Головна > Мікрохвильові печі > Які служби у Windows потрібні, а які можна вимкнути. Вимкнення непотрібних служб Windows Виявлення ssdp


Які служби у Windows потрібні, а які можна вимкнути. Вимкнення непотрібних служб Windows Виявлення ssdp




Служби (Services)- це програми, які запускаються у фоновому режимі під час завантаження системи або при виникненні певних подій та забезпечують основні функціональні можливості операційної системи. Як правило, служби не мають графічного інтерфейсутому їх робота в більшості своїй не помітна для користувача.

При стандартній інсталяції Windows XP Professional в систему встановлюється близько 80 різноманітних служб. І незважаючи на те, що не всі з них запускаються автоматично, кількість тих, хто працює за умовчанням, все одно здається занадто завищеною, якщо врахувати, що значна частина від загальної кількості вразливостей, коли-небудь виявлених у цій ОС, припадає саме на системні служби. До того ж, у домашніх умовах у багатьох службах, що працюють за умовчанням, просто немає жодної необхідності.

З цих і ряду інших причин, пов'язаних з оптимізацією роботи комп'ютера, рекомендовано відключити всі невикористані вами служби. Більше того, відключення непотрібних службі функцій - один із самих ефективних способівзахисту від можливих нападів

Щоб переглянути список усіх служб, встановлених на комп'ютері, ви можете:

Пуск (Start) > Панель Управління (Control Panel) > Адміністрація (Administrative Tools) > Служби (Services)

Або запустивши з командного рядка services.msc:

Пуск (Start) > Виконати (Run) > копіюємо у рядок: services.msc > натискаємо ОК або клавішу ENTER

Щоб змінити тип запуску за замовчуванням, натисніть на потрібну службу. подвійним натисканняммиші і у вікні властивостей, що відкрилося, в першій закладці - "Загальні" ("General")- Виберіть бажаний "Тип запуску" ("StartUp Type"):

Нижче наведено основний список служб в алфавітному порядку, для яких "Тип Запуску" рекомендується встановити в положення "Відключено" ("Disabled").

Однак як загальне правило потрібно прийняти, що необхідно відключити все, що не використовується!

  • Бездротове налаштування (Wireless Zero Configuration)- відключаємо через повну непотрібність у тому випадку, якщо у вас немає адаптерів бездротового зв'язку, і ви не збираєтеся використовувати "нульову" конфігурацію бездротової мережі(WZCS key handling).
  • Веб-клієнт (WebClient)- дозволяє додатків Windowsстворювати, зберігати та змінювати файли, що знаходяться на серверах WebDAV * (Використання Web Publishing Wizard для публікації даних в Інтернет). На перегляд ресурсів в Інтернеті відключення цієї служби ніяк не впливає, оскільки вона використовується тільки для WebDAV-підключень, до того ж програми, яким цей мережевий протокол необхідний, зазвичай мають вбудовані перенаправники WebDAV, що працюють незалежно від служби "Веб-клієнт" ( MS06-008).
  • Диспетчер черги друку (Print Spooler)- відповідає за обробку, планування та розподіл документів, призначених для друку. Обов'язково відключаємо, якщо у вас немає принтера (MS05-043, US-CERT VU#914617).
  • Диспетчер сеансу довідки для віддаленого робочого столу (Remote Desktop Help Session Manager)- керує можливостями віддаленого помічника. Вимкніть, якщо не використовуєте цю функцію (MS05-041).
  • Диспетчер мережевого DDE** (Network DDE DSDM)- керує загальними ресурсами мережного динамічного обміну даними (DDE).
  • Маршрутизація та віддалений доступ (Routing and Remote Access)- забезпечує багатопротокольні функції маршрутизації, підключення віддаленого доступу та віддаленого доступу через мережу VPN (MS06-025).
  • Модуль підтримки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service)- ця служба необхідна при спільному використанні ресурсів та мережного друку. Вимкніть, якщо у вас немає потреби в цих функціях.
  • Оглядач комп'ютера (Computer Browser)- забезпечує функціонування списку доменів Windows, комп'ютерів у масштабі всієї мережі та інших апаратних пристроїв, сумісних з протоколом NetBIOS. Для звичайних користувачівта домашніх комп'ютерів ця служба повністю марна (MS05-007).
  • Оповіщувач (Alerter)- посилає вибраним користувачам та комп'ютерам адміністративні оповіщення. У домашніх умовах служба не потрібна (CVE-1999-0630).
  • Планувальник завдань (Task Scheduler)- дозволяє складати розклад для запуску програм, скриптів або резервного копіювання(Пуск/Start > Програми/Programs > Стандартні/Accessories > Службові/System Tools > Призначені завдання/Scheduled Tasks). Якщо ви ніколи не використовуєте призначені завдання, вимкніть цю службу.
  • Сервер (Server)- Виконує основні функції сервера: забезпечує спільне використання файлів, принтерів, іменованих каналів у мережі. Якщо у вас немає необхідності відкривати доступ до ваших файлів та принтерів, обов'язково відключаємо (MS06-035, MS06-040, MS06-063).
  • Сервер папки обміну (ClipBook)- дозволяє переглядати вміст папки буфера обміну віддаленим користувачам.
    Просмощник буфера обміну *** (ClipBook Viewer) відкривається так: Пуск (Start) > Програми (Programs) > Стандартні (Accessories) > Вікно папки обміну (ClipBook Viewer); або у верхньому меню Acrobat Reader: Window > Clipboard Viewer. Якщо ви не хочете ні з ким обмінюватися цією інформацією, вимкніть цю службу.
  • Мережевий вхід до системи (Net Logon)- дана служба забезпечує безпеку автентифікації користувача при підключенні його комп'ютера до домену. Якщо комп'ютер не входить до домену, вимкніть його.
  • Служба індексування (Indexing Service)- індексує вміст та властивості файлів на локальному та віддалених комп'ютерах, що дозволяє здійснювати пошук будь-якого слова чи фрази, які містяться у документах користувача. Звичайний пошук файлів після вимкнення цієї служби не уповільнюється (MS06-053).
  • Служба виявлення SSDP (SSDP Discovery Service)- Виконує пошук пристроїв UPnP **** в домашньої мережі. Обов'язково відключаємо у випадку, якщо ви не працюєте з мережевими пристроями (MS01-059).
  • Служба повідомлень (Messenger)- надсилає та отримує повідомлення, передані адміністратором або службою оповіщень. За відсутності мережі (і відповідно адміністратора) абсолютно марна (ніякого відношення до програми Windows/MSN Messenger, ця служба не має). Також бажано відключити для того, щоб заборонити net send повідомлення для приховання вашого комп'ютера від автоматизованих спам розсилок (MS03-043).
  • Служба мережевого DDE (Network DDE)- забезпечує мережевий транспорт та безпеку для динамічного обміну даними (DDE) для програм, що виконуються на локальному чи віддалених комп'ютерах.
  • Служби терміналів (Terminal Services)- надає можливість кільком користувачам інтерактивно підключатися до комп'ютера, є основою для віддаленого робочого столу (включаючи віддалене адміністрування), швидкого перемикання користувачів та віддаленого помічника (MS05-041, MS07-006).
  • Служби IPSEC (IPSEC Services)- ця служба зазвичай використовується для шифрування IP-трафіку між робочою станцією та доменом, а також для VPN-з'єднань. Якщо ви не входите в домен і у вас немає VPN-мережі, цю службу можна вимкнути.
  • Віддалений реєстр(Remote Registry Service)- дозволяє віддаленим користувачам змінювати настройки реєстру на вашому комп'ютері.
  • Вузол універсальних PnP-пристроїв (Universal Plug and Play Device Host)- забезпечує підтримку та керування UPnP-пристроями. Вимкніть, якщо ви не підключаєте до своєї мережі будь-які пристрої UPnP (MS01-059).
  • NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing)- забезпечує віддалений доступ відповідним користувачам до робітника столу Windowsз інших комп'ютерів за допомогою програми Windows NetMeeting (програма NetMeeting призначена для проведення аудіо та відеоконференцій у мережі). Вимикаємо, якщо не використовується (MS05-041, MS04-011).
  • Telnet (Telnet)- забезпечує можливість з'єднання та віддаленої роботив системі протоколу Telnet (Teletype Network) за допомогою командного інтерпретатора. Не використовує шифрування і тому дуже вразливий для атак у разі застосування його в мережі (MS05-003).

_________________________

* WebDAV (Web Distributed Authoring and Versioning) - це сучасний та захищений мережевий протокол високого рівня, що розширює та працює поверх HTTP (Hypertext Transfer Protocol) для управління та зручнішої роботи з файлами та документами між комп'ютерами в Інтернет.

** Динамічний обмін даними (DDE) був однією з перших технологій, за допомогою якої виявився можливим обмін інформацією між програмами. Пізніше механізм DDE замінили на автоматизацію OLE; Тим не менш, DDE все ще підтримується для сумісності зі застарілими програмами.

*** Буфер обміну знаходиться в активному стані протягом усього часу вашої роботи у Windows. Наприклад, коли ви виділяєте текст або якісь графічні елементи всередині програми і потім даєте команду "Копіювати" ("Copy") або "Вирізати" ("Cut"), ви переміщаєте всю вибрану інформацію в буфер обміну (Clipboard). За командою "Вставити" ("Paste") вміст буфера обміну копіюється у програму.

**** UPnP (Universal Plug and Play) - це універсальна автоматичне налаштуваннята підключення мережевих пристроїводин до одного, внаслідок чого мережа (наприклад, домашня) може стати доступною більшій кількості людей.

Змінено 2 вересня, 2007 Користувачем Saule

У Windows NT/2000/XP/Vista/Seven служби - це програми, які виконуються у фоновому режимі та не мають інтерфейсу користувача. Багато служб – важливі компоненти системи, без яких не можлива правильна робота операційної системи. Але відключення деяких служб не завдасть шкоди системі. І при цьому дозволить зменшити навантаження на процесор та заощадити пам'ять. Це служби, які не потрібні для реалізації функціональності якоїсь конкретної машини, яка налаштована на певні завдання. Наприклад, якщо комп'ютер не підключений до мережі Інтернет, то для нього немає потреби у службі «Мережні підключення» та інших службах, пов'язаних із мережею.

Майже всі системні служби залежать одна від одної, так що необхідно бути дуже обережним, змінюючи стандартні налаштування. При відключенні однієї служби не запустяться всі служби, які залежать від неї. Це може спричинити неприємні наслідки. Тому перш ніж пуститися в експерименти, краще створити резервну копіютого розділу реєстру, який відповідає за запуск системних служб. А саме: .

У цій статті будуть описані служби Speed ​​Disk Service, Norton Unerase Protection, AVP Control Centre Service тощо, які з'являються після встановлення відповідних компонентів. Розібратися з ними користувачеві належить самостійно.

Необхідно враховувати, що у Windows можна налаштувати служби для кожної облікового запису. Таким чином, якщо комп'ютером користується кілька осіб, і кожному він необхідний для власних потреб, то кожен може залишити ті служби, якими саме він користуватиметься.

І ще один важливий момент. Ця стаття написана, щоб розповісти широкому загалу про можливості оптимізації системи, і не закликає робити жодних неосмислених дій у цьому відношенні. Необхідно пам'ятати, що відключивши якусь службу, ви вплине на роботу завдань, що виконуються на цій машині, і якщо згодом системі знадобиться відключений сервіс, не варто звинувачувати автора цих рядків.

Перед роботою зі службами введіть командному рядку"services.msc", або оберіть відповідний пункт у меню "Пуск". Відкрийте "Панель керування", далі "Адміністрація" > "Служби". У колонці «Стан» показано поточний стан служби (вимкнено або працює), у колонці «Тип запуску» показано, чи буде служба автоматично запускатися під час завантаженні Windows. Щоб відключити службу, клацніть по ній двічі і в графі «Тип запуску» встановіть «Вимкнено». Тут можна відключити службу для негайного припинення роботи.

Нижче наведено послуги, які можна вимкнути, але тільки якщо ви не користуєтеся відповідними функціями комп'ютера.

"Служба виявлення SSDP" , "Вузол універсальних PnP-пристроїв- це служби, які призначені для підключення до комп'ютера «розумний» побутової техніки. Більшість російських громадян такої техніки просто немає. Ці служби можна вимкнути.

"Автоматичне оновлення" , "Адаптер продуктивності WMI" , "Модуль підтримки смарт-карт" , "Смарт-карти" , " Серійний номерпереносного медіа-пристрою"
– У російських умовах ці служби використовуються досить рідко. Докладний описслужб шукайте у спеціалізованих джерелах.

"Вторинний вхід до системи" , "Сумісність швидкого перемикання користувачів"– можна вимкнути, якщо у системи лише один користувач.

"Планувальник завдань"– можна вимкнути, якщо ви не плануєте запускати програми, задані розкладом.

"Джерело безперебійного живлення" – Цю службу можна вимкнути, якщо ви не користуєтеся джерелом безперебійного живлення.

"Клієнт відстеження зв'язків, що змінилися" - для жорсткого дискане застосовується файлова система NTFS можна видалити цю службу.

"Тіньове копіювання тома- Ви можете видалити цю службу, якщо в комп'ютері використовується не RAID-масив, а звичайний жорсткий диск.

"Диспетчер черги друку"– якщо принтер не підключено до комп'ютера, можна видалити цю службу.

"Бездротове налаштування"– якщо у вас не ноутбук або ноутбук без Wi-Fi адаптера, призначеного для підключення до мережі по радіоканалу, то цю службу можна видалити.

– при видаленні цієї служби інтернет браузер не буде робити спроби підключення до інтернету під час перегляду сторінок з елементами, що оновлюються.

"Служба індексування- при видаленні цієї служби зменшиться місце, яке займає система на диску, прискориться відкриття файлів, система, але пошук за допомогою внутрішніх засобів провідника буде проводитися повільніше. , звільнивши таким чином місце на жорсткому диску.

"Службу реєстрації помилок", "Журнали та оповіщення продуктивності", "Сповіщення про системні події"-Можна відключити, так більшості користувачів не доводиться вести протоколи системних помилок.

"NetMeeting Remote Desktop Sharing Telnet", "Диспетчер мережного DDE", "Диспетчер сеансу довідки для віддаленого робочого столу", "Обозреватель комп'ютерів", "Диспетчер облікових записів безпеки", " Робоча станція", "Модуль підтримки NetBIOS через TCP/IP", "Сповісник", "Сервер папки обміну", "Мережевий вхід до системи", "Служба повідомлень", "Служба мережного DDE", "Сервер", "Служба мережного розташування NLA" , "Служби криптографії", "Служби терміналів", "Віддалений реєстр", "Фонова інтелектуальна служба передачі" - Ви можете вимкнути ці служби, якщо у вас немає локальної мережі.

"Диспетчер автоз'єднань віддаленого доступу"- при видаленні цієї служби інтернет браузер не буде робити спроби підключення до інтернету при перегляді сторінок з елементами, що оновлюються.

"QoS RSVP", "DNS-клієнт", "DHCP-клієнт", "Диспетчер відвантаження", "Брандмауер інтернету", "Веб-клієнт", "Телефонія", "Служба шлюзу рівня програми", "Захищене сховище", " Служби IPSEC", "Маршрутизація та віддалений доступ", "Мережеві підключення", "Диспетчер підключень віддаленого доступу" - ці служби можна вимкнути, якщо комп'ютер не має ні модему, ні локальної мережі.

"Служба часу Windows"- якщо ви не збираєтеся синхронізувати через інтернет годинник вашого комп'ютера з атомним годинником.

"Служба COM запису компакт-дисків IMAPI"- якщо замість вбудованих в Windows засобівзапису дисків ви використовуєте спеціалізовану програму (WinOnCD або Nero Burning ROM), то можете видалити цю службу.

У цій статті - конкретні рекомендації про те, які служби у Windows можна безболісно відключати - з одним застереженням: якщо ви маєте справу з вашим персональним комп'ютером, не включеним у жодну хитру комп'ютерну мережуабо спеціально налаштованим під вузькоспеціалізовані завдання.

Відключення непотрібних служб призводить до збільшення швидкодії - і, звісно, ​​економії оперативної пам'яті. Система не відволікатиметься на непотрібні вам завдання. Крім того, підвищиться і безпека – якщо якісь служби, що дозволяють підключатися до комп'ютера ззовні, просто не працюють – то й підключення неможливе. Пояснення будуть надані на прикладі Windows XP, Windows Vista і Windows Seven - служби у всіх системах схожі і відрізняються, переважно, назвами. Відмінності назв будуть вказані особливо, для Windows XP також наведу англійські назви служб (очевидно, користувачів англійських Vista/Seven в Росії вкрай мало - та й служби, знову ж таки, називаються приблизно однаково).

Автоматичні оновлення (Automatic updates)

Vista/Seven: Центр оновлення Windows

Якщо вам не потрібні оновлення та зайві проблеми, пов'язані з ними - можете відключити цю службу. Стабільні збірки систем, як правило, вільні від серйозних помилок і можуть використовуватися будь-коли довгий час без будь-яких оновлень. Найчастіше, оновлення включають виправлення помилок в системах безпеки, які домашньому комп'ютеру, не включеному в жодну мережу, взагалі не потрібні. У Vista/Seven я часто стикався з тим, що після оновлень система довго не може завантажитися (або взагалі випадає в осад) - так що для своїх клієнтів я найчастіше відразу відключаю цю службу.

У деяких випадках, відключення служби оновлень у Vista/Seven призводить до неможливості встановлення деяких системних речей, наприклад . Net framework 3.5. Для встановлення потрібно включити службу, а потім знову можна відключити. У XP подібних проблем не пригадаю за всю історію використання.

Бездротове налаштування (Wireless zero configuration)

Vista/Seven: Служба автоналаштування WLAN

Якщо в комп'ютері немає бездротових адаптерів(а здебільшого так і є, якщо ми говоримо про стаціонарну домашню машину), службу можна відключити.

Брандмауер Windows/Загальний доступ до Інтернету (Windows firewall/Internet connection sharing (ICS))

Сам по собі брандмауер абсолютно марний і, по суті, ні від чого особливо не захищає (хіба що проблеми зайві створює – наприклад, з multicast-потоками IPTV). Краще встановити сторонній файрвол, чи просто відключити брандмауер, т.к. у більшості провайдерів мережа Windows network все одно не працює, а решта небезпечних речей типу дистанційного доступуможна просто вимкнути. Якщо ваш комп'ютер використовується як шлюз в інтернеті для іншої домашньої машини - відключати брандмауер не можна, т.к. саме він займається загальним підключенням до Інтернету.

Веб-клієнт (WebClient)

Опис свідчить, що "дана служба дозволяє маніпулювати файлами в інтернеті". Якими і як – уявлення не маю; за 10+ років служба так і не знадобилася.

Диспетчер черги друку (Print spooler)

Vista/Seven: Диспетчер друку

Якщо в системі немає жодного принтера – вимкніть.

Тільки Vista/Seven: Захисник Windows

Незрозуміло, навіщо потрібний, якщо є нормальний антивірус. По суті, стежить переважно за вихідними компонентами Windows (Internet Explorer, Windows add-ons і т.п.). Я, наприклад, не користуюся ними в жодній системі. З випуском комплексного захисту Microsoft Security Essentials було оголошено, що від "захисника" можна відмовитись. У XP "захисник" відсутній, але його можна безкоштовно доустановити. Знову ж таки, неясно - навіщо...

Модуль підтримки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper)

Якщо ваш комп'ютер не включений в мережу з іншими, які спілкуються по Windows Network, сміливо відключайте.

Тільки XP/Vista: Оглядач комп'ютерів (Computer browser)

Якщо комп'ютер, як і в попередньому випадку, не входить до мережі Windows з іншими - служба не потрібна.

Визначення обладнання оболонки (Shell hardware detection)

Відключення даної служби значно підвищує безпеку системи - після цього автоматично відкриваються флешки, компакт-диски і т.д. Отже, виключається автозапуск шкідливого коду із завірусованого носія інформації. Досвідчений користувач і сам може зайти на знімний пристрій без будь-яких "послужливих" автозапусків.

Робоча станція (Workstation)

По ідеї, ця служба необхідна функціонування мережному оточенні (а це означає, що її можна відключити, якщо такого не спостерігається). Особисто я завжди відключав і жодних проблем не мав.

Сервер (Server)

Служба потрібна для відкриття на комп'ютері мережних дисків та принтерів. Відповідно, якщо мережі немає – службу можна вимкнути, причому це категорично рекомендується для підвищення безпеки.

Лише XP: Служба відновлення системи (System restore service)

В принципі, якщо ви відключите відновлення в налаштуваннях комп'ютера, служба відключиться сама. Крім того, відновлення може врятувати завірусовану машину. Якщо ж ви відчуваєте силу Джеда, як я - відключайте. Мені ця служба не знадобилася за 10+ років жодного разу.

Служба індексування (Indexing service)

Vista: Пошук Windows

Seven: Windows search

Якщо ви не влаштовуєте зі свого комп'ютера сміттєзвалище і чудово знаєте, де що знаходиться (а так і має бути) – відключайте. Ця служба індексує всі файли користувача для пошуку, і вона може часом пригальмовувати роботу системи. Якщо служба відключена, пошук файлів на комп'ютері все одно буде працювати, але значно повільніше. Повторюся, якщо ви добре організуєте роботу, пошук файлів вам не потрібен взагалі.

Служба виявлення SSDP (SSDP discovery service)

Vista/Seven: Виявлення SSDP

Дозволяє виявляти UPnP-пристрої у мережі. Якщо ви підключили вдома роутер і ваш комп'ютер став показувати його в мережевому оточенні як "шлюз інтернету" - це саме воно. І воно зовсім нікому не потрібне.

Тільки XP: Служба віддаленого доступу (Telnet)

Навіщо віддалений доступ до домашньої машини? Тільки якщо він вам справді потрібний.

Служба шлюзу рівня програми (Application layer gateway service)

За інформацією, служба може використовуватися якимись сторонніми моніторами. Я її завжди відключаю і не маю жодних проблем, у т.ч. і зі сторонніми файрволами.

Служби IPsec (IPsec services)

Vista/Seven: Агент політики IPsec

Якщо ваш провайдер не балується з'єднаннями VPN (або ви самі ними не балуєтеся) - сміливо відключайте.

Служби терміналів (Terminal services)

Seven: Служби віддалених робочих столів

Забезпечує роботу швидкого перемикання користувачів (див. нижче) та віддаленого доступу до комп'ютера (remote desktop). Якщо ні те, ні інше вам не потрібно – відключайте. У Windows XP точно не призводить до жодних наслідків, Vista/Seven - широко не тестував.

Тільки XP: Сумісність швидкого перемикання користувачів (Fast user switching compatibility)

Якщо на вашому комп'ютері один користувач – можете вимкнути. У Windows XP це однозначно не призводить до жодних проблем; на Vista/Seven окремої служби немає – мабуть, не передбачено.

Тільки XP: Довідка та підтримка (Help and support)

Комусь колись допомагала ця "довідка"?

Теми (Themes)

Зроду не розумів, навіщо потрібні теми в операційних системах, і завжди працюю з відключеною службою.

Віддалений реєстр (Remote registry)

Як випливає з опису, дозволяє віддаленим користувачам маніпулювати реєстром на комп'ютері. Зрозуміло, домашній машині це абсолютно без потреби.

Центр забезпечення безпеки (Security center)

Постійно нагадує, що свідомий користувач і так знає. Абсолютно непотрібна річ для тих, хто хоч щось розуміє в системі (і читає цю статтю).

Які служби можна ще вимкнути?

DHCP-клієнт (DHCP Client)

Якщо ваше мережне підключенняналаштовано вручну (має статичну IP-адресу) - служба не потрібна.

Windows audio

Назва говорить сама за себе. Якщо на вашому комп'ютері немає звуку (або він не потрібен) можна відключити.

Служба часу Windows (Windows time)

Якщо вас не особливо турбує синхронізація часу через інтернет – можна вимкнути. Я, правда, волію все-таки синхронізувати системний час.

Служба завантаження зображень Windows (WIA) (Windows Image Acquisition (WIA))

Служба призначена для отримання зображень зі сканерів, фотоапаратів тощо. Якщо ви не підключаєте дані пристрою безпосередньо (використовуєте для копіювання картки пам'яті) - служба не потрібна.

Які служби не можна відключати, навіть якщо дуже хочеться

Журнал подій (Event log)

Vista/Seven: Журнал подій Windows

Здається, що службу можна безболісно відключити - за настроєної системи в цей журнал ніколи й не заглядаєш. Однак, я був свідком того, як за відключеної служби... Не працювало WiFi-з'єднання. Як це пояснити – не знаю; просто запам'ятав все життя. Навіть якщо у вас немає WiFi - це не означає, що даний казус не виявить себе десь ще.

Планувальник завдань (Task scheduler)

Vista/Seven: Планувальник завдань

Здавалося б, якщо ви не використовуєте планування завдань (я, наприклад, практично ніколи не використовую), то служба не потрібна. Однак, у Windows XP вона, окрім основного завдання, займається ще й prefetch-сервісом – створює спеціальні файли у системній директорії /prefetch, які дозволяють значно прискорити завантаження операційної системи та програм. Вимикати її украй не рекомендується. Щодо Vista/Seven досвіду немає, т.к. у них є окрема служба Superfetch; можливо, планувальник можна і відключити - але стверджувати не буду.

Інші не дуже потрібні служби у всіх системах після встановлення мають тип завантаження "вручну". Тобто вони не запускаються без необхідності, але іноді можуть знадобитися - тому відключати їх не варто.

Рішення

Технологій стає дедалі більше. Вони народжуються, змінюються, зникають та перероджуються. Все це створює велику грудку, яка росте і росте. Найчастіше в багатьох компаніях розібратися з тим, що взагалі використовується в корпоративній інфраструктурі, - вже велике завдання, не кажучи про те, щоб це все безпечно налаштувати… Це я до того, що місць, через які ми можемо десь дещо поламати. або хоча б вивідати, – величезна кількість. Сьогодні цього ми і торкнемося. І першим прикладом буде електронна пошта.

WARNING

Вся інформація надана виключно для ознайомлення. Ні редакція, ні автор не несуть відповідальності за будь-яку можливу шкоду, заподіяну матеріалами цієї статті.

Як сервіс вона була вигадана багато років тому. У її основі лежить протокол SMTP, що функціонує двадцять п'ятому TCP-порту. Принцип роботи виглядає приблизно так. Ми, використовуючи свій поштовий клієнт, підключаємось до поштовому серверу(Mail Transfer Agent) по SMTP і кажемо, що хочемо відправити листа на таку адресу. MTA приймає від нас листа та підключається до того MTA-серверу (знову за SMTP), куди ми надсилаємо листа. IP-адреса віддаленого MTA наша MTA отримує з MX-запису того доменної зоникуди ми шлемо лист (те, що йде в email після @). Знайти MX-запис (читай - MTA) для будь-якого домену дуже просто:

Nix: dig MX any_host_name.com Win: nslookup -type=mx any_host_name.com

Ти навіть сам можеш надіслати листа, використовуючи ncat або Telnet. Все, що потрібно, - це чотири команди: HELO, MAIL TO, RCPT TO, DATA (хоча є низка обмежень залежно від налаштувань сервера). Також варто зазначити, що кожен лист має заголовки та тіло повідомлення. Заголовки лише частково відображаються кінцевому користувачеві (наприклад, Subject:) і використовуються, наприклад, при поверненні листа через проблеми в кінцевому MTA.

Але найважливіше, що фактично лист проходить більше ніж через один MTA і кожен із них додає ряд своїх заголовків. Причому тут усі дуже й дуже «говіркі». Наприклад, якщо лист приходить із якоїсь корпоративної мережідо нас на пошту, то ми, швидше за все, побачимо в заголовках IP-адресу користувача, що його оправив (тобто того, хто підключився до внутрішнього MTA в корпоративній мережі) і версію поштового клієнта. Далі ми побачимо дані вже самого MTA: IP-адресу (або ім'я в корпоративному домені), версію серверного ПЗ. А після цього дуже часто – аналогічний запис, але вже по іншому мережному інтерфейсу MTA.

На додаток до цього можна часто побачити версію корпоративного антивіруса, що перевіряє всю пошту, або застосовуваного спам-фільтра, а також характеристики детекту спаму. Все це можна використовувати для більш заточених атак з використанням соціальної інженерії. Наприклад, у певних ситуаціях ми можемо заздалегідь відстежувати ймовірність, що наш лист потрапить у спам. До речі, якщо ти надсилаєш листа через якийсь веб-сайт (наприклад, mail.ru), то твій IP теж можна буде побачити в заголовках.

Як подивитися ці заголовки? Дуже просто. всі поштові клієнтипідтримують їх. Наприклад, у Thunderbird - . У Gmail – стрілка «Ще» – показати оригінал. При аналізі заголовків Received (тобто списку листа, що брали участь у пересиланні) потрібно пам'ятати, що вони йдуть у зворотному порядку. А для спрощення парсингу їх рекомендую скористатися якимось онлайн-сервісом (яких чимало), наприклад E-Mail Header Analyzer.

Підсумок. Надсилаємо один лист секретарці до якоїсь компанії, та нам відповідає. І ми вже знаємо, що як у них там:).


Отримати список доменів

Рішення

Продовжимо збирання інформації. Давай уявімо компанію, яку ми хочемо поламати зовні. Одне з перших завдань для пентесту через інтернет – отримати список доменних імен / віртуальних хостів. Методів багато, і вони старі як світ: зворотний резол IP, перебір імен, гуглохакінг. І жоден з них не дає повного результату, так що спробуємо використати їх усі разом, принагідно додавши чогось новенького:).

"Нове" - це збір інформації про імена за допомогою SSL. Отже, давай згадаймо основу. При підключенні SSL до будь-якого сервера він повертає нам свій сертифікат. Сертифікат - це набір полів (у тому числі відкритий ключсервера), підписаний кореневим центром сертифікації. У ньому також є поле CN (Common Name), де міститься ім'я сервера, який виданий даний сертифікат. Це вже щось.

Наприклад, коли ми скануємо за IP-адресами мережу і знаходимо якийсь HTTP-сервер, часто ми можемо отримати від нього відповідь з помилкою (403). Все правильно, адже ми не знаємо, що вказувати в заголовку Host HTTP-запиту. Ось тут і знадобиться ім'я сервера. Подивимося в SSL-сертифікат і вуаля - ми вже знаємо, що підставити в заголовок.

Але це ще не все. Є ще одне маловідоме поле того ж сертифіката - SubjectAltName. Воно дозволяє задавати альтернативні імена. Тобто практично один ключик може бути використаний для різних імен. Дивися малюнки, і все стане ясно.

Виходить, що начебто з «сек'юріті»-фішки ми дістаємо крихти інформації, що нас цікавить. Зазначу ще з особистого досвіду, що іноді до сертифікатів потрапляє інформація і про внутрішні імена хостів.

Атакувати з використанням техніки session puzzling

Рішення

Логічні вразливості – це завжди весело. Вони бувають простими та складними, але їх поєднує одне – необхідність правильно подумати. Ось тільки є з ними і невелика проблема: їх якось не особливо типізують (можливо, саме тому, що вони всі такі різноманітні:)). Ну та гаразд. Хочу розповісти тобі про цікаву техніку (або вид уразливостей, це як подивитися), яку презентували відносно недавно, кілька років тому. Назва їй – session puzzling або session variable overloading (за версією OWASP).

Для початку давай згадаємо, як веб-додатки аутентифікують і авторизують користувача (HTTP адже stateless).

  1. Користувач входить на сайт.
  2. Користувач вводить логін та пароль і відправляє на сервер.
  3. Сервер перевіряє ці дані і, якщо все правильно, пускає його у внутрішню частину, причому відправляючи користувачеві cookie в HTTP-ответе.
  4. Коли користувач переходить на якусь сторінку, браузер додає до запиту куки. Сервер з цієї куке розуміє, що користувач вже автентифікований, і працює відповідно до цієї думки.

Все виглядає цілком чітко, але тут пропущено важливу мить. Він у тому, що сервер зберігає в собі інформацію про сесії конкретного користувача. Тобто приходить кука від користувача, він бере її і дивиться (у пам'яті, в БД - залежно від ПЗ), а що до неї у нього «прив'язано». Найпростіший приклад: він може зберігати ім'я користувача у сесії. І по куку отримувати з сесії ім'я і точно знати, хто до нього звернувся зараз.

Загалом у сесії зберігають зазвичай «тимчасову» інформацію, а щось більш-менш постійне - вже в БД. Наприклад, логічно зберігати ім'я користувача в сесії, тоді як його «роль» можна зберігати у БД і запитувати лише за необхідності. Тут, насправді, багато залежить від конкретного додатка та розробника ПЗ.

Наприклад, збереження великого обсягу даних у сесії може призвести до вичерпання або пам'яті веб-сервера (Tomcat), або вільного місця на жорсткому диску (PHP). З іншого боку, звернення до БД потребують більше часу. Зумовлений вибір зазвичай продуктивністю, і про безпеку тут рідко думають (звичайно, адже як можна вплинути на те, що зберігається на серверній стороні?).

І ось ми підійшли до самої суті цієї атаки: у певних ситуаціях ми можемо впливати на те, що зберігається на сервері. У яких саме - це теж залежить від ситуації. Найчастіше нам потрібні кілька різних точок входу в додатки, дані з яких потрапляють в ту саму змінну сесії.

Я наведу класичний приклад і все буде ясно. Та сама ситуація, що описана вище. Клієнт, який може входити до приватної зони на сайті через сторінку логіну. Сайт, який зберігає ім'я клієнта у сесії, а доступ до приватних сторінок перевіряє на ім'я користувача із сесії.

Але додамо до цього сторінку з відновленням пароля, на якій ти повинен ввести своє ім'я (1), а система у відповідь поставить секретне запитання (2), на яке ти маєш ввести правильну відповідь для скидання пароля (3). І, як ти ймовірно вже зрозумів, щоб провести за цією послідовністю тебе (від 1 до 3), сервер повинен також скористатися сесією і зберігати в ній ім'я користувача.

Так ось, атака полягатиме в тому, що, коли ми заходимо на сторінку відновлення і вводимо ім'я користувача адміністратора, сервер у сесії зазначає, що користувач - адмін, і виводить для адміністратора таємне питання. Всі! Ми можемо нічого не вводити, а просто перейти на приватний розділ сайту. Сервер перегляне сесію, побачить, що ім'я користувача адміна, і дасть нам доступ. Тобто під час відновлення пароля ми «поставили» необхідне нам значення і далі пішли борознити приватні частини. Бага тут і в тому, що сайт використовує одне ім'я змінної і під час аутентифікації, і при відновленні пароля.

Спочатку може здатися, що даний тип уразливості – рідкість. Насправді, це не так. Я особисто знаходив такі в досить поширених продуктах. Ось тільки не знав тоді, що так називається.

До речі, крім обходу аутентифікації, використовувати цю техніку можна для підвищення привілеїв чи перескоку кроків на багатокрокових операціях.

Як шукати такого типу баги? Фактично якоїсь суперметодики для цього немає. Але як початок необхідно знайти вхідні точки в додаток, що мають потенційну можливість впливати на значення в сесійних змінних. А далі – мозок, руки та тести, тести, тести.

Якщо зацікавився чи хочеш спробувати на спеціальному вразливому додатку – прошу до авторам початкового ресерчу.

Провести атаку з підробкою Host

Рішення

Ще один приклад майже логічної веб-вразливості. Вона полягає в можливості підробки заголовка Host HTTP-запроса. Точніше, на відсутності перевірки веб-сайтом при його подальшому використанні. Але по порядку.

Коли ти вводиш у браузері якесь ім'я сайту, він підключається до отриманої з імені IP-адреси і в HTTP-запиті обов'язково використовує заголовок "Host:", в якому вказує це ім'я. Часто веб-додатки беруть значення з Host для побудови шляхів ресурсів (скриптів, картинок та іншого). Ймовірно, це дозволяє їм працювати без прив'язки до конкретної назви сайту. Начебто таким чином працює Joomla, Drupal.

Взагалі, з погляду безпеки, це трохи дивна, але безпечна ситуація. Здавалося б, так, підставивши своє доменне ім'яв Host, ми можемо зробити так, щоб на ресурс завантажилися наші JS-скрипти (вважай - XSS). Але змусити чужий браузер зробити те саме (тобто вставити невірний Host), по суті, неможливо. Так що з точки зору SOP тут все начебто цілком нормально.

Але нещодавно я прочитав цікавий приклад експлуатації цієї фічі. Уяви сторінку відновлення пароля. Вводиш ім'я пошти, і на неї відправляється посилання з випадковим струменем зміни пароля (класична ситуація). Так ось, ми також можемо підставити свій Host у запиті, і тоді лист, який прийде користувачеві, міститиме наш домен! І як тільки користувач натисне на це посилання, на наш домен він перейде разом з токеном, який ми можемо швиденько використовувати для зміни пароля.

Звичайно, тут є важлива скрута - потрібно застосувати соціальну інженерію. Користувач, звичайно, не повинен натискати на всі повідомлення про скидання пароля. Крім того, є низка серверних обмежень, оскільки веб-сервери відмовлятимуться обробляти запити для невідомих їм Host.

Але все ж таки в цій атаці щось точно є.


Поламати UPnP

Рішення

Universal Plug and Play (UPnP) – це набір мережевих протоколів, які були створені для спрощення взаємного знаходження різними девайсами, а також їх взаємодії. Девайсом в даному випадку може бути багато що завгодно: роутер, принтер, smartTV, якісь сервіси Windows ... І хоча, можливо, термін UPnP здається тобі незнайомим, фактично він дуже і дуже поширений.

З точки зору прикладу взаємодії можна подивитися у бік Skype або BitTorrent та Wi-Fi-роутерів. Перші за допомогою UPnP можуть знайти роутер та відправити йому набір команд на прокидання якогось зовнішнього порту всередину. Дуже зручно виходить: жодних проблем з ручним настроюванням port forwarding'а.

Але якщо подивитися на це з нашого хакерського погляду, то тут є чим поживитися… UPnP як технологія з'явився ще на початку 2000-х і, можливо, тому має пристойну низку огріхів з точки зору безпеки. Відсутність автентифікації, наприклад. Але давай про все по порядку.

UPnP ґрунтується на кількох протоколах, а також, що важливіше, на певній логічній послідовності:

Виявлення пристроїв.І для цього використовується протокол SSDP (Simple Service Discovery Protocol – UDP, 1900-й порт). Кожен пристрій, що підтримує UPnP і надає якийсь сервіс, систематично відправляє пакет SSDP Notify на 1900 UDP на multicast-адресу 239.255.255.250. Формат даних пакетів – HTTP.

У ньому він повідомляє стандарти, що підтримуються, а також TCP-порт і URL до опису (XML) кожного зі своїх сервісів. Наприклад, http://192.168.0.1:1900/igd.xml описує можливості сервісу InternetGatewayDevice.

Крім прослуховування 239.255.255.250, ми «насильно» можемо надсилати M-SEARCH запити на той самий 1900-й порт. UPnP-сервери повинні будуть відповісти на даний запит. Відповідають тим же Notify-пакетом.

Отже, перше завдання - це, по суті, отримання списку UPnP-серверів, а також URL'ів до XML'ек з повним описом функціональних можливостейкожного із сервісів сервера. Це важливо, так як і порт, і URL можуть бути різними у різних виробників.

Визначення можливостей.Отже, з SSDP ми отримуємо список сервісів із посиланням на їх опис у форматі XML. Для доступу до них використовується звичайний HTTP. У даному файлійде опис кожного із сервісів, а також посилання на XML-файли зі списком можливих дій для кожного з них. Тобто в даному випадку XML'ки - це просто статичні описи всіх можливостей сервісів, а також перелік вхідних точок у сервіси та необхідні дані для виконання дій.

Контроль.Отримавши дані XML'ки, ми можемо створювати SOAP-пакети і посилати їх у сервер по HTTP, виконуючи, в такий спосіб, якісь дії на сервері.

Аутентифікація, як я вже говорив, відсутня, і сервер виконає всі дії, які прийдуть йому в SOAP-запиті.

2008 року GNUCitizen навіть виклали спеціальну SWF'ку. Ця SWF'ка (Flash) посилала SOAP-запит на роутер (його IP необхідно вказати), щоб той прокинув довільний зовнішній порт на порт хоста користувача-жертви. І виходить, що, як тільки користувач-жертва відкривав сайт з цієї SWF, флеш «пропилював» дірку в роутері до користувача і ми могли його атакувати. Дуже зручно!

На жаль, даний спосіббільше не працює: з тих пір посилилася пісочниця Flash'а і ми вже не можемо посилати довільні POST-запити (найголовніше, нам треба додати ще заголовок SOAPAction) на будь-який інший хост (оскільки спочатку відбудеться запит на дозвільні правила в crossdomain.xml ).

Отже, тепер, гадаю, ми бачимо, як це все працює. Давай подивимося, що можна з цим зробити.

По-перше, це прошиті можливості SOAP'у. Окрім прикладу з прокиданням портів, є випадки, коли ми можемо змінити налаштування роутера та виставити свій DNS-сервер. А це вже ого-го! Тут все залежить від конкретного пристрою, сервісів та нашої фантазії.

По-друге, це пристойний інф-дисклоуз: IP-адреси, версія девайсу та UPnP-бібліотек та інше (у SSDP, HTTP-сервері та XML'ках) До того ж багато прошитих можливостей також можуть нам щось розповісти. Паролі, наприклад. Якось під час зовнішнього пентесту виявили доступний SSDP і накопали пучок приватної інформації про нутрощі компанії.

По-третє, ми можемо поламати сервіси. Рік тому Rapid7 зробили прикольне дослідження UPnP. Вони просканили інтернет на SSDP та на SOAP (на стандартних портах), пофінгерпринтили їх. Виявилося, що більшість UPnP-серверів збудовано на чотирьох SDK. З них виділяються MiniUPnP та Portable UPnP (libupnp), на яких «тримається» більше половини. Але що важливіше, майже всі сервери використовують застарілі версіїбібліотек, у кожній з яких є пучок вразливостей, у тому числі, що призводять до RCE. Причому і в SOAP'і, і в SSDP.

Крім того, у цьому дослідженні показано, як насправді багато таких пристроїв стирчить назовні, хоча б SSDP. Тобто, навіть якщо той же SOAP закритий, ми можемо захопити віддалений контроль над пристроєм через SSDP.

Звичайно, тут треба відзначити, що з віддаленим сплоїтингом може бути не дуже просто, так як пристрої часто побудовані на всяких MIPS, ARM, що точно все ускладнює. До того ж доведеться боротися ще й з механізмами захисту пам'яті ОС (той самий ASLR). Але це можливо.

Що ж нам треба, щоби все поламати?

Тулз насправді небагато. У метасплоїті є модуль пошуку UPnP (і детекту CVE за ними). Плюс є два "комбайни", що дозволяють виконувати SOAP-команди. Це Mirandaі Umap. Обидва написані на Python'і, тільки під *nix і при цьому не дуже добре працюють.

Сподіваюся, прочитане наповнило тебе ентузіазмом і жагою до життя, так що якщо є бажання поресерчити - пиши на ящик. Завжди радий:). І успішних знань нового!