющая установку сервиса.
- •Отладка сервиса.
- •Литература
- •Оглавление
1.5. Учетные зависи сервиса
Очень важен контекст защиты сервиса, так как он определяет к каким ресурсам сможет получить доступ сервис. Большинство сервисов выполняется в контексте защиты учетной записи локальной системы – Local System или SYSTEM. В Windows XP введены две разновидности учетной записи локальной системы: сетевой сервис ( network service ) и локальный сервис ( local service ).
Учетная запись локальной системы (Local System)
Под этой учетной записью выполняются базовые компоненты ОС пользовательского режима, включая диспетчер сеансов - \Windows\System32\Smss.exe, процесс подсистемы Windows – Csrss.exe, подсистему локальной аутентификации - \Windows\System32\LSASS.exe и процесс Winlogon - \Windows\System32\Winlogon.exe. Другими словами большинство системных сервисов выполняются в контексте системной учетной записи Local System Account и может делать все, но только в пределах данного компьютера.
Если сервис запускается от имени системы, то появляется позможность задействовать опцию интерактивного взаимодействия с рабочим столом ( Allow Service Interact with Desktop ). Для большинства сервисов эта опция не используется. Не смотря на то, что большинство сервисов консольные, что оправдано их назначением, они могут быть интерактивными и иметь собственный пользовательский интерфейс. Чтобы предоставить сервису право на взаимодействие с пользователем, в параметр Type (Тип) в разделе реестра данного сервиса следует добавить модификатор SERVICE_INTERACTIVE_PROCESS. Примером может служить сервис Spooler, предназначенный для отсылки заданий на песать на принтер. Когда принтер заканчивает печать или закончилась бумага, сервис посредством диалоговых средств – графического окна и звука – сообщает об этом пользователю. Для того, чтобы пользователь смог увидеть сообщения от сервиса в его настройках должна быть установлена опция Allow service to interact with desktop.
Учетная запись Local System дает ее обладателю максимум возможностей:
- ее обладатель является членом группы администраторов;
- дает право на задание практически любых привилегий;
- дает право на доступ к большинству файлов и разделов реестра; даже если какие-то объекты не разрешают полный доступ, процессы под этой учетной записью могут воспользоваться привилегией захвата объекта во владение (take-ownership privilege) и тем самым получить нужный вид доступа;
- процессы под этой учетной записью по умолчанию применяют профиль пользователя HKU\DEFAULT, поэтому им недоступна конфигурационная информация, хранящаяся в профилях пользователей, сопоставленных с другими учетными записями;
- если данная система входит в домен Windows, то учетная запись Local System включает идентификатор защиты (security identifiers, SID ) для компьютера, на котором выполняется сервисный процесс; поэтому сервис, работающий под данной учетной записью, будет автоматически аутентифицирован на других машинах в том же лесу ( Лес – это группа доменов в Active Directory);
- если учетной записи компьютера специально не назначены права доступа к общим сетевым ресурсам, то процесс может получить права доступа к сетевым ресурсам, разрешающим null-сеансы, т.е. соединения, не требующие соответствующих удостоверений защиты.
Учетная запись сетевого сервиса (Network Service)
Эта учетная запись предназначена для сервисов, которые должны быть аутентифицированны на других компьютерах в сети по учетной записи компьютера. Поскольку данная учетная запись не относится к группе администраторов, выполняемые под ней сервисы по умолчанию получают доступ к гораздо меньшему количеству разделов реестра, а в файловой системе – к гораздо меньшему числу каталогов и файлов. Такой процесс имеет гораздо меньше привилегий. Например, процесс, выполняемый под учетной записью Network Service, не может загрузить драйвер устройства или открыть произвольный процесс.
Процессы, выполняемые под учетной записью Network Service, используют ее профиль, он загружается в раздел HKU\S-1-5-20, а его файлы и каталоги находятся в \Documents and Settings\NetworkService. В Windows XP и Windows Server 2003 под учетной записью Network Service выполняется DNS-клиент, отвечающий за разрешение DNS-имен и поиск контроллеров домена.
Учетная запись локальной службы (Local Service)
Эта учетная запись аналогична Network Service, но позволяет обращаться лишь к тем сетевым ресурсам, которые разрешают анонимный доступ. Данный профиль загружается в HKU\S-1-5-19 и хранится в \Documents and Settings\LocalService.
В Windows XP и Windows Server 2003 под учетной записью Local Service работают такие компоненты, как Remout Registry Service (Служба удаленного реестра), предоставляющая удаленный доступ к реестру локальной системы, служба оповещения, принимающая широковещательные сообщения с административными уведомлениями, и служба LmHosts, обеспечивающая разрешение NetBIOS-имен.
Выполнение сервисов под другими учетными записями
В силу вышеописанных ограничений некоторые сервисы должны работать с удостоверениями защиты учетной записи пользователя. Можно сконфигурировать сервис на выполнение под другой учетной записью при его создании или с помощью оснастки Services (Сервисы) консоли MMC (рис.5), указав пароль и учетную запись, под которой сервис должен работать.