С целью обеспечения безопасности вашего компьютера необходимо отключать некоторые потенциально опасные службы Windows. Кроме того, отключение некоторых служб позволяет немного ускорить работу вашего персонального компьютера.
Где находится список служб Windows?
Открыть окно администрирования служб можно несколькими вариантами:
- Самый быстрый способ: Пуск — Выполнить (или комбинация клавиш Win+R), вводим services.msc, затем Ок
- Пуск — Панель управления, переключаемся к классическому виду, Администрирование — Службы
Как отключить службы Windows?
У нас открылось окно со списком всех служб Windows. Каждая служба имеет свое название и описание, где есть информация за что служба отвечает.
Чтобы отключить службу необходимо дважды нажать на нужной службе. После чего откроется окно с настройками службы.
В открывшемся окне необходимо изменить тип запуска на «Вручную» или «Отключена».
После чего необходимо остановить службу, нажав на соответствующую кнопку «Остановить».
Какие службы Windows отключать?
Отключать службы нужно аккуратно. Убедитесь, что работа той или иной службы не требуется для функционирования каких-либо нужных вам служб, приложений или устройств.
Перед отключением службы необходимо посмотреть какие службы зависят от отключаемой. Для просмотра зависимостей необходимо зайти в настройки службы и перейти во вкладку «Зависимости». Верхний список служб — это службы от которых зависит выбранная служба, нижний — какие службы зависят от выбранной службы.
Если списки пустые, то можно смело отключать службу.
Потенциально опасные службы Windows, которые используются для внешних атак
Удаленный реестр (RemoteRegistry) — позволяет удаленным пользователям изменять параметры реестра на вашем компьютере. Если остановить службу, то реестр может быть изменен только локальными пользователями, работающими на компьютере.
Службы терминалов (TermService) — служба предназначена для удаленного подключения к компьютеру по сети. Данная служба является основной для удаленного рабочего стола, удаленного администрирования, удаленного помощника и служб терминалов.
Служба обнаружения SSDP (SSDPSRV) — служба предназначена для обнаружения UPnP-устройств в домашней сети. UPnP (Universal Plug and Play) — универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть может стать доступной большому числу людей.
Планировщик заданий (Shedule) — данная служба позволяет настраивать расписание автоматического выполнения задач на компьютере. Автоматически запускает различные программы, скрипты и т. п. в запланированное время. Часто используется вирусами для автозагрузки или для отложенного выполнения. Многие легальные программы используют данную службу для своей работы, например антивирусы для ежедневного обновления антивирусных баз. Посмотреть список заданий можно тут: Пуск — Программы — Стандартные — Служебные — Назначенные задания.
Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — служба управляет возможностями Удаленного помощника.
Telnet (Telnet) — позволяет удаленному пользователю входить и запускать программы, поддерживает различные клиенты TCP/IP Telnet, включая компьютеры с операционными системами Unix и Windows. Обеспечивает возможность соединения и удалённой работы в системе по протоколу Telnet (Teletype Network) с помощью командного интерпретатора. Данный протокол не использует шифрование и поэтому очень уязвим для атак при применении его в сети. Если эта служба остановлена, то удаленный пользователь не сможет запускать программы.
Вторичный вход в систему (Seclogon) — служба позволяет запускать процессы от имени другого пользователя.
- Remove From My Forums
-
Вопрос
-
Кнофигурация:
Windows 2003 Server R2 + ISA 2006 Server
Проблема:
На одном из серверов в домене поднял WSUS, через некоторое время вдруг перестал работать удаленный рабочий стол на сервере с ISA 2006.
Сначала грешил на саму ISA, но потом вдруг заметил отсутствие слушающего порта 3389 на сервере, как будто служба termsrcs просто не запустилась. Проверил, сама служба Terminal Services запущена, галочка «Включить удаленный доступ к рабочему столу» стоит, логах необной ошибки. Запустил команду netstat на другой машине, нашел сервис обрабатывающий RDP запросы:
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 2180
TermService
[svchost.exe]
А на машине с ISA такого сервиса нет. Хотя быть должна.
Очень надеюсь на Вашу помощь.
Ответы
-
Посмотрите настройки Terminal Services Configuration, например, объект RDP-TCP Connection может быть привязан к другому сетевому адаптеру. Сравните настройки с другим заведомо работающим сервером.
-
Помечено в качестве ответа
14 мая 2009 г. 11:33
-
Помечено в качестве ответа
Skip to content
- ТВикинариум
- Форум
- Поддержка
- PRO
- Войти
Службы удаленных рабочих столов
Имя службы: TermService
Отображаемое имя: Службы удаленных рабочих столов
Состояние: не работает
Тип запуска: Вручную
Зависимости: есть
Описание по умолчанию
Разрешает пользователям интерактивное подключение к удаленному компьютеру. Удаленный рабочий стол и сервер, обслуживающий сеансы подключения к удаленному рабочему столу, зависят от данной службы. Чтобы запретить удаленное использование данного компьютера, необходимо открыть панель управления, дважды щелкнуть компонент «Свойства системы» и затем на вкладке «Удаленный доступ» снять соответствующие флажки.
Нормальное описание
Главная служба, отвечающая за удалённое управление рабочим столом.
Рекомендации
Учитывая следующее:
- Если вы не пользуетесь удалённым рабочим столом
или пользуетесь, но подключаться будете только вы (не нужно, чтобы к вам)
Можете отключить службу.
Это также отключит Перенаправитель портов, который вашему главному компьютеру тоже ни к чему.
-
#1
Здравствуйте! Вчера обнаружил что компьютер слегка подвисает, а скорость интернета упала чуть ли не в 10 раз. Проверил штатным антивирусом Нортон 360 — вирусы обнаружены не были.
Решил проверить АВЗ. Программа обнаружила ряд потенциально опасных служб и уязвимостей, в том числе:
«>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ …)
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Планировщик заданий и автозапуск с СД я решил оставить. Службу SSDPSRV — отключил. Доступ к локальным дискам — закрыл, также как и запретил отправку приглашений удаленному помощнику. А вот службу TermService — отключить не получается. Что на мой взгляд крайне странно. Пробовал отключать вручную — она снова включается. Пробовал отключать скриптом (нашел на одном из сайтов по безопасности, скрипт для АВЗ) — все равно после перезагрузки включается. Что делать в такой ситуации? Как отключить эту службу?
И еще момент. Когда отключал доступ к локальным дискам (делал это через программу LanSafety), наткнулся на интересную программу Network Scanner — она позволяет найти все компьютеры в сети их ресурсы и права доступа. В функционале программы я еще не разобрался, но сразу в глаза бросилась одна странность, слева в разделе Скан отображаются IP 255.255.255.255-255.255.255.255 и 169.254.0.1-169.254.255.254 — что это? Локальной сети у меня нет, IP — естественно другой.
Еще одна странность: во время выключения компьютер выдал сообщение «Target list was changet. Save target list?» И варианты ответа да, нет, отмена.
И еще вопрос. Нужно ли в целях безопасности отключать «диспетчер подключений удаленного доступа», если нет локальной сети? Пробовал в msconfig отключать следующие службы: сервер, рабочая станция, диспетчер автоматических подключений удаленного доступа, диспетчер подключений удаленного доступа, настройка сервера удаленных рабочих столов, службы удаленных рабочих столов, — это приводит к тому что блокируется доступ в интернет. Выдается сообщение «Не удается загрузить службу диспетчера удаленного доступа. Ошибка 711: Не удалось завершить операцию, так как она не смогла запустить службу диспетчера подключений удаленного доступа вовремя. Выполните операцию еще раз.»
Заранее большое спасибо за ответы и участие.
-
CollectionLog-2016.05.15-16.42.zip
76 KB
· Просмотры: 3
Последнее редактирование: 15 Май 2016
-
#2
RAS9000, оставьте службы в покое, верните все как было, если не вспомните как было, то здесь есть рекомендации, после глубоко вдохните и наслаждайтесь жизнью)
Далее, вот эти приложения лучше удалить:
Advanced SystemCare 7 []-->"C:Program FilesIObitAdvanced SystemCare 7unins000.exe"
AVG Anti-Rootkit Free []-->C:Program FilesGRISOFTAVG Anti-Rootkit FreeUninstall.exe
HitmanPro 3.7 []-->"C:Program FilesHitmanProHitmanPro.exe" /uninstall
IObit Uninstaller []-->"C:Program FilesIObitIObit UninstallerUninstallDisplay.exe" uninstall_start
Malwarebytes Anti-Malware, версия 2.2.0.1024 []-->"C:Program FilesMalwarebytes Anti-Malwareunins000.exe"
Из всех установленных у вас антивирусов, надо оставить один (на ваше усмотрение).
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл — Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:Windowswinstart.bat','');
QuarantineFile('C:Users27C6~1AppDataLocalTempSKJQXYUYFBBZQSM.exe','');
DeleteFile('C:Users27C6~1AppDataLocalTempSKJQXYUYFBBZQSM.exe','32');
DeleteService('SKJQXYUYFBBZQSM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер
перезагрузится
. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
«Пофиксите» в HijackThis (некоторые строки могут отсутствовать):
Для
повторной
диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите «ОК», удерживая нажатой клавишу «Shift».
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку «Scan» («Сканировать») и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:AdwCleanerAdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
#3
Chinaski, большое вам спасибо за развернутый ответ. Сделал все как вы сказали. Прикрепляю к сообщению результат диагностики AutoLogger и AdwCleaner. По сути своей проблемы добавлю следующее, и до и после выполнения ваших рекомендаций Нортон фиксировал подключение к публичной сети с IP 169.254.0.0/255.255.0.0, я сделал статус этого соединения — запрещенным. Затем появилось соединение с IP 0.0.0.0, позже, уже после выполнения скрипта появилось некое соединение Software loopback interface 1 IP 127.0.0.1 — запретить его Нортон не может и еще некое соединение с IP состоящим из набора букв и цифр (первый раз такое вижу), его Нортон также запретить не может, я к сожалению не специалист в этой области и оценить уровень риска не могу, вопрос к вам как специалисту — это нормально? Что это? Заранее большое спасибо.
-
CollectionLog-2016.05.16-23.10.zip
58.1 KB
· Просмотры: 2 -
AdwCleaner[S5].txt
1.6 KB
· Просмотры: 2
Последнее редактирование: 16 Май 2016
-
#4
нормально.
Software loopback interface 1 IP 127.0.0.1
это нормально
с IP состоящим из набора букв и цифр
IPv6
читайте книги по устройствам сетей TCP/IP, там будут подробные ответы на все ваши вопросы.
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Удалить).
- Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.
Выполните скрипт в AVZ при наличии доступа в интернет:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'logavz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Выполните рекомендации после лечения.
-
#5
Здравствуйте. В продолжении ранее поднятой темы. После выполнения скрипта вышло следующее:
Поиск критических уязвимостей
Установите новый Internet Explorer
Скачивание Internet Explorer — Microsoft Windows
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
Download Обновление для системы безопасности Microsoft Office 2007 suites (KB2817330) from Official Microsoft Download Center
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
http://www.microsoft.com/downloads/…FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F
Обновление для системы безопасности Microsoft Office Word 2007
Download Обновление для системы безопасности Microsoft Office Word 2007 (KB3115116) from Official Microsoft Download Center
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
Download Пакет обновления 3 (SP3) для выпуска 2007 набора приложений Microsoft Office from Official Microsoft Download Center
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
http://www.microsoft.com/downloads/…FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536
Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию. Установите новую, если Java вам нужна:
http://www.java.com/ru/download/manual.jsp
Обнаружено уязвимостей: 5
По поводу странностей с пк. Неожиданно освободилось 7 ГБ свободного места. В чем причина не знаю. Нортон стал фиксировать подключение к новой обнаруженной сети через адаптер, IP 169.254.235.188 (я пока еще не разобрался в вопросах сетей TCP/IP, но это не мой IP, и как говорил локалки нет, почему он у меня появляется?, буду весьма признателен за ответ) Сделал отображение скрытых файлов, на рабочем столе почему то два файла desktop.ini, и в одном из них, в разделе безопасность, группы и пользователи, кроме стандартных, известных мне отображается группа под названием, некие «Интерактивные». Ну и нашел самостоятельно за вчера (при быстром сканировании) и сегодня при полном несколько зловредов. Сканировать пробовал Cezurity Scanner — обнаружены были:
1. «Opera Extension — «ipkdhmegpdbbckflpmokchoeajfngbad»
2. Suspicious.Generic «dfdownloader_XaaHR8_.exe».
Сделал на всякий случай отчеты с помошью Farbar Recovery Scan Tool, может посмотрите на всякий случай, если не сложно. Заранее благодарю.
-
FRST.txt
70.1 KB
· Просмотры: 1 -
Addition.txt
36 KB
· Просмотры: 0
Allows users to connect interactively to a remote computer. Remote Desktop and Remote Desktop Session Host Server depend on this service. To prevent remote use of your computer, clear the checkboxes on the Remote tab of the System properties control panel item.
Default Settings
Startup type: | Manual |
Display name: | Remote Desktop Services |
Service name: | TermService |
Service type: | share |
Error control: | normal |
Object: | NT AuthorityNetworkService |
Path: | %SystemRoot%System32svchost.exe -k NetworkService |
File: | %SystemRoot%System32termsrv.dll |
Registry key: | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService |
Privileges: |
|
Default Behavior
Remote Desktop Services is a Win32 service. In Windows 7 it won’t be started if the user doesn’t start it. When the Remote Desktop Services is started, it is running as NT AuthorityNetworkService in a shared process of svchost.exe. Other system components, such as drivers and services, may run in the same process. If Remote Desktop Services fails to start, Windows 7 attempts to write the failure details into Event Log. Then Windows 7 startup should proceed and the user should be notified that the TermService service is not running because of the error.
Dependencies
Remote Desktop Services is unable to start, if at least one of the following services is stopped or disabled:
- Remote Procedure Call (RPC)
- Terminal Device Driver
If Remote Desktop Services is stopped, the following services cannot start:
- Media Center Extender Service
- Remote Desktop Services UserMode Port Redirector
Restore Default Startup Configuration of Remote Desktop Services
Before you begin doing this, make sure that all the services on which Remote Desktop Services depends are configured by default and function properly. See the list of dependencies above.
1. Run the Command Prompt as an administrator.
2. Copy the command below, paste it into the command window and press ENTER:
sc config TermService start= demand
3. Close the command window and restart the computer.
The TermService service is using the termsrv.dll file that is located in the C:WindowsSystem32 directory. If the file is removed or corrupted, read this article to restore its original version from Windows 7 installation media.