Policyagent что это за служба windows 10

Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:

1. О службах Windows, что это, для чего нужны и какие за что отвечают.

2. И как же повысить быстродействия компьютера?

И так что это за службы Windows?

Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.

Открыть список служб можно несколькими способами:

1. Удерживая кнопку windows нажимаем R, откроется окно выполнить, там введите services.msc

2. Пуск > Панель управления > Администрирование > Службы

3. Пуск > правой кнопкой мыши по моему компьютеру >  Управление > Службы и приложения > Службы

Как видите в Windows их достаточно много и скачав справочник служб, Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает.

Так как службы это приложения, следовательно они работают и используют часть  ресурсов компьютера. Отключив не нужные можно повысить его быстродействие. Посмотрим что можно отключить.

Какие службы можно отключить в Windows 7, 8

Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь программой для автоматического отключения служб.

* BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

* DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

* DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

* KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

* Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

* Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.

* Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

* Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

* Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.

* Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.

* Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

* Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.

* Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

* Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

* WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

* Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

* Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

* Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.

* Агент политики IPsec — Нужна при наличии сети и интернета.

* Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

* Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

* Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

* Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

* Браузер компьютера — В домашней сети не нужна. Вручную.

* Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

* Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

* Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

* Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

* Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

* Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!

* Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

* Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

* Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

* Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

* Диспетчер удостоверения сетевых участников — Ставим лучше вручную.

* Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

* Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

* Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

* Журналы и оповещения производительности — системная служба, оставляем как есть.

* Защита программного обеспечения — так же системная служба, оставляем как есть.

* Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.

* Изоляция ключей CNG — Вручную.

* Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

* Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.

* Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

* Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

* Координатор распределенных транзакций — Ставим вручную.

* Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.

* Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

* Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

* Маршрутизация и удаленный доступ — Не нужна. Отключаем.

* Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

* Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

* Немедленные подключения Windows — регистратор настройки — Вручную.

* Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.

* Обнаружение интерактивных служб — Вручную.

* Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

* Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

* Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.

* Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

* Перечислитель IP-шин PnP-X — Лучше поставить вручную.

* Питание — Не отключается. Оставляем.

* Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

* Планировщик классов мультимедиа — Оставляем, для кого важен звук.

* Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

* Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

* Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

* Проводная автонастройка — Вручную.

* Программный поставщик теневого копирования (Microsoft) — Вручную.

* Прослушиватель домашней группы — Вручную.

* Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

* Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

* Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

* Распространение сертификата — Лучше вручную.

* Расширяемый протокол проверки подлинности (EAP) — Вручную.

* Сборщик событий Windows — Вручную.

* Сведения о приложении — Вручную.

* Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

* Сервер упорядочения потоков — Отключаем если нет домашней группы.

* Сетевой вход в систему — Вручную.

* Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

* Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

* Системное приложение COM+ — Так же вручную.

* Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

* Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

* Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

* Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

* Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.

* Служба времени Windows — нужна для синхронизации времени с интернетом.

* Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

* Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

* Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

* Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

* Служба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.

* Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

* Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

* Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

* Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

* Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.

* Служба поддержки Bluetooth — Нужна если есть Bluetooth.

* Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

* Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

* Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

* Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

* Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

* Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.

* Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

* Служба списка сетей — Так же лучше оставить.

* Служба уведомления SPP — Для лицензирования. Оставьте вручную.

* Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

* Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

* Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

* Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

* Службы криптографии — Для установки новых программ, лучше оставьте как есть.

* Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

* Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

* Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

* Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

* Телефония — Оставьте вручную. Если понадобится, запустится.

* Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

* Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

* Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

* Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

* Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

* Удостоверение приложения — Вручную.

* Узел системы диагностики — Диагностика проблем. Поставьте вручную.

* Узел службы диагностики — Так же вручную.

* Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

* Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

* Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.

* Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

* Установщик Windows — Установка программ .msi. Вручную.

* Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

* Факс — Нужна если только есть факс.

* Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

* Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

* Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

* Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

* Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

* Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.

Internet Protocol security (IPsec) supports network-level peer authentication, data origin authentication, data integrity, data confidentiality (encryption), and replay protection. This service enforces IPsec policies created through the IP Security Policies snap-in or the command-line tool «netsh ipsec». If you stop this service, you may experience network connectivity issues if your policy requires that connections use IPsec. Also,remote management of Windows Defender Firewall is not available when this service is stopped.

This service also exists in Windows 7, 8, Vista and XP.

Startup Type

Default Properties

Default Behavior

The IPsec Policy Agent service is running as NT AuthorityNetworkService in a shared process of svchost.exe. Other services might run in the same process. If IPsec Policy Agent fails to start, the error is logged. Windows 10 startup proceeds, but a message box is displayed informing you that the PolicyAgent service has failed to start.

Dependencies

IPsec Policy Agent is unable to start, if at least one of the following services is stopped or disabled:

• Base Filtering Engine
• TCP/IP Protocol Driver

Restore Default Startup Type of IPsec Policy Agent

Automated Restore

1. Select your Windows 10 edition and release, and then click on the Download button below.

2. Save the RestoreIPsecPolicyAgentWindows10.bat file to any folder on your hard drive.

3. Right-click the downloaded batch file and select Run as administrator.

4. Restart the computer to save changes.

Note. Make sure that the ipsecsvc.dll file exists in the %WinDir%System32 folder. If this file is missing you can try to restore it from your Windows 10 installation media.

Yea, though I walk through the valley of the shadow of death, I will fear no evil: for thou art with me; thy rod and thy staff they comfort me.

Во всех операционных системах имеется множество разнообразных служб. Это могут быть службы самой ОС или службы сторонних программ. Некоторые службы необходимы для нормального функционирования системы, другие – не обязательны или вовсе не требуются рядовому пользователю. Но все они влияют на скорость работы Windows. Рассмотрим, как можно ускорить работу Windows, отключив службы, и какие из служб можно отключить.

Инструкция подойдет для ОС Windows 7, Windows 8, Windows 10.

Как открыть службы Window

В Windows 7: открываем меню Пуск, в строке поиска вводим Службы и запускаем найденное приложение.

В Windows 10: открываем поиск рядом с меню Пуск, в поле ввода пишем Службы и запускаем найденное классическое приложение Службы.

Отключение служб Windows

Чтобы отключить службу Windows в списке служб находим нужную службу и кликаем на нее два раза левой кнопкой мыши.

Далее в окне службы нажимаем Остановить, указываем тип запуска Отключена (иногда можно выставить значение Вручную). Затем обязательно нажимаем Применить и ОК.

Внимание! К отключению служб нужно относиться с большой осторожностью! Не отключайте службу, если не знаете ее назначения, иначе можете нарушить работоспособность операционной системы или ее отдельных компонентов.

Какие службы можно отключить

Теперь о том, какие службы можно отключить, чтобы повысить скорость работы Windows.

• Удаленный реестр – служба, которая предоставляет возможность сторонним пользователям (не исключено, что и недоброжелателям) удаленно вносить изменения в реестр системы. Если служба отключена, то менять реестр смогут только локальные пользователи. В целях сохранения безопасности эту службу можно отключить.
• Автономные файлы – служба, позволяющая работать с сетевыми файлами при отключении сети. Можно отключить.
• Служба ввода планшетного ПК нужна для работы пера и похожих устройств ввода на планшетах. Можно отключить, если не используете.
• Служба регистрации ошибок Windows отвечает за ведение статистики разных ошибок системы. В случае отсутствия необходимости вести журнал для выявления причин возникновения тех или иных ошибок, службу можно выключить.
• Parental Control. Пришла из операционной системы Vista и необходима только для совместимости с ней. Можно отключить.

Домашние компьютеры, которые не входят в состав локальной сети, также не нуждаются в некоторых службах:

• Агент политики IPSec. В большинстве случаев не используется. Можно отключить
• KtmRm для координатора распределенных транзакций. В большинстве случаев не нужна. Можно отключить и установить тип запуска Вручную.
• Вспомогательная служба IP. Данная служба не используется на домашних компьютерах. Можно отключить и установить тип запуска Вручную.
• Вторичный вход в систему — нужна при запуске различных процессов от имени другого пользователя. Можно отключить и установить тип запуска Вручную.
• Факс. Служба нужна только при наличии такового.
• Защитник Windows. Если вы используете полноценный антивирус, то в службе нет необходимости.
• Политика удаления смарт-карт. Соответственно, если не используются смарт-карты, то в службе нет надобности.
• Служба инициатора Майкрософт iSCSI. Рекомендуется отключить и установить тип запуска Вручную.
• Обнаружение SSDP – служба для обнаружения сетевых устройств и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) Можно отключить и установить тип запуска Вручную.
• Адаптивная регулировка яркости. Если ваш компьютер не подключен к устройству обнаружения света, то в службе нет необходимости.
• Браузер компьютеров нужен только для обнаружения сторонних систем в локальной сети. Рекомендуется отключить.
• Сервер. Если вы не планируете открывать общий доступ к вашим данным и оборудованию, то службу можно отключить.
• Служба поддержки Bluetooth. Если нет устройства с данной функцией, то службу также можно выключить.

Еще раз напоминаю, что не следует отключать все службы бездумно. Внимательно относитесь к тому, что вы делаете. Не отключайте все сразу, делайте это последовательно и проверяйте не повлияло ли отключение на вашу обычную работу с компьютером.

Введение

В последнее время способы обеспечения безопасности сетевого взаимодействия компьютеров становятся все более и более важными. Как известно уже (надеюсь!) всем, невероятно разросшийся в последнее время Интернет — место отнюдь не безопасное. Широкое распространение технологий WWW не только не становится менее опасным, наоборот — постоянно появляются новые разновидности вредоносных программ и способы использования «слабых мест» компьютерных систем и ошибочных действий пользователей.

Весьма интересные возможности для обеспечения защиты данных, пересылаемых по IP-сетям, предоставляет применение семейства протоколов и служб IPSec (сокращение от IP Security, безопасность протокола IP). Применение всего комплекса механизмов IPSec позволяет обеспечить проверку целостности передаваемых данных (гарантирует, что данные в процессе передачи не были изменены), их конфиденциальность (шифрование передаваемых данных с целью их защиты от несанкционированного просмотра), защиту от повторений (каждый передаваемый IP-пакет становится уникальным; перехваченный пакет невозможно переслать заново, например, для получения доступа к ресурсам) и подлинность (гарантирует, что пакет отправлен с компьютера, имеющего общий секретный ключ).

В этой статье мы рассмотрим лишь некоторые возможности применения IPSec.

Немного о самой технологии IPSec

Протоколы IPSec, являющиеся неотъемлемой частью IPv6, обеспечивают сквозную защиту передаваемых по сети данных с помощью шифрования, алгоритмов хеширования и цифровой подписи. Особенностью этой технологии является работа на сетевом уровне (3-й слой модели OSI) — защищаются собственно передаваемые данные, а не канал, по которому они передаются.

Эта технология позволяет безопасно обмениваться данными в незащищенных сетях, причем для конечных приложений сами данные выглядят «прозрачно» — приложениям не приходится озадачиваться вопросом, каким образом они преобразовывались для их передачи. В составе механизма IPSec находятся протоколы обмена криптографическими ключами между компьютерами и протоколы, отвечающие собственно за защиту пакетов.

Политики IPSec

Общий набор параметров безопасности IPSec называется политикой IPSec. Политика состоит из набора правил, определяющих обработку сетевого трафика. Каждое правило содержит относящиеся к нему набор фильтров и действия, которые данное правило будет производить с пакетом, соответствующим условиям фильтра. В качестве параметров фильтров могут быть заданы IP-адреса, адреса сети или полное доменное имя отправителя и получателя пакета, тип IP-протокола (ICMP, TCP, UDP и т. д.), номера TCP и UDP портов отправителя и получателя.

Правило также определяет, какие методы аутентификации потребуются для обмена данными между хостами. В качестве действия задается один из следующих параметров — пакет блокируется (Block), передается без применения IPSec (Permit) и передается с применением IPSec (Negotiate Security, согласование безопасности).

Протокол IKE позволяет установить доверительные отношения между хостами, согласовать параметры безопасности и динамического создания общего ключа. Соглашение о параметрах безопасности, под управлением которых создается ключ, называют сопоставлением безопасности (SA, security association).

Обмен данными между двумя хостами с применением IPSec происходит приблизительно так:

При получении пакета драйвер IPSec на изображенном слева компьютере обращается к своему списку фильтров, и определяет, что пакет должен передаваться безопасно. Служба IKE на нем, используя UDP-порт 500, выполняет сопоставление безопасности с другим компьютером, при этом пакеты IKE не обрабатываются с помощью IPSec. Если согласование в основном режиме установлено, оба хоста считают, что между ними установлены доверительные отношения и переходят в быстрый режим. Далее инициировавший соединение хост передает параметры безопасности и фильтр быстрого режима. Второй хост принимает набор параметров и завершает на своей стороне их обработку, чтобы создать пару SA-сопоставлений — для исходящего и входящего трафика. Отправляющая сторона использует исходящее сопоставление для подписи (а если задано параметрами, то и шифрования) исходящих пакетов. Принимающий компьютер при помощи входящего сопоставления осуществляет проверку принимаемых пакетов (и, если необходимо, выполняет их расшифровку). Драйвер IPSec принимающей стороны выполняет «перевод» пакетов в обычный IP-формат.

По окончании передачи всех данных согласования быстрого режима удаляются, однако сопоставление основного режима остается действующим какое-то время. Этот интервал — время жизни — задается в настройках IPSec-политики. Он позволяет при возобновлении передачи данных выполнять лишь согласование быстрого режима, экономя время, необходимое для установления защищенного соединения.

Следует учесть, что существующие в сети межсетевые экраны, прокси или NAT-устройства могут накладывать ограничения на применение IPSec или даже сделать невозможным его использование. Это может произойти, например, в том случае, когда в подписанном пакете подобное устройство перепишет IP-заголовок. Тогда на принимающей стороне он просто будет отброшен, так как не пройдет проверку. На таких устройствах необходимо будет разрешить передачу пакетов IKE и IPSec.

• IKE использует порт UDP 500
• IKE/IPsec NAT-T использует порт UDP 4500
• ESP использует IP-протокол 50
• AH использует IP-протокол 51

Впрочем, в Windows Server 2003 реализована новая спецификация IPSec, которая позволяет преобразовывать пакеты устройствам NAT.

Использование IPSec в качестве межсетевого экрана

В применяемых для защиты от разного рода сетевых атак комплексах мер и средств немаловажную задачу выполняют межсетевые экраны (называемые также файрволами или брандмауэрами). Основным назначением межсетевого экрана является осуществление контроля и фильтрация проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. В общем случае, устанавливается набор правил (формируется фильтр), используя которые, экран просматривает все передаваемые и принятые системой пакеты. С пакетами, которые подпадают под критерии отбора, заданные в фильтре, экран производит необходимые действия — например, он может их отклонить, «отрубая» потенциально небезопасные (или заведомо опасные) соединения. Эта технология напоминает охранника у дверей, позволяющего пройти тем, у кого есть пропуск, и закрывающего двери для остальных.

Реализация межсетевых экранов может быть как программной, так и аппаратной. Начиная с линейки Windows XP, корпорация Microsoft стала встраивать программные межсетевые экраны в свои операционные системы (более того, с выпуска пакета исправлений SP2 встроенный брандмауэр по умолчанию запускается автоматически). Однако, реализация брандмауэров Windows, очень далека от совершенства — например, по результатам тестирования встроенного брандмауэра Windows XP, цитирую — «отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще». Его ограниченная функциональность заставляет администраторов привлекать для обеспечения безопасности сетевых соединений продукты других разработчиков.

Мы приведем примеры использования IPSec, позволяющие реализовать подобие межсетевого экрана. Сразу оговоримся, что использование IPSec не является полноценной заменой «продвинутого файрволла», однако позволяет реализовать множество сходных задач, причем лишь с использованием штатных средств ОС Windows.

Задача №1 — запрещаем весь Интернет-трафик на локальной машине

Наверное, самая простая.. :). Мы создадим политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS. Изображения диалоговых окон и последовательность действий будет показана ниже на примере использования ОС Windows 2003. В WinXP и Win2k они могут отличаться, но крайне незначительно. Итак, открываем консоль MMC (Пуск — Выполнить — mmc).

В меню выбираем команду Консоль, затем Добавить или удалить оснастку. В открывшемся диалоге также щелкаем Добавить, выбираем из открывшегося списка Управление политикой безопасности IP (не перепутайте с Монитором безопасности IP — он пригодится уже на стадии тестирования, если что-то пойдет не так, как планировалось).

В появившемся диалоге выбора компьютера указываем Локальный компьютер. Последовательно закрываем окна, нажимая кнопки Готово, Закрыть, ОК. Теперь в левой панели консоли у нас появится узел Политики безопасности IP на ‘Локальный компьютер’. Сделаем на нем щелчок правой кнопкой мыши и выберем команду Управление списками IP-фильтра…

В открывшемся диалоге нажимаем кнопку Добавить. Откроется еще одно окно — Список фильтров. Пока он пуст. Для того, чтобы в дальнейшем было проще ориентироваться в списках фильтров, зададим название для нового фильтра, напечатав в поле Имя, например, HTTP, HTTPS. Нажимаем кнопку Добавить, чтобы приступить к собственно созданию фильтра. Если вы не сняли флажок Использовать мастер, процесс создания будет сопровожден мастером создания фильтра. Пропускаем его первую страницу, нажимая Далее. На второй странице можно указать описание фильтра. Чтобы вы не запутались — один фильтр может состоять из множества других. Так как мы указали на предыдущем шаге в описании HTTP, HTTPS, сейчас мы последовательно создадим два фильтра — один для HTTP, другой для HTTPS. Результирующий фильтр будет объединять эти два фильтра. Итак, указываем в поле описания HTTP. Флажок Отраженный оставляем включенным — это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем Далее.

Теперь необходимо указать адрес источника IP-пакетов. Как видно на картинке, возможность выбора адреса довольно широка. Сейчас мы укажем Мой IP-адрес и нажимаем Далее. В следующем окне задаем адрес назначения. Выбираем Любой IP-адрес, нажимаем Далее. Теперь следует указать тип протокола. Выберите из списка TCP. Идем дальше — задаем номера портов.

Верхний переключатель оставляем в положении Пакеты из любого порта, а нижним включаем режим Пакеты на этот порт и в поле вводим значение HTTP-порта — 80. Нажимаем Готово, закрывая мастер. В нижнем окне списка появится наш новоиспеченный фильтр. Теперь еще раз нажимаем кнопку Добавить и проделываем все предыдущие операции еще раз, но уже указав значение порта 443 (для HTTPS). В списке нижнего окна должны находиться оба созданных правила фильтрации пакетов.

Нажимаем кнопку ОК. Фильтр наш готов, но необходимо теперь определить действия, которые он будет производить. Переключаемся на закладку Управление действиями фильтра и нажимаем кнопку Добавить. Снова откроется диалог мастера, нажимаем Далее. Указываем имя, например Block, идем дальше. В качестве действия выбираем переключатель Блокировать, нажимаем Далее и Готово. Фильтр создан, действие для него определено, нам осталось лишь создать политику и назначить ее. В окне консоли MMC щелкаем правой кнопкой мыши узел Политики безопасности IP и выбираем команду

Создать политику безопасности IP. В открывшемся окне мастера нажимаем Далее, затем указываем имя для политики, например, Block Web, нажимаем Далее. Снимаем флажок Использовать правило по умолчанию, щелкаем Далее и Готово. В окне свойств политики нажимаем кнопку Добавить.

Нажимаем Далее, оставляем переключатель в положении Это правило не определяет туннель, идем дальше. Тип сети — указываем Все сетевые подключения, нажимаем Далее. Теперь необходимо выбрать фильтр из списка.

Выбираем созданный нами фильтр HTTP, HTTPS (слева должна появится точка в кружке), щелкаем кнопку Далее. Таким же образом выбираем действие для фильтра — Block Web, щелкаем Далее и Готово. Теперь в правой панели консоли MMC появится созданная политика с именем BlockWeb.

Все, что осталось сделать — назначить ее. Для этого выполняем правый щелчок мышью на названии и выбираем команду Назначить. Для проверки осталось запустить браузер. Если все было сделано правильно, картина должна быть такой:

Задача №2 — добавляем разрешенные зоны

В следующем примере мы добавим фильтр, который будет разрешать подключения к некоторым узлам Интернет. Например, мы позволим браузеру просмотр узла www.windowsfaq.ru. Для этого в нашей консоли MMC дважды щелкаем название политики BlockWeb. В окне свойств нажимаем кнопку Добавить, затем двойным щелчком выберем фильтр HTTP, HTTPS. На вкладке Список фильтров нажимаем кнопку Добавить. Указываем имя для нового фильтра, например, windowsfaq.ru, жмем Добавить, Далее, в качестве источника пакетов оставляем Мой IP-адрес, щелкаем кнопку Далее. В качестве адреса назначения выберем строку Определенное DNS-имя, а в поле Имя узла введем www.windowsfaq.ru. Нажимаем Далее.

Появится предупреждение о том, что в фильтре вместо DNS-имени www.windowsfaq.ru будет использован IP-адрес 83.222.31.146. Соглашаемся, нажав кнопку Да, затем указываем тип протокола — TCP, выбираем переключатель На этот порт и указываем его номер — 80. Жмем Далее, Готово и ОК. Теперь определяем действие фильтра — переходим на одноименную закладку и выбираем параметр Разрешить.

Теперь фильтр состоит из двух фильтров — один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом. Все это выглядит примерно так:

Этот пример также и показывает одно из существенных отличий между применением «нормального» межсетевого экрана и фильтрации с помощью IPSec: использование IPSec не позволяет задать порядок следования или приоритет фильтра. Впрочем, работать он все равно будет. Осталось закрыть все диалоговые окна и проверить это.

Теперь, при переходе на www.windowsfaq.ru (и только него!) браузер должен отобразить содержание этого узла. Обратите внимание, что ресурсы, расположенные на другом хосте (например, рекламные баннеры), не отображаются — они также фильтруются примененной политикой IPSec.

Подобным же образом вы можете создать собственные необходимые фильтры и применить их.

Перенос настроек на несколько машин

Как видим, настройка фильтрации IP-пакетов на локальной машине несложна и не требует много времени. Ну, а если необходимо настроить фильтры на большом количестве машин? В этом случае можно использовать два варианта применения политик IPSec.

Экспортирование политик IPSec

Созданную и настроенную политику можно переносить с одной машины на другую, используя механизмы экспорта/импорта политик. Для этого на компьютере, где находится нужная политика, открываем консоль MMC (Пуск — Выполнить — mmc), добавляем оснастку Управление политикой безопасности IP на локальном компьютере. Щелкаем правой кнопкой мыши узел Политики безопасности IP и выбираем последовательно команды Все задачи — Экспортировать политики. Далее выбираем место, где будет сохранен файл, и указываем его имя и нажимаем кнопку Сохранить. Для удобства можно поместить файл политик в папку, к которой разрешен общий доступ в сети. Однако, в этом случае, если для проверки подлинности использовалась текстовая строка, она может быть прочитана злоумышленником, если он получит доступ к этому файлу. Поэтому не следует постоянно хранить такие файлы на общедоступных ресурсах.

После экспорта файла политики, на компьютерах, к которым нужно применить сохраненную политику, нужно произвести те же самые действия за одним исключением — выбрать команду Импортировать политики и указать расположение файла. Затем, щелкнуть правой кнопкой мыши на названии импортированной политики в правом окне консоли, и командой Назначить ее применить.

Применение GPO

Вышеописанный подход, конечно, упрощает распространение созданных политик IPSec, однако, как вы понимаете, он совсем не похож на централизованное решение. Да и экспорт политики придется производить на каждом компьютере, где необходимо будет применять такую политику. Для доменов с Active Directory можно воспользоваться более изящным способом, используя механизм назначения групповых политик. Для его реализации потребуется:

• Домен Active Directory
• Все компьютеры, которые необходимо настроить, должны работать под управлением Windows 2000 или выше
• Предпочтительно наличие OU, где должны быть размещены учетные записи компьютеров, к которым будет применена политика IPSec. Если OU отсутствует, можно настроить GPO на уровне домена, однако в этом случае созданная политика будет распространяться на всех членов домена

Настройка политик будет производиться тем же способом, что мы рассмотрели выше, но на уровне GPO, а не на уровне политики локального компьютера. Открываем консоль Active Directory — Пользователи и компьютеры. Щелкаем правой кнопкой мыши название OU, для которого необходимо применить политику (или название домена, если политика будет применяться ко всему домену), и выбираем команду Свойства. В открывшемся диалоге переходим на закладку Групповая политика.

Нажимаем кнопку Создать и указываем какое-нибудь имя. Затем делаем двойной щелчок на названии созданного объекта или нажимаем кнопку Изменить. В открывшемся редакторе объектов групповой политики в левой панели разворачиваем ветвь Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики безопасности IP.

Далее все то же самое, что мы делали в предыдущем примере. Создаем политику, указываем ее название, снимаем флажок Использовать правило по умолчанию. Добавляем фильтры (Это правило не определяет туннель, Все сетевые подключения, добавляем фильтр, если он присутствует в списке или создаем новый, задаем действие фильтра. Повторяем процедуру, если необходимо добавить еще фильтры). Если вы предварительно уже создавали политику и выполнили ее экспорт, на этом шаге можно произвести импорт уже настроенной политики, указав соответствующий .IPSEC-файл вместо повторного ввода всех параметров.

По завершении всех настроек нажмите кнопку ОК в диалоге свойств политики. Осталось ее применить, выполнив правый щелчок мышью на ее названии и выбрав команду Назначить.

Для вступления в силу новых параметров групповой политики необходимо перезагрузить клиентские компьютеры, или принудительно обновить их политику, выполнив команды

gpupdate /force

для Windows XP и Windows Server 2003 и

secedit /refreshpolicy machine_policy /enforce

для Windows 2000

При использовании метода назначения GPO необходимо учитывать следующее:

• Список всех IPSec-политик можно назначить на любом уровне иерархии Active Directory, однако только одна политика IPSec может быть назначена на отдельном уровне в Active Directory.
• IPSec-политика, которая применяется для подразделения OU в Active Directory, имеет приоритет над политикой доменного уровня для членов этого подразделения.
• IPSec политика, которая была назначена на более низком уровне OU в иерархии домена, переопределяет политику IPSec, которая назначена на более высшие OU, для учетных записей компьютеров-членов этой OU.
• OU наследует политику родительской OU, если наследование прямо не блокируется или политика является явно назначенной.
• Нельзя выполнить слияние IPSec-политик из разных OU.
• Следует назначать политики на наиболее высоком уровне иерархии Active Directory для сокращения объема конфигурации и управления.
• Политика IPSec может оставаться активной даже после удаления объекта групповой политики, которому она была назначена. Поэтому перед удалением объекта GPO, необходимо снимать назначение политики.
• До назначения политики IPSec в GPO, необходимо проверить настройки групповой политики, которые необходимы для политики IPSec, чтобы избежать ошибки (например, если политика IPSec использует сертификат подлинности).

В заключение остается сказать несколько слов об обеспечении безопасности самого функционирования механизма назначенных политик IPSec. Дело тут вот в чем. Реализация фильтров осуществляется посредством службы IPSec. Пользователь, имеющий на локальной машине достаточные права (и понимающий, каким способом осуществляется фильтрация сетевого трафика на его компьютере :)), к примеру, может посчитать что недопущение его к ресурсам сети — это форменное над ним издевательство и, зайдя в консоль служб просто остановить службу IPSec. Чтобы этого не произошло, воспользуемся еще раз редактором объектов групповой политики. Открываем консоль Active Directory — Пользователи и компьютеры. Щелкаем правой кнопкой мыши название OU, для которого необходимо установить защиту от несанкционированной остановки агента IPSec. Переходим на закладку Групповые политики и нажимаем кнопку Создать, и указываем имя для новой политики, например, Secure IPSec Service. Раскрываем в левой панели редактора ветвь Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Системные службы.

В правой панели находим элемент Службы IPSec, щелкаем на нем правой кнопкой мыши и выбираем команду Свойства. Устанавливаем флажок Определить следующий параметр политики, указываем режим запуска — Автоматический и нажимаем кнопку Изменить безопасность. В открывшемся диалоге вы можете удалить учетные записи, которым будет запрещено управлять работой сервиса IPSec. Можно удалить вообще все учетные записи, и тогда управление работой служб IPSec можно будет получить лишь последующим редактированием политики для этой службы. Необходимо будет обновить политику перезагрузкой клиентов или выполнив на них команду

gpupdate /force

Для проверки работы такой защиты можно зайти под учетной записью пользователя, которому запрещено управлять службой IPSec. Открыв окно служб, мы должны увидеть вот такую картину —

Ни остановить, не перезапустить службу IPSec невозможно. Даже если щелкнуть Свойства, появится сообщение об отказе в доступе.

Примеры изоляции серверов и домена

Изоляция серверов и домена предоставляет слой сетевой защиты, которая может значительно уменьшить угрозу от доступа ненадежных хостов к доверенным членам домена во внутренней сети организации. Эта технология позволяет IT-администраторам ограничить соединения TCP/IP членами домена, которые являются доверяемыми компьютерами. Почти все сетевые соединения TCP/IP могут быть защищены без изменений в приложениях, потому что IPsec работает на сетевом уровне ниже слоя приложения, предоставляя защиту каждого пакета информации и соединения между компьютерами. Сетевой трафик может быть аутентифицирован, или аутентифицирован и зашифрован, во множестве разнообразных сценариев. Групповая политика и конфигурации IPsec управляются централизованно в Active Directory. Также следует отметить, что стоимость реализации решений на основе логической изоляции, как правило, существенно ниже решений, использующих физическую изоляцию сетевой среды.

Понятие логической изоляции, о котором мы будем говорить, воплощает два решения — изоляция домена, чтобы изолировать члены домена от ненадежных подключений, и изоляцию сервера, чтобы гарантировать, что сервер принимает сетевые соединения только от доверяемых членов домена или определенной группы членов домена. Эти решения могут использоваться отдельно или вместе как часть полного логического решения изоляции.

Демонстрацию логической изоляции серверов и домена с применением политик IPSec я покажу на примере небольшой сети, состоящей из четырех компьютеров.

Для управления политиками IPSec, основанными на Active Directory, необходимо входить в группу «Администраторы домена Active Directory» либо получить соответствующие полномочия путем делегирования. Для управления политикой IPSec на локальном или удаленном компьютере необходимо быть членом группы «Администраторы» на локальном или удаленном компьютере. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».

Компьютер DC1 работает под управлением ОС Windows 2003 EE и является контроллером домена VIRT. На нем запущены службы DNS и DHCP. IP-адрес — статический, из диапазона частной сети. Компьютер FS1 также работает под управлением ОС Windows 2003 EE, ему настроена роль файлового сервера. Компьютеры WKST1 и WKST2 работают под управлением ОС Windows XP с установленным пакетом обновлений SP2. Компьютер WKST1 присоединим к домену. На сервере FS1 создадим общий ресурс с именем CommonShare. Компьютер WKST2 введем в рабочую группу с тем же названием, что и домен — VIRT.

Мы предполагаем, что пользователь компьютера WKST2 знает учетную запись и пароль пользователя в домене VIRT (пусть это будет User01). Для доступа к ресурсам домена он создает на компьютере WKST2 точно такую же локальную учетную запись и вводит ее в группу локальных администраторов.

Проверяем доступ к общей папке на FS1 с компьютера WKST1 и убеждаемся, что ее можно открыть.

Теперь проделаем то же самое с компьютера WKST2. Хотя он и не является членом домена, для доступа к папке CommonShare потребуется всего лишь указать один раз в начале сеанса учетные данные, которые совпадают с учетной записью в домене (в формате имя_доменапользователь):

Как вы видите, пользователь, находящийся за компьютером, который не принадлежит домену (и к этому компьютеру, следовательно, невозможно применить групповую политику настройки рабочей станции — по сути, компьютер, которому нельзя доверять!), получает доступ к ресурсам домена. Попробуем исключить такую потенциальную угрозу с помощью применения политик IPSec.

Создадим в домене OU с именем Isolated и переместим в нее компьютеры FS1 и WKST1. Схема нашей сети теперь будет выглядеть так:

Необходимо создать политику изоляции домена, которая позволит связываться только компьютерам, находящимся в пределах изолированного домена. Запросы с неизолированных компьютеров вне домена должны игнорироваться. Для этого будет создан список фильтров и настроено их действие, затем политика будет настроена, назначена и применена к членам домена.

Создание списка фильтров

Первый фильтр нам понадобится, чтобы разрешить трафик с контроллером домена, поскольку каждый клиент должен пройти аутентификацию и получить билет Kerberos. Вообще, Microsoft не рекомендует реализацию решений, осуществляющих IPSec-защиту соединений членов домена с их контроллерами домена из-за сложности конфигурации таких сценариев и их управления. Если для проверки подлинности используется Kerberos, необходимо создать разрешающие фильтры для соединений клиентов с контроллерами доменов, серверами DNS и DHCP.

На контроллере DC1 открываем используемые параметры безопасности (Пуск — Администрирование — Политика безопасности контроллера домена). На левой панели разворачиваем ветвь Параметры безопасности и делаем правый щелчок мышью на узле Политики безопасности IP на «Служба каталогов АД».

Из открывшегося меню выбираем команду Управление списками IP-фильтра и действиями фильтра. На вкладке Управление списками фильтров IP нажимаем кнопку Добавить. Снимаем флажок Использовать мастер, в поле Имя вводим название для фильтра, например, DC Rule. В поле Описание можно добавить поясняющую информацию. Нажимаем кнопку Добавить.

На вкладке Адреса необходимо убедиться, что установлен флажок Отраженный, в списке Адрес источника пакетов указано значение Мой IP-адрес, в списке Адрес назначения пакетов — выбрать Определенный IP-адрес. В появившемся поле указать IP-адрес контроллера домена, в моем случае — 192.168.0.2. Дважды нажимаем на кнопки OK, закрывая окна.

Теперь зададим еще один фильтр, который будет отслеживать остальной трафик в нашей подсети. Еще раз нажимаем кнопку Добавить, указываем имя — например, Subnet 192.168.0.0 traffic, указываем пояснение и нажимаем кнопку Добавить. На вкладке Адреса оставляем включенным флажок Отраженный, в поле Адрес источника пакетов оставляем Мой IP-адрес. В списке Адрес назначения пакетов выбираем Определенная подсеть IP. Далее указываем сеть (192.168.0.0) и маску подсети (255.255.255.0). Закрываем окна, дважды нажимая кнопки OK.

Теперь приступим к настройке действий фильтров IPSec. Для этого перейдем на вкладку Управление действиями фильтра. Также снимем внизу окна флажок Использовать мастер и нажмем кнопку Добавить. В окне свойств на вкладке Методы безопасности (переключатель должен находиться в положении Согласовать безопасность) еще раз щелкаем Добавить и установим переключатель Только обеспечение целостности. Закроем окно, нажав кнопку ОК и перейдем на вкладку Общие. Необходимо будет указать имя для нового действия (например, Domain Isolation), и, при желании — его описание. Нажимаем ОК, затем Закрыть.

Переходим к настройке политики. Еще раз делаем правый щелчок мышью на узле Политики безопасности IP на «Служба каталогов АД», но теперь выберем команду Создать политику безопасности IP. Нажимаем кнопку Далее в первом окне диалога, затем указываем имя (например, Domain Isolation) и описание, нажимаем Далее. Снимаем флажок Использовать правило по умолчанию, щелкаем Далее. Снимаем флажок Изменить свойства, нажимаем Готово. Снимаем флажок Использовать мастер и щелкаем кнопку Добавить. Теперь необходимо «собрать» пары фильтр/действие. Отмечаем Subnet 192.168.0.0 traffic, переходим на вкладку Действие фильтра и отмечаем Domain Isolation, нажимаем ОК. Так же добавляем DC Rule и выбираем для него действие Permit. Было бы неплохо также добавить All ICMP Traffic/Permit, чтобы иметь возможность применять диагностические сетевые утилиты вроде ping. По окончании этого процесса, закрываем окно, нажав кнопку ОК.

У нас на очереди — назначение политики. Открываем оснастку Active Directory — Пользователи и компьютеры, разворачиваем ветвь с нашим доменом и делаем щелчок правой кнопкой мыши на OU Isolated. Выбираем в меню команду Свойства и переходим на вкладку Групповая политика. Нажимаем кнопку Создать, указываем имя (Domain Isolation) и нажимаем кнопку Изменить. Последовательно разворачиваем на левой панели ветвь Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политика безопасности IP на служба каталога AD. Переходим на правую панель, делаем щелчок правой кнопкой на имени Domain Isolation и выбираем команду Назначить.

В углу значка слева от названия политики должна появиться зеленая точка, показывающая, что политика теперь назначена. На клиентах политика IPSec обновляется при загрузке операционной системы или через заданные интервалы времени. Для того, чтобы обновление политики произошло немедленно, введем в командную строку на компьютерах FS1 и WKST1 следующие команды:

gpupdate /force
net stop policyagent
net start policyagent

Теперь остается проверить действие созданной политики. Пробуем зайти с WKST2 на FS1 и WKST1. Если все работает правильно, пользователь должен получить вот такие симпатичные сообщения:

При этом соединение с FS1 на WKST1 и наоборот должно быть успешным, с возможностью использования разрешенных общих ресурсов.

Можно пойти дальше и изолировать внутри домена сервер FS1 так, чтобы только члены домена, входящие в состав особой группы могли получить к нему доступ. Для начала, сделаем маленькую перестановку в нашей сети — присоединим наш «несчастный» WKST2 к домену. Затем переместим его в OU Isolated и перезагрузим. В качестве проверки попробуем зайти на FS1 — теперь он должен получить доступ.
Открываем оснастку Active Directory — пользователи и компьютеры, щелкаем правой кнопкой мыши на названии нашего домена и выбираем команду Создать — Группа. Указываем название для группы — Authorized Computers, тип — группа безопасности. Далее, добавляем в группу компьютер WKST2 и администратора домена.
Теперь добавим политику, определяющую доступ к компьютеру по сети. Для этого в оснастке Active Directory — пользователи и компьютеры щелкаем правой кнопкой мыши название OU Isolated, выбираем команду Свойства и переходим на вкладку Групповая политика. Нажимаем кнопку Создать, указываем имя (например, Доступ к Isolated), затем щелкаем Изменить. Разворачиваем на левой панели ветвь Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователя. На правой панели находим параметр Доступ к компьютеру из сети.

Делаем на названии параметра двойной щелчок, в открывшемся диалоге устанавливаем флажок Определить указанные ниже параметры политики, нажимаем кнопку Добавить пользователя или группу. Находим группу Authorized Computers. Кнопками ОК последовательно закрываем окна диалогов, в появившемся окне подтверждения нажимаем Да и закрываем окно диалога. Осталось обновить политики на компьютерах командой

gpupdate /force

Теперь доступ к компьютерам OU Isolated членам домена, не входящим в группу Authorized Computers будет закрыт.

Следует отметить, что применение IPSec реализуется на платформах не ниже Windows2000.

Вместо использования консоли управления политикой IP-безопасности в Windows Server 2003 можно использовать команду Netsh, которая поддерживает применение сценариев. Справочник по параметрам команды Netsh можно посмотреть в Microsoft TechNet

Бурное развитие сетевых технологий, в сочетании со снижением стоимости беспроводных устройств (таких, как WiFi, Bluetooth, GPRS) и нарастающей массовости их применения, делает сетевой доступ к внутренним ресурсам предприятий более простым, чем когда-либо. С одной стороны, эта необходимость вызывается изменяющимися бизнес-процессами и другими производственными причинами. Однако, оборотной стороной такого развития становится все более сложное управление физическим доступом к сети, и как следствие — увеличение рисков, связанных с распространением вирусов, хищением информации, неправильного использования служащими ПО и т. д. Применение политик IPSec для защиты соединений беспроводных устройств может показаться привлекательным, но здесь есть одно «но».

Протоколы IPSec будут неэффективно работать с мобильными, постоянно перемещающимися между точками доступа одной сети клиентами. Это вызвано тем, что перемещающийся клиент будет слишком часто получать новый IP-адрес, что в свою очередь, потребует слишком частого согласования ассоциаций безопасности.

Еще раз необходимо подчеркнуть, что реализация решений с помощью политик IPSec должна тщательно планироваться, а перед развертыванием — тестироваться в среде, максимально точно моделирующей реальную.

В качестве очень подробного руководства, содержащего весь процесс внедрения решений изоляции серверов и домена от стадии проектирования до тестирования, конечной реализации и его управления, можно порекомендовать документ Server and Domain Isolation Using IPsec and Group Policy, доступный на сайте Microsoft.

AJRouter
Служба маршрутизатора AllJoyn
AllJoyn Router Service
Состояние : 1 STOPPED

ALG
Служба шлюза уровня приложения
Application Layer Gateway Service
Состояние : 1 STOPPED

AppIDSvc
Удостоверение приложения
Application Identity
Состояние : 1 STOPPED

Appinfo
Сведения о приложении
Application Information
Состояние : 4 RUNNING

AppMgmt
Управление приложениями
Application Management
Состояние : 4 RUNNING

AppReadiness
Готовность приложений
App Readiness
Состояние : 1 STOPPED

AppVClient
Microsoft App-V Client
Состояние : 1 STOPPED

AppXSvc
Служба развертывания AppX (AppXSVC)
AppX Deployment Service (AppXSVC)
Состояние : 1 STOPPED

AssignedAccessManagerSvc
Служба AssignedAccessManager
AssignedAccessManager Service
Состояние : 1 STOPPED

AudioEndpointBuilder
Средство построения конечных точек Windows Audio
Windows Audio Endpoint Builder
Состояние : 4 RUNNING

Audiosrv
Windows Audio
Состояние : 4 RUNNING

AxInstSV
Установщик ActiveX (AxInstSV)
ActiveX Installer (AxInstSV)
Состояние : 1 STOPPED

BDESVC
Служба шифрования дисков BitLocker
BitLocker Drive Encryption Service
Состояние : 1 STOPPED

BFE
Служба базовой фильтрации
Base Filtering Engine
Состояние : 4 RUNNING

BITS
Фоновая интеллектуальная служба передачи (BITS)
Background Intelligent Transfer Service
Состояние : 4 RUNNING

BrokerInfrastructure
Служба инфраструктуры фоновых задач
Background Tasks Infrastructure Service
Состояние : 4 RUNNING

BTAGService
Служба звукового шлюза Bluetooth
Bluetooth Audio Gateway Service
Состояние : 1 STOPPED

BthAvctpSvc
Служба AVCTP
AVCTP service
Состояние : 4 RUNNING

bthserv
Служба поддержки Bluetooth
Bluetooth Support Service
Состояние : 1 STOPPED

camsvc
Служба диспетчера доступа к возможностям
Capability Access Manager Service
Состояние : 1 STOPPED

CDPSvc
Служба платформы подключенных устройств
Connected Devices Platform Service
Состояние : 4 RUNNING

CertPropSvc
Распространение сертификата
Certificate Propagation
Состояние : 1 STOPPED

ClipSVC
Служба лицензий клиента (ClipSVC)
Client License Service (ClipSVC)
Состояние : 4 RUNNING

COMSysApp
Системное приложение COM+
COM+ System Application
Состояние : 1 STOPPED

CoreMessagingRegistrar
CoreMessaging
Состояние : 4 RUNNING

CryptSvc
Службы криптографии
Cryptographic Services
Состояние : 4 RUNNING

CscService
Автономные файлы
Offline Files
Состояние : 1 STOPPED

DcomLaunch
Модуль запуска процессов DCOM-сервера
DCOM Server Process Launcher
Состояние : 4 RUNNING

defragsvc
Оптимизация дисков
Optimize drives
Состояние : 1 STOPPED

DeviceAssociationService
Служба сопоставления устройств
Device Association Service
Состояние : 1 STOPPED

DeviceInstall
Служба установки устройств
Device Install Service
Состояние : 1 STOPPED

DevQueryBroker
Брокер фонового обнаружения DevQuery
DevQuery Background Discovery Broker
Состояние : 1 STOPPED

Dhcp
DHCP-клиент
DHCP Client
Состояние : 4 RUNNING

diagnosticshub.standardcollector.service
Стандартная служба сборщика центра диагностики Microsoft (R)
Microsoft (R) Diagnostics Hub Standard Collector Service
Состояние : 1 STOPPED

diagsvc
Diagnostic Execution Service
Состояние : 1 STOPPED

DiagTrack
Функциональные возможности для подключенных пользователей и телеметрия
Connected User Experiences and Telemetry
Состояние : 4 RUNNING

DisplayEnhancementService
Служба улучшения отображения
Display Enhancement Service
Состояние : 4 RUNNING

DmEnrollmentSvc
Служба регистрации управления устройством
Device Management Enrollment Service
Состояние : 1 STOPPED

dmwappushservice
Служба маршрутизации push-сообщений на основе протокола WAP (Wireless Application Protocol) для управления устройствами
Device Management Wireless Application Protocol (WAP) Push message Routing Service
Состояние : 1 STOPPED

Dnscache
DNS-клиент
DNS Client
Состояние : 4 RUNNING

DoSvc
Оптимизация доставки
Delivery Optimization
Состояние : 1 STOPPED

dot3svc
Проводная автонастройка
Wired AutoConfig
Состояние : 1 STOPPED

DPS
Служба политики диагностики
Connected Devices Platform Service
Состояние : 4 RUNNING

DsmSvc
Диспетчер настройки устройств
Device Setup Manager
Состояние : 4 RUNNING

DsSvc
Служба совместного доступа к данным
Data Sharing Service
Состояние : 1 STOPPED

DusmSvc
Использование данных
Data Usage
Состояние : 4 RUNNING

Eaphost
Расширяемый протокол проверки подлинности (EAP)
Extensible Authentication Protocol
Состояние : 1 STOPPED

EFS
Шифрованная файловая система (EFS)
Encrypting File System (EFS)
Состояние : 1 STOPPED

embeddedmode
Встроенный режим
Embedded Mode
Состояние : 1 STOPPED

EntAppSvc
Служба управления корпоративными приложениями
Enterprise App Management Service
Состояние : 1 STOPPED

EventLog
Журнал событий Windows
Windows Event Log
Состояние : 4 RUNNING

EventSystem
Система событий COM+
COM+ Event System
Состояние : 4 RUNNING

Fax
Факс
Состояние : 1 STOPPED

fdPHost
Хост поставщика функции обнаружения
Function Discovery Provider Host
Состояние : 1 STOPPED

FDResPub
Публикация ресурсов обнаружения функции
Function Discovery Resource Publication
Состояние : 1 STOPPED

fhsvc
Служба истории файлов
File History Service
Состояние : 1 STOPPED

FontCache
Служба кэша шрифтов Windows
Windows Font Cache Service
Состояние : 4 RUNNING

FrameServer
Сервер кадров камеры Windows
Windows Camera Frame Server
Состояние : 1 STOPPED

gpsvc
Клиент групповой политики
Group Policy Client
Состояние : 1 STOPPED

GraphicsPerfSvc
Состояние : 1 STOPPED

hidserv
Доступ к HID-устройствам
Human Interface Device Service
Состояние : 1 STOPPED

HvHost
Служба узла HV
HV Host Service
Состояние : 1 STOPPED

icssvc
Служба Windows Mobile Hotspot
Windows Mobile Hotspot Service
Состояние : 1 STOPPED

IKEEXT
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности
IKE and AuthIP IPsec Keying Modules
Состояние : 1 STOPPED

InstallService
Служба установки Microsoft Store
Microsoft Store Install Service
Состояние : 1 STOPPED

iphlpsvc
Вспомогательная служба IP
IP Helper
Состояние : 4 RUNNING

IpxlatCfgSvc
Служба настройки преобразования IP-адресов
IP Translation Configuration Service
Состояние : 1 STOPPED

irmon
Служба монитора инфракрасной связи
Infrared monitor service
Состояние : 1 STOPPED

KeyIso
Изоляция ключей CNG
CNG Key Isolation
Состояние : 4 RUNNING

KtmRm
KtmRm для координатора распределенных транзакций
KtmRm for Distributed Transaction Coordinator
Состояние : 1 STOPPED

LanmanServer
Сервер
Server
Состояние : 4 RUNNING

LanmanWorkstation
Рабочая станция
Workstation
Состояние : 4 RUNNING

lfsvc
Служба географического положения
Geolocation Service
Состояние : 4 RUNNING

LicenseManager
Служба Windows License Manager
Windows License Manager Service
Состояние : 4 RUNNING

lltdsvc
Тополог канального уровня
Link-Layer Topology Discovery Mapper
Состояние : 1 STOPPED

lmhosts
Модуль поддержки NetBIOS через TCP/IP
TCP/IP NetBIOS Helper
Состояние : 4 RUNNING

LSM
Диспетчер локальных сеансов
Local Session Manager
Состояние : 4 RUNNING

LxpSvc
Служба Language Experience Service
Language Experience Service
Состояние : 1 STOPPED

MapsBroker
Диспетчер скачанных карт
Downloaded Maps Manager
Состояние : 1 STOPPED

mpssvc
Брандмауэр Защитника Windows
Windows Defender Firewall
Состояние : 4 RUNNING

MSDTC
Координатор распределенных транзакций
Distributed Transaction Coordinator
Состояние : 1 STOPPED

MSiSCSI
Служба инициатора Майкрософт iSCSI
Microsoft iSCSI Initiator Service
Состояние : 1 STOPPED

msiserver
Установщик Windows
Windows Installer
Состояние : 1 STOPPED

NaturalAuthentication
Проверка подлинности на основе физических параметров
Natural Authentication
Состояние : 1 STOPPED

NcaSvc
Помощник по подключению к сети
Network Connectivity Assistant
Состояние : 1 STOPPED

NcbService
Посредник подключений к сети
Network Connection Broker
Состояние : 4 RUNNING

NcdAutoSetup
Автоматическая настройка сетевых устройств
Network Connected Devices Auto-Setup
Состояние : 1 STOPPED

Netlogon
Сетевой вход в систему
Состояние : 1 STOPPED

Netman
Сетевые подключения
Network Connections
Состояние : 1 STOPPED

netprofm
Служба списка сетей
Network List Service
Состояние : 4 RUNNING

NetSetupSvc
Служба настройки сети
Network Setup Service
Состояние : 1 STOPPED

NetTcpPortSharing
Служба общего доступа к портам Net.Tcp
Net.Tcp Port Sharing Service
Состояние : 1 STOPPED

NgcCtnrSvc
Контейнер службы Microsoft Passport
Microsoft Passport Container
Состояние : 1 STOPPED

NgcSvc
Служба Microsoft Passport
Microsoft Passport
Состояние : 1 STOPPED

NlaSvc
Служба сведений о подключенных сетях
Network Location Awareness
Состояние : 4 RUNNING

nsi
Служба интерфейса сохранения сети
Network Store Interface Service
Состояние : 4 RUNNING

p2pimsvc
Диспетчер удостоверения сетевых участников
Peer Networking Identity Manager
Состояние : 1 STOPPED

p2psvc
Группировка сетевых участников
Peer Networking Grouping
Состояние : 1 STOPPED

PcaSvc
Служба помощника по совместимости программ
Program Compatibility Assistant Service
Состояние : 4 RUNNING

PeerDistSvc
BranchCache
Состояние : 1 STOPPED

perceptionsimulation
Служба имитации восприятия Windows
Windows Perception Simulation Service
Состояние : 1 STOPPED

PerfHost
Хост библиотеки счетчика производительности
Performance Counter DLL Host
Состояние : 1 STOPPED

PhoneSvc
Телефонная связь
Phone Service
Состояние : 1 STOPPED

pla
Журналы и оповещения производительности
Performance Logs & Alerts
Состояние : 1 STOPPED

PlugPlay
Plug and Play
Состояние : 4 RUNNING

PNRPAutoReg
Служба публикации имен компьютеров PNRP
PNRP Machine Name Publication Service
Состояние : 1 STOPPED

PNRPsvc
Протокол PNRP
Peer Name Resolution Protocol
Состояние : 1 STOPPED

PolicyAgent
Агент политики IPsec
IPsec Policy Agent
Состояние : 1 STOPPED

Power
Питание
Состояние : 4 RUNNING

PrintNotify
Расширения и уведомления для принтеров
Printer Extensions and Notifications
Состояние : 1 STOPPED

ProfSvc
Служба профилей пользователей
User Profile Service
Состояние : 4 RUNNING

PushToInstall
Служба PushToInstall Windows
Windows PushToInstall Service
Состояние : 1 STOPPED

QWAVE
Quality Windows Audio Video Experience
Состояние : 1 STOPPED

RasAuto
Диспетчер автоматических подключений удаленного доступа
Remote Access Auto Connection Manager
Состояние : 1 STOPPED

RasMan
Диспетчер подключений удаленного доступа
Remote Access Connection Manager
Состояние : 4 RUNNING

RemoteAccess
Маршрутизация и удаленный доступ
Routing and Remote Access
Состояние : 1 STOPPED

RemoteRegistry
Удаленный реестр
Remote Registry
Состояние : 1 STOPPED

RetailDemo
Служба демонстрации магазина
Retail Demo Service
Состояние : 1 STOPPED

RmSvc
Служба управления радио
Radio Management Service
Состояние : 1 STOPPED

RpcEptMapper
Сопоставитель конечных точек RPC
RPC Endpoint Mapper
Состояние : 4 RUNNING

RpcLocator
Локатор удаленного вызова процедур (RPC)
Remote Procedure Call (RPC) Locator
Состояние : 1 STOPPED

RpcSs
Удаленный вызов процедур (RPC)
Remote Procedure Call (RPC)
Состояние : 4 RUNNING

SamSs
Диспетчер учетных записей безопасности
Security Accounts Manager
Состояние : 4 RUNNING

SCardSvr
Смарт-карта
Smart Card
Состояние : 1 STOPPED

ScDeviceEnum
Служба перечисления устройств чтения смарт-карт
Smart Card Device Enumeration Service
Состояние : 1 STOPPED

Schedule
Планировщик заданий
Task Scheduler
Состояние : 4 RUNNING

SCPolicySvc
Политика удаления смарт-карт
Smart Card Removal Policy
Состояние : 1 STOPPED

SDRSVC
Программа архивации данных
Windows Backup
Состояние : 1 STOPPED

seclogon
Вторичный вход в систему
Secondary Logon
Состояние : 1 STOPPED

SecurityHealthService
Служба «Безопасность Windows»
Windows Security Service
Состояние : 4 RUNNING

SEMgrSvc
Диспетчер платежей и NFC/защищенных элементов
Payments and NFC/SE Manager
Состояние : 4 RUNNING

SENS
Служба уведомления о системных событиях
System Event Notification Service
Состояние : 4 RUNNING

Sense
Служба Advanced Threat Protection в Защитнике Windows
Windows Defender Advanced Threat Protection Service
Состояние : 1 STOPPED

SensorDataService
Служба данных датчиков
Sensor Data Service
Состояние : 1 STOPPED

SensorService
Служба датчиков
Sensor Service
Состояние : 4 RUNNING

SensrSvc
Служба наблюдения за датчиками
Sensor Monitoring Service
Состояние : 4 RUNNING

SessionEnv
Настройка сервера удаленных рабочих столов
Remote Desktop Configuration
Состояние : 1 STOPPED

SgrmBroker
Брокер мониторинга среды выполнения System Guard
System Guard Runtime Monitor Broker
Состояние : 4 RUNNING

SharedAccess
Общий доступ к подключению к Интернету (ICS)
Internet Connection Sharing (ICS)
Состояние : 1 STOPPED

SharedRealitySvc
Служба пространственных данных
Spatial Data Service
Состояние : 1 STOPPED

ShellHWDetection
Определение оборудования оболочки
Shell Hardware Detection
Состояние : 4 RUNNING

shpamsvc
Shared PC Account Manager
Состояние : 1 STOPPED

smphost
SMP дисковых пространств (Майкрософт)
Microsoft Storage Spaces SMP
Состояние : 1 STOPPED

SmsRouter
Служба маршрутизатора SMS Microsoft Windows.
Microsoft Windows SMS Router Service.
Состояние : 1 STOPPED

SNMPTRAP
Ловушка SNMP
SNMP Trap
Состояние : 1 STOPPED

spectrum
Служба восприятия Windows
Windows Perception Service
Состояние : 1 STOPPED

Spooler
Диспетчер печати
Print Spooler
Состояние : 4 RUNNING

sppsvc
Защита программного обеспечения
Software Protection
Состояние : 1 STOPPED

SSDPSRV
Обнаружение SSDP
SSDP Discovery
Состояние : 4 RUNNING

ssh-agent
OpenSSH Authentication Agent
Состояние : 1 STOPPED

SstpSvc
Служба SSTP
Secure Socket Tunneling Protocol Service
Состояние : 4 RUNNING

StateRepository
Служба репозитория состояний
State Repository Service
Состояние : 4 RUNNING

stisvc
Служба загрузки изображений Windows (WIA)
Windows Image Acquisition (WIA)
Состояние : 1 STOPPED

StorSvc
Служба хранилища
Storage Service
Состояние : 4 RUNNING

svsvc
Быстрая проверка
Spot Verifier
Состояние : 1 STOPPED

swprv
Программный поставщик теневого копирования (Microsoft)
Microsoft Software Shadow Copy Provider
Состояние : 1 STOPPED

SysMain
Состояние : 4 RUNNING

SystemEventsBroker
Брокер системных событий
System Events Broker
Состояние : 4 RUNNING

TabletInputService
Служба сенсорной клавиатуры и панели рукописного ввода
Touch Keyboard and Handwriting Panel Service
Состояние : 4 RUNNING

TapiSrv
Телефония
Telephony
Состояние : 1 STOPPED

TermService
Службы удаленных рабочих столов
Remote Desktop Services
Состояние : 1 STOPPED

Themes
Темы
Состояние : 4 RUNNING

TieringEngineService
Управление уровнями хранилища
Storage Tiers Management
Состояние : 1 STOPPED

TimeBrokerSvc
Брокер времени
Time Broker
Состояние : 4 RUNNING

TokenBroker
Диспетчер учетных веб-записей
Web Account Manager
Состояние : 4 RUNNING

TrkWks
Клиент отслеживания изменившихся связей
Distributed Link Tracking Client
Состояние : 4 RUNNING

TrustedInstaller
Установщик модулей Windows
Windows Modules Installer
Состояние : 1 STOPPED

tzautoupdate
Автоматическое обновление часового пояса
Auto Time Zone Updater
Состояние : 1 STOPPED

UevAgentService
Служба виртуализации взаимодействия с пользователем
User Experience Virtualization Service
Состояние : 1 STOPPED

UmRdpService
Перенаправитель портов пользовательского режима служб удаленных рабочих столов
Remote Desktop Services UserMode Port Redirector
Состояние : 1 STOPPED

upnphost
Узел универсальных PNP-устройств
UPnP Device Host
Состояние : 1 STOPPED

UserManager
Диспетчер пользователей
Состояние : 4 RUNNING

UsoSvc
Update Orchestrator Service
Состояние : 4 RUNNING

VacSvc
Служба компоновщика объемного звука
Volumetric Audio Compositor Service
Состояние : 1 STOPPED

VaultSvc
Диспетчер учетных данных
Credential Manager
Состояние : 4 RUNNING

vds
Виртуальный диск
Virtual Disk
Состояние : 1 STOPPED

vmicguestinterface
Интерфейс гостевой службы Hyper-V
Hyper-V Guest Service Interface
Состояние : 1 STOPPED

vmicheartbeat
Служба пульса (Hyper-V)
Hyper-V Heartbeat Service
Состояние : 1 STOPPED

vmickvpexchange
Служба обмена данными (Hyper-V)
Hyper-V Data Exchange Service
Состояние : 1 STOPPED

vmicrdv
Служба виртуализации удаленных рабочих столов Hyper-V
Hyper-V Remote Desktop Virtualization Service
Состояние : 1 STOPPED

vmicshutdown
Служба завершения работы в качестве гостя (Hyper-V)
Hyper-V Guest Shutdown Service
Состояние : 1 STOPPED

vmictimesync
Служба синхронизации времени Hyper-V
Hyper-V Time Synchronization Service
Состояние : 1 STOPPED

vmicvmsession
Служба Hyper-V PowerShell Direct
Hyper-V PowerShell Direct Service
Состояние : 1 STOPPED

vmicvss
Служба запросов на теневое копирование томов Hyper-V
Hyper-V Volume Shadow Copy Requestor
Состояние : 1 STOPPED

VSS
Теневое копирование тома
Hyper-V Volume Shadow Copy Requestor
Состояние : 1 STOPPED

W32Time
Служба времени Windows
Windows Time
Состояние : 1 STOPPED

WaaSMedicSvc
Windows Update Medic Service
Состояние : 1 STOPPED

WalletService
Служба кошелька
Состояние : 1 STOPPED

WarpJITSvc
Состояние : 4 RUNNING

wbengine
Служба модуля архивации на уровне блоков
Block Level Backup Engine Service
Состояние : 1 STOPPED

WbioSrvc
Биометрическая служба Windows
Windows Biometric Service
Состояние : 1 STOPPED

Wcmsvc
Диспетчер подключений Windows
Windows Connection Manager
Состояние : 4 RUNNING

wcncsvc
Немедленные подключения Windows — регистратор настройки
Windows Connect Now — Config Registrar
Состояние : 1 STOPPED

WdiServiceHost
Узел службы диагностики
Diagnostic Service Host
Состояние : 4 RUNNING

WdiSystemHost
Узел системы диагностики
Diagnostic System Host
Состояние : 1 STOPPED

WdNisSvc
Служба проверки сети Windows Defender Antivirus
Windows Defender Antivirus Network Inspection Service
Состояние : 4 RUNNING

WebClient
Веб-клиент
Состояние : 1 STOPPED

Wecsvc
Сборщик событий Windows
Windows Event Collector
Состояние : 1 STOPPED

WEPHOSTSVC
Служба узла поставщика шифрования Windows
Windows Encryption Provider Host Service
Состояние : 1 STOPPED

wercplsupport
Поддержка элемента панели управления «Отчеты о проблемах и их решениях»
Problem Reports and Solutions Control Panel Support
Состояние : 1 STOPPED

WerSvc
Служба регистрации ошибок Windows
Windows Error Reporting Service
Состояние : 1 STOPPED

WFDSConMgrSvc
Служба диспетчера подключений служб Wi-Fi Direct
Wi-Fi Direct Services Connection Manager Service
Состояние : 1 STOPPED

WiaRpc
События получения неподвижных изображений
Still Image Acquisition Events
Состояние : 1 STOPPED

WinDefend
Антивирусная программа «Защитника Windows»
Windows Defender Antivirus Service
Состояние : 4 RUNNING

WinHttpAutoProxySvc
Служба автоматического обнаружения веб-прокси WinHTTP
WinHTTP Web Proxy Auto-Discovery Service
Состояние : 4 RUNNING

Winmgmt
Инструментарий управления Windows
Windows Management Instrumentation
Состояние : 4 RUNNING

WinRM
Служба удаленного управления Windows (WS-Management)
Windows Remote Management (WS-Management)
Состояние : 1 STOPPED

wisvc
Служба предварительной оценки Windows
Windows Insider Service
Состояние : 1 STOPPED

WlanSvc
Служба автонастройки WLAN
WLAN AutoConfig
Состояние : 1 STOPPED

wlidsvc
Помощник по входу в учетную запись Майкрософт
Microsoft Account Sign-in Assistant
Состояние : 4 RUNNING

wlpasvc
Служба помощника по локальному профилю
Local Profile Assistant Service
Состояние : 1 STOPPED

WManSvc
Служба управления Windows
Windows Management Service
Состояние : 1 STOPPED

wmiApSrv
Адаптер производительности WMI
WMI Performance Adapter
Состояние : 1 STOPPED

WMPNetworkSvc
Служба общих сетевых ресурсов проигрывателя Windows Media
Windows Media Player Network Sharing Service
Состояние : 1 STOPPED

workfolderssvc
Рабочие папки
Work Folders
Состояние : 1 STOPPED

WpcMonSvc
Родительский контроль
Parental Controls
Состояние : 1 STOPPED

WPDBusEnum
Служба перечислителя переносных устройств
Portable Device Enumerator Service
Состояние : 1 STOPPED

WpnService
Служба системы push-уведомлений Windows
Windows Push Notifications System Service
Состояние : 4 RUNNING

wscsvc
Центр обеспечения безопасности
Security Center
Состояние : 4 RUNNING

WSearch
Windows Search
Состояние : 4 RUNNING

wuauserv
Центр обновления Windows
Windows Update
Состояние : 1 STOPPED

WwanSvc
Автонастройка WWAN
WWAN AutoConfig
Состояние : 1 STOPPED

XblAuthManager
Диспетчер проверки подлинности Xbox Live
Xbox Live Auth Manager
Состояние : 1 STOPPED

XblGameSave
Сохранение игр на Xbox Live
Xbox Live Game Save
Состояние : 1 STOPPED

XboxGipSvc
Xbox Accessory Management Service
Состояние : 1 STOPPED

XboxNetApiSvc
Сетевая служба Xbox Live
Xbox Live Networking Service
Состояние : 1 STOPPED

BcastDVRUserService_29e9c
Состояние : 1 STOPPED

BluetoothUserService_29e9c
Состояние : 1 STOPPED

CaptureService_29e9c
Состояние : 1 STOPPED

cbdhsvc_29e9c
Состояние : 4 RUNNING

CDPUserSvc_29e9c
Состояние : 4 RUNNING

ConsentUxUserSvc_29e9c
Состояние : 1 STOPPED

DevicePickerUserSvc_29e9c
Состояние : 1 STOPPED

DevicesFlowUserSvc_29e9c
Состояние : 1 STOPPED

MessagingService_29e9c
Состояние : 1 STOPPED

OneSyncSvc_29e9c
Состояние : 4 RUNNING

PimIndexMaintenanceSvc_29e9c
Состояние : 1 STOPPED

PrintWorkflowUserSvc_29e9c
Состояние : 1 STOPPED

UnistoreSvc_29e9c
Состояние : 1 STOPPED

UserDataSvc_29e9c
Состояние : 1 STOPPED

WpnUserService_29e9c
Состояние : 4 RUNNING

Internet Protocol security (IPsec) supports network-level peer authentication, data origin authentication, data integrity, data confidentiality (encryption), and replay protection. This service enforces IPsec policies created through the IP Security Policies snap-in or the command-line tool «netsh ipsec». If you stop this service, you may experience network connectivity issues if your policy requires that connections use IPsec. Also,remote management of Windows Defender Firewall is not available when this service is stopped.

Default Settings

Default Behavior

IPsec Policy Agent is a Win32 service. In Windows 10 it is starting only if the user, an application or another service starts it. When the IPsec Policy Agent service is started, it is running as NT AuthorityNetworkService in a shared process of svchost.exe along with other services. If IPsec Policy Agent fails to start, the failure details are being recorded into Event Log. Then Windows 10 will start up and notify the user that the PolicyAgent service has failed to start due to the error.

Dependencies

IPsec Policy Agent cannot be started under any conditions, if the following services are disabled, deleted or working improperly:

• Base Filtering Engine
• TCP/IP Protocol Driver

Restore Default Startup Configuration of IPsec Policy Agent

Before you begin doing this, make sure that all the services on which IPsec Policy Agent depends are configured by default and function properly. See the list of dependencies above.

1. Run the Command Prompt as an administrator.

2. Copy the command below, paste it into the command window and press ENTER:

sc config PolicyAgent start= demand

3. Close the command window and restart the computer.

The PolicyAgent service is using the ipsecsvc.dll file that is located in the C:WindowsSystem32 directory. If the file is removed or corrupted, read this article to restore its original version from Windows 10 installation media.

990x.top

Простой компьютерный блог для души)

WSCSVC — что это за служба в Windows 10 и можно ли ее отключить?

Приветствую. Продолжаем изучать неизвестные службы Windows 10, сегодня у нас на разбор попала служба WSCSVC — я постараюсь найти максимум информации и написать все простыми словами. Поехали разбираться!

WSCSVC — что это такое?

Служба Центра обеспечения безопасности (Windows Security Center).

Этот центр безопасности появился еще в Windows XP SP2.

Служба отслеживает и сообщает параметры работоспособности системы безопасности. Параметры работоспособности включают в себя такие моменты как:

• Настройка брандмауэра, антивируса, антишпиона.
• Настройка Центра обновления Windows: можно указать как именно загружать и устанавливать обновления — автоматически или вручную.
• Контроль учетных записей пользователей — включение/отключение.
• API для программ, которые регистрируют и записывают данные в службу Центра безопасности.
• API чтобы сторонний софт смог узнать состояние безопасности Windows.

Что такое API? Это некие команды, которые могут использоваться сторонним софтом. То есть программа может послать команду в Центр безопасности и получить результат.

Были случаи, когда под службу WSCSVC маскировался вирус. Поэтому при подозрениях можете проверить ПК лучшими антивирусными утилитами — Dr.Web CureIt!, AdwCleaner, HitmanPro.

Вот как выглядел этот центр безопасности в Windows XP:

В Windows 10 как я понимаю это окно стало называться Безопасность и обслуживание, и если служба WSCSVC отключена — то будет написано такое предупреждение:

WSCSVC — можно ли отключить?

Отключить то можно, могут не работать некоторые функции безопасности. Настоятельно рекомендую перед отключением создать точку восстановления!

Я советую отключать службу именно через реестр — так надежнее (как мне кажется):

1. Зажмите Win + R, появится окошко Выполнить, напишите команду regedit и нажмите ОК.
2. Откроется редактор реестра, справа будут разделы, а слева — параметры (ключи).
3. Откройте параметр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
4. Внутри найдите раздел wscsvc, откройте его. Найдите там параметр Start, нажмите два раза по нему и установите значение 4.
5. Нажмите ОК и выполните перезагрузку, после которой Центр безопасности уже должен быть отключен.

Важно! Может быть такое, что после перезагрузки служба сама себя включит. Тогда нужно на раздел wscsvc в разрешениях (правой кнопкой по разделу) выставить запретить все. Таким образом вы запретите системе менять значение параметра.

Если служба отключена, то при попытке зайти в Центр безопасности будет примерно такая ошибка:

Источник

Wcncsvc немедленные подключения windows регистратор настройки

Рассылка закрыта

При закрытии подписчики были переданы в рассылку «Всё о работе в Интернет» на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

Статистика

Секреты Windows: статьи о реестре, rundll32.exe, программах

Глава 6. Службы Windows Vista. 6.5. Сетевые подключения — часть 4
Дата: 26 сентября 2009, суббота

Модуль поддержки NetBIOS через TCP/IP (lmhosts)

Подраздел службы: lmhosts

Данная служба реализует поддержку служб, работающих с протоколом NetBT, а также разрешение имен NetBIOS для клиентов сети.

Также поддержка семантики NetBIOS, характерной для NetBEUI (то есть, протокола NetBT) основана на драйвере NETBT, атрибуты которого представлены ниже.

Подраздел драйвера: NETBT

Программа nbtstat.exe

Для просмотра сведений о работе протокола NetBIOS можно использовать программу командной строки nbtstat.exe. Варианты синтаксиса данной программы можно узнать, введя команду nbtstat.exe /?.

Узел универсальных PNP-устройств (upnphost)

Подраздел службы: upnphost

Данная служба предназначена для взаимодействия с устройствами UPnP. Стандарт UPnP призван упростить установку новых сетевых устройств и управление ими. При подключении устройства, поддерживающего UPnP, к сети, оно самостоятельно объявляет о себе и описывает возможности по управлению собой. Работа стандарта UPNP основана на протоколе SSDP. Реализация UPNP в Windows основана на следующих файлах: Upnpcont.exe, Upnphost.dll (выполняет подключение устройств UPNP), Upnp.dll (содержит основные API UPNP), Ssdpsrv.dll (используется протоколом SSDP в качестве ведущего узла).

Подробнее о механизме uPNP можно прочитать в разделе «Включение и отключение технологии UPnP», который имеет CLSID-номер 32f3845b-eda0-4168-be8d-90f07250d810.

После отключения данной службы будет невозможна работа с устройствами UPnP.

В операционной системе Windows Vista по умолчанию создано задание UPNPHOSTCONFIG (его атрибуты представлены ниже), которое выполняет запуск службы УЗЕЛ УНИВЕРСАЛЬНЫХ PNP-УСТРОЙСТВ. Данное задание расположено в разделе БИБЛИОТЕКА ПЛАНИРОВЩИКА ЗАДАНИЙ/MICROSOFT/WINDOWS/UPNP оснастки ПЛАНИРОВЩИК ЗАДАНИЙ.

Немедленные подключения Windows — регистратор настройки (wcncsvc)

Подраздел службы: wcncsvc

Данная служба выступает в роли регистратора (предназначена для выдачи сетевых удостоверений подписчикам, а также обнаружения и автоматической настройки беспроводных устройств).

Настройки данной службы можно изменить при помощи двух групповых политик подраздела АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/СЕТЬ/WINDOWS CONNECT NOW разделов КОНФИГУРАЦИЯ КОМПЬЮТЕРА и КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ.

Первой политикой данного подраздела является политика ЗАПРЕТИТЬ ДОСТУП К МАСТЕРАМ WINDOWS CONNECT NOW. С ее помощью изменяется значение параметра DWORD-типа DisableWcnUi, расположенного в ветви реестра SOFTWAREPoliciesMicrosoftWindowsWCNUI.

Второй же групповой политикой данного раздела является политика НАСТРОЙКА ПАРАМЕТРОВ БЕСПРОВОДНОЙ СЕТИ С ПОМОЩЬЮ WINDOWS CONNECT NOW, которая изменяет значения параметров DWORD-типа DisableFlashConfigRegistrar, DisableUPnPRegistrar, DisableWPDRegistrar, EnableRegistrars, MaxWCNDeviceNumber, расположенных в ветви реестра HKLMSOFTWAREPoliciesMicrosoftWindowsWCNRegistrars. Данная групповая политика позволяет запретить возможности настройки беспроводных подключений через Ethernet, USB и переносных устройств WPD.

Проводная автонастройка (dot3svc)

Подраздел службы: dot3svc

Данная служба управляет установкой подлинности на сетевых интерфейсах стандарта IEEE 802.1X.

Служба автонастройки WLAN (Wlansvc)

Подраздел службы: Wlansvc

Основное назначение данной службы — обнаружение и перечисление беспроводных устройств.

Рабочая станция (LanmanWorkstation)

Подраздел службы: LanmanWorkstation

Данная служба поддерживает соединение с сетевым компьютером на основе протокола SMB. Она является парой для службы СЕРВЕР и предназначена для подключения к общим ресурсам, созданным с ее помощью.

Работа протокола ПРОТОКОЛ СООБЩЕНИЙ TCP/IP (СЕАНС SMB), являющегося основой службы РАБОЧАЯ СТАНЦИЯ, реализуется при помощи драйвера ПРОТОКОЛ СООБЩЕНИЙ TCP/IP И TCP/IPV6 (СЕАНС SMB), атрибуты которого представлены ниже. Этот протокол работает поверх протоколов NBT, NetBEUI или IPX/SPX, является протоколом прикладного уровня и предназначен для совместного использования файлов при помощи служб СЕРВЕР и РАБОЧАЯ СТАНЦИЯ. Он описан в секции MS_NETBT_SMB.PrimaryInstall inf-файла nettcpip.inf.

Программа net.exe

Основные сведения о работе службы РАБОЧАЯ СТАНЦИЯ можно просмотреть при помощи следующих синтаксисов команды net.exe.

• Net config workstation. Отобразить настройки работы данной службы (домен и DNS-имя компьютера, отсчет и таймаут передачи, а также интервал ожидания открытия COM-порта).
• net stats workstation. Отобразить статистику работы службы РАБОЧАЯ СТАНЦИЯ (объем переданных/принятых данных; количество разрешенных/запрещенных операций чтения и записи; количество подключений; количество запущенных/зависших сеансов и т.д.)

Настройки службы Рабочая станция

Настройки данной службы содержатся в параметрах DWORD-типа ветви реестра HKLMSYSTEMCurrentControlSetServiceslanmanworkstationparameters.

Таблица 6.51. Ветвь HKLMSYSTEMCurrentControlSetServiceslanmanworkstationparameters

Источник

Wcncsvc немедленные подключения windows регистратор настройки

Вы можете запускать и останавливать службы, используя командную строку, если есть такая необходимость.

Для запуска используется команда:
• >net start

А для остановки службы используется другая команда:
• >net stop

Например:
• >net stop spooler

Имя службы отличается от отображаемого имени службы, которое вы видите в оснастке services.msc. Имена служб Windows 7 представлены в таблице:

Если вы хотите изменить тип запуска службы, используйте команду sc: sc config start= тип запуска

Тип запуска может быть выполнен:
• auto — автоматически;
• delayed-auto — автоматически (отложенный запуск);
• demand — вручную;
• disabled — отключена.

Источник