Агент политики ipsec: Как отключить службы Windows 7, 10. Ускорить работу Windows
Как отключить службы Windows 7, 10. Ускорить работу Windows
Во всех операционных системах имеется множество разнообразных служб. Это могут быть службы самой ОС или службы сторонних программ. Некоторые службы необходимы для нормального функционирования системы, другие – не обязательны или вовсе не требуются рядовому пользователю. Но все они влияют на скорость работы Windows. Рассмотрим, как можно ускорить работу Windows, отключив службы, и какие из служб можно отключить.
Инструкция подойдет для ОС Windows 7, Windows 8, Windows 10.
Как открыть службы Window
В Windows 7: открываем меню Пуск, в строке поиска вводим Службы и запускаем найденное приложение.
В Windows 10: открываем поиск рядом с меню Пуск, в поле ввода пишем Службы и запускаем найденное классическое приложение Службы.
Отключение служб Windows
Чтобы отключить службу Windows в списке служб находим нужную службу и кликаем на нее два раза левой кнопкой мыши.
Далее в окне службы нажимаем Остановить, указываем тип запуска Отключена (иногда можно выставить значение Вручную). Затем обязательно нажимаем Применить и ОК.
Внимание! К отключению служб нужно относиться с большой осторожностью! Не отключайте службу, если не знаете ее назначения, иначе можете нарушить работоспособность операционной системы или ее отдельных компонентов.
Какие службы можно отключить
Теперь о том, какие службы можно отключить, чтобы повысить скорость работы Windows.
- Удаленный реестр – служба, которая предоставляет возможность сторонним пользователям (не исключено, что и недоброжелателям) удаленно вносить изменения в реестр системы. Если служба отключена, то менять реестр смогут только локальные пользователи. В целях сохранения безопасности эту службу можно отключить.
- Автономные файлы – служба, позволяющая работать с сетевыми файлами при отключении сети. Можно отключить.
- Служба ввода планшетного ПК нужна для работы пера и похожих устройств ввода на планшетах. Можно отключить, если не используете.
- Служба регистрации ошибок Windows отвечает за ведение статистики разных ошибок системы. В случае отсутствия необходимости вести журнал для выявления причин возникновения тех или иных ошибок, службу можно выключить.
- Parental Control. Пришла из операционной системы Vista и необходима только для совместимости с ней. Можно отключить.
Домашние компьютеры, которые не входят в состав локальной сети, также не нуждаются в некоторых службах:
- Агент политики IPSec. В большинстве случаев не используется. Можно отключить
- KtmRm для координатора распределенных транзакций. В большинстве случаев не нужна. Можно отключить и установить тип запуска Вручную.
- Вспомогательная служба IP. Данная служба не используется на домашних компьютерах. Можно отключить и установить тип запуска Вручную.
- Вторичный вход в систему — нужна при запуске различных процессов от имени другого пользователя. Можно отключить и установить тип запуска Вручную.
- Факс. Служба нужна только при наличии такового.
- Защитник Windows. Если вы используете полноценный антивирус, то в службе нет необходимости.
- Политика удаления смарт-карт. Соответственно, если не используются смарт-карты, то в службе нет надобности.
- Служба инициатора Майкрософт iSCSI. Рекомендуется отключить и установить тип запуска Вручную.
- Обнаружение SSDP – служба для обнаружения сетевых устройств и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) Можно отключить и установить тип запуска Вручную.
- Адаптивная регулировка яркости. Если ваш компьютер не подключен к устройству обнаружения света, то в службе нет необходимости.
- Браузер компьютеров нужен только для обнаружения сторонних систем в локальной сети. Рекомендуется отключить.
- Сервер. Если вы не планируете открывать общий доступ к вашим данным и оборудованию, то службу можно отключить.
- Служба поддержки Bluetooth. Если нет устройства с данной функцией, то службу также можно выключить.
Еще раз напоминаю, что не следует отключать все службы бездумно. Внимательно относитесь к тому, что вы делаете. Не отключайте все сразу, делайте это последовательно и проверяйте не повлияло ли отключение на вашу обычную работу с компьютером.
Оцените статью. Вам не сложно, а автору приятно
Как повысить скорость компьютера отключив всего несколько служб?
Здравствуйте дорогие читатели, сегодня я хотел бы поговорить:
1. О службах Windows, что это, для чего нужны и какие за что отвечают.
2. И как же повысить быстродействия компьютера?
И так что это за службы Windows?
Службы — приложения, автоматически или вручную запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя различные задачи.
Открыть список служб можно несколькими способами:
1. Удерживая кнопку windows нажимаем R, откроется окно выполнить, там введите services.msc
2. Пуск > Панель управления > Администрирование > Службы
3. Пуск > правой кнопкой мыши по моему компьютеру > Управление > Службы и приложения > Службы
Как видите в Windows их достаточно много и скачав справочник служб, Вы можете ознакомиться какие службы существуют и за что каждая из них отвечает.
Так как службы это приложения, следовательно они работают и используют часть ресурсов компьютера. Отключив не нужные можно повысить его быстродействие. Посмотрим что можно отключить.
Какие службы можно отключить в Windows 7, 8
Я не стал составлять список тех служб которые можно отключить, т.к. многие службы индивидуальны. Я просто постарался описать каждую службу и в каких ситуациях их можно отключить. Если вам нужно что-нибудь отключить бездумно, то просто воспользуйтесь программой для автоматического отключения служб.
* BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.
* DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.
* DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).
* KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.
* Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.
* Parental Controls — Служба для родительского контроля. Если не используете, можно отключить.
* Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.
* Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.
* Remote Desktop Configuration — Для удаленного рабочего стола. Если не пользуетесь удаленными подключениями, отключаем.
* Superfetch — Полезная функция, работает с кэшем. Ускоряет работу Windows, так что оставляем.
* Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.
* Windows CardSpace — ненужная и небезопасная служба. По этому отключаем.
* Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.
* Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!
* WMI Performance Adapter — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)
* Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.
* Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.
* Агент защиты сетевого доступа — Ставим вручную, т.к. при необходимости служба запустится, если какая-то программа запросит необходимую информацию.
* Агент политики IPsec — Нужна при наличии сети и интернета.
* Адаптивная регулировка яркости — Оставляем если есть датчик освещения.
* Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.
* Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.
* Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)
* Браузер компьютера — В домашней сети не нужна. Вручную.
* Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.
* Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.
* Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.
* Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.
* Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…
* Дефрагментация диска — В принципе она не мешает. Можете оставить или отключить. Если отключите, то рекомендую делать раз в месяц. А для ssd дисков, вообще отключаем!
* Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.
* Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.
* Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.
* Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.
* Диспетчер удостоверения сетевых участников — Ставим лучше вручную.
* Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.
* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.
* Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.
* Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.
* Журналы и оповещения производительности — системная служба, оставляем как есть.
* Защита программного обеспечения — так же системная служба, оставляем как есть.
* Защитник Windows — Защита от шпионских и вредных программ. Установите нормальный антивирус, а эту службу отключите.
* Изоляция ключей CNG — Вручную.
* Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.
* Информация о совместимости приложений — Полезная штука, помогает запустится приложениям, которые отказываются работать на вашей ос. Ставим вручную.
* Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.
* Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.
* Координатор распределенных транзакций — Ставим вручную.
* Кэш шрифтов Windows Presentation Foundation — Ставим вручную. При необходимости её запустят приложения.
* Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.
* Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.
* Маршрутизация и удаленный доступ — Не нужна. Отключаем.
* Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.
* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.
* Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.
* Немедленные подключения Windows — регистратор настройки — Вручную.
* Обнаружение SSDP — Оставьте как есть. Необходима для новых устройств.
* Обнаружение интерактивных служб — Вручную.
* Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.
* Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.
* Основные службы доверенного платформенного модуля — Нужно только для использования чипов ТМР и/или BitLocker.
* Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.
* Перечислитель IP-шин PnP-X — Лучше поставить вручную.
* Питание — Не отключается. Оставляем.
* Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.
* Планировщик классов мультимедиа — Оставляем, для кого важен звук.
* Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.
* Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.
* Поставщик домашней группы — Для использования домашних групп. Лучше вручную.
* Проводная автонастройка — Вручную.
* Программный поставщик теневого копирования (Microsoft) — Вручную.
* Прослушиватель домашней группы — Вручную.
* Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.
* Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.
* Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.
* Распространение сертификата — Лучше вручную.
* Расширяемый протокол проверки подлинности (EAP) — Вручную.
* Сборщик событий Windows — Вручную.
* Сведения о приложении — Вручную.
* Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.
* Сервер упорядочения потоков — Отключаем если нет домашней группы.
* Сетевой вход в систему — Вручную.
* Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.
* Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.
* Системное приложение COM+ — Так же вручную.
* Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.
* Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.
* Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.
* Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.
* Служба ввода планшетного ПК — если экран не сенсорный, то не нужна.
* Служба времени Windows — нужна для синхронизации времени с интернетом.
* Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.
* Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.
* Служба интерфейса сохранения сети — Нужна для нормальной работы сети.
* Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.
* Служба медиаприставки Media Center — Если не используете никаких приставок, она не нужна.
* Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.
* Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.
* Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.
* Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.
* Служба планировщика Windows Media Center — Нужна если только смотрите передачи в Windows Media Player.
* Служба поддержки Bluetooth — Нужна если есть Bluetooth.
* Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.
* Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.
* Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.
* Служба публикации имен компьютеров PNRP — Нужна для домашних групп.
* Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.
* Служба ресивера Windows Media Center — для просмотра телерадио передач в плеере.
* Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.
* Служба списка сетей — Так же лучше оставить.
* Служба уведомления SPP — Для лицензирования. Оставьте вручную.
* Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.
* Служба удаленного управления Windows (WS-Management) — Поставьте вручную.
* Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.
* Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.
* Службы криптографии — Для установки новых программ, лучше оставьте как есть.
* Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.
* Смарт-карта — Если ими не пользуетесь, то она вам не нужна.
* Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.
* Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.
* Телефония — Оставьте вручную. Если понадобится, запустится.
* Темы — Едят много ресурсов памяти. Если не нужны, отключайте.
* Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.
* Тополог канального уровня — Тоже вручную. Если понадобится, запустится.
* Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.
* Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.
* Удостоверение приложения — Вручную.
* Узел системы диагностики — Диагностика проблем. Поставьте вручную.
* Узел службы диагностики — Так же вручную.
* Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.
* Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.
* Управление сертификатами и ключом работоспособности — Ставьте вручную, понадобится, запустится сама.
* Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.
* Установщик Windows — Установка программ .msi. Вручную.
* Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.
* Факс — Нужна если только есть факс.
* Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.
* Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.
* Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.
* Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.
* Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.
* Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.
Я постарался представить весь список служб. Отключив некоторые, вы повысите быстродействие компьютера. Можно так же по своему усмотрению решить какие нужны, а какие нет. Например если нет интернета, то тут половину смело рубить можно, если нет принтера, то тоже можно много выключить. Таким образом в зависимости от ваших потребностей, можно существенно взбодрить старый компьютер.
Службы Windows Vista. Описание и настройка. Отключаем неиспользуемые службы
Во время работы Windows Vista запускается и работает много служб. Но не все службы необходимы для нормальной работы компьютера. Ниже приводиться список служб, которые отключены или включены в моей конфигурации.
DHCP-клиент (DHCP Client)
Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера. Если эта служба остановлена, этот компьютер не сможет получать динамические IP-адреса и выполнять обновления DNS. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Имя службы в реестре: Dhcp
Выводимое имя: DHCP Client
При наличии сети тип запуска — Автоматически. Если сеть отсутствует — Вручную.
DNS-клиент (DNS Client)
Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано. Если служба отключена, все явно зависящие от нее службы запустить не удастся.
Имя службы в реестре: Dnscache
Выводимое имя: DNS Client
Тип запуска — Автоматически
KtmRm для координатора распределенных транзакций (KtmRm for Distributed Transaction Coordinator)
Координирует транзакции между MSDTC и диспетчером транзакций ядра (Kernel Transaction Manager — KTM).
Имя службы в реестре: KtmRM
Выводимое имя: KtmRm
Тип запуска — Автоматически
Microsoft .NET Framework NGEN v2.0.50727
Имя службы в реестре: clr_optimization_v2.0.50727_32 or clr_optimization_v2.0.50727_64
Выводимое имя: Microsoft .NET Framework NGEN v2.0.50727_X86 or Microsoft .NET Framework NGEN v2.0.50727_X64
Тип запуска — Вручную
Plug and Play
Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму. Остановка или отключение этой службы может привести к нестабильной работе системы
Имя службы в реестре: PlugPlay
Выводимое имя: Plug and Play
Тип запуска — Автоматически
Quality Windows Audio Video Experience
Quality Windows Audio Video Experience (qWave) — сетевая платформа для потоковой передачи аудио и видео в домашних сетях на основе IP-протокола. Платформа qWave обеспечивает более высокую производительность и надежность потоковой передачи аудио и видео, обеспечивая необходимое качество обслуживания сети для аудио- и видеоприложений. Платформа содержит механизмы управления доступом, отслеживания и принудительного выполнения, получения данных приложений и установки приоритета трафика
Имя службы в реестре: QWAVE
Выводимое имя: Quality Windows Audio Video Experience
Тип запуска — Вручную
ReadyBoost
Поддержка повышения производительности системы с помощью технологии ReadyBoost
Имя службы в реестре: EMDMgmt
Выводимое имя: ReadyBoost
Тип запуска — Автоматически
Superfetch
Поддерживает и улучшает производительность системы
Имя службы в реестре: SysMain
Выводимое имя: Superfetch
Тип запуска — Автоматически
Windows Audio
Управление средствами работы со звуком для программ Windows. Если эта служба остановлена, то аудиоустройства и эффекты не будут правильно работать. Если данная служба отключена, то будет невозможно запустить все явно зависящие от нее службы
Имя службы в реестре: AudioSrv
Выводимое имя: Windows Audio
Тип запуска — Автоматически
Windows Audio Endpoint Builder
Управление аудиоустройствами для службы Windows Audio. Если эта служба остановлена, то аудио устройства и эффекты не будут корректно функционировать. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся
Имя службы в реестре: AudioEndpointBuilder
Выводимое имя: Windows Audio Endpoint Builder
Тип запуска — Автоматически
Windows CardSpace
Эта служба обеспечивает надежную возможность создания, управления и раскрытия цифровых удостоверений
Имя службы в реестре: idsvc
Выводимое имя: Windows CardSpace
Тип запуска — Вручную
Windows Driver Foundation — User-mode Driver Framework
Управление хост-процессами драйверов пользовательского режима
Имя службы в реестре: wudfsvc
Выводимое имя: Windows Driver Foundation — User-mode Driver Framework
Тип запуска — Вручную
WMI Performance Adapter
Отвечает за предоставление информации библиотеки производительности от поставщиков инструментария управления Windows (WMI) клиентским компьютерам в сети. Эта служба работает только в том случае, если активирован компонент Performance Data Helper
Имя службы в реестре: wmiApSrv
Выводимое имя: WMI Performance Adapter
Тип запуска — Вручную
Автономные файлы (Offline Files)
Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, отвечает на события входа пользователя в систему и выхода его из системы, реализует свойства общих API и отсылает интересующимся работой автономных файлов и изменениями состояния кэша те события, которые им интересны.
Имя службы в реестре: CscService
Выводимое имя: Offline Files
Эту службу можно — Отключить
Агент защиты сетевого доступа (Network Access Protection Agent)
Включает функции защиты сетевого доступа (NAP) на клиентских компьютерах
Имя службы в реестре: napagent
Выводимое имя: Network Access Protection Agent
Тип запуска — Вручную
Агент политики IPsec (IPsec Policy Agent)
Безопасность протокола IP (IPsec) поддерживает проверку подлинности узлов на сетевом уровне, проверку подлинности источника данных, проверку целостности данных, их конфиденциальность (шифрование) и защиту повторения. Эта служба вводит в действие политики IPsec, созданные с помощью оснастки «Политики IP-безопасности» или средством командной строки «netsh ipsec». Остановка этой службы может привести к возникновению проблем с сетевыми подключениями, если политика требует, чтобы соединения использовали IPsec. Кроме того, если остановлена эта служба, то удаленное управление брандмауэром Windows недоступно
Имя службы в реестре: PolicyAgent
Выводимое имя: IPsec Policy Agent
При наличии сети тип запуска — Автоматически. Если сеть отсутствует — Вручную.
Архивация Windows (Windows Backup)
Поддержка архивации и восстановления в Windows
Имя службы в реестре: SDRSVC
Выводимое имя: Windows Backup
Тип запуска — Вручную
Брандмауэр Windows (Windows Firewall)
Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть
Имя службы в реестре: MpsSvc
Выводимое имя: Windows Firewall
Тип запуска — Автоматически. При использовании стороннего продукта для защиты компьютера, например Outpost firewall, Norton Personal Firewall, ZoneAlarm и т.п, то рекомендуется режим — Отключено
Веб-клиент (WebClient)
Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете. Если эта служба остановлена, эти функции не доступны. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены
Имя службы в реестре: WebClient
Выводимое имя: WebClient
Эту службу можно — Отключить
Виртуальный диск (Virtual Disk)
Управление дисками, томами, объектами файловой системы, объектами оборудования: такими, как подсистемы, контроллеры и т. п
Имя службы в реестре: vds
Выводимое имя: Virtual Disk
Тип запуска — Вручную
Вспомогательная служба IP (IP Helper)
Предоставляет автоматическое подключение IPv6 в сети IPv4. Если эта служба остановлена, компьютер будет использовать IPv6, только если он подключен к сети IPv6.
Имя службы в реестре: iphlpsvc
Выводимое имя: IP Helper
Тип запуска — Автоматически
Вторичный вход в систему (Secondary Logon)
Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее
Имя службы в реестре: seclogon
Выводимое имя: Secondary Logon
Тип запуска — Вручную
Группировка сетевых участников (Peer Networking Grouping)
Предоставляет групповые службы одноранговой сети
Имя службы в реестре: p2psvc
Выводимое имя: Peer Networking Grouping
Тип запуска — Вручную
Диспетчер автоматических подключений удаленного доступа (Remote Access Auto Connection Manager)
Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу
Имя службы в реестре: RasAuto
Выводимое имя: Remote Access Auto Connection Manager
Тип запуска — Вручную
Диспетчер печати (Print Spooler)
Загрузка файлов в память, чтобы напечатать позже
Имя службы в реестре: Spooler
Выводимое имя: Print Spooler
Если нет принтера — Отключено
Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся.
Имя службы в реестре: RasMan
Выводимое имя: Remote Access Connection Manager
Тип запуска — Вручную
Диспетчер сеансов диспетчера окон рабочего стола (Desktop Window Manager Session Manager)
Обеспечивает запуск и обслуживание диспетчера окон рабочего стола
Имя службы в реестре: UxSms
Выводимое имя: Desktop Window Manager Session Manager
Тип запуска — Автоматически
Диспетчер удостоверения сетевых участников (Peer Networking Identity Manager)
Предоставляет службу идентификации для одноранговой сети
Имя службы в реестре: p2pimsvc
Выводимое имя: Диспетчер удостоверения сетевых участников (Peer Networking Identity Manager
Тип запуска — Вручную
Диспетчер учетных записей безопасности (Security Accounts Manager)
Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей безопасности (SAM) готов к приему запросов. При отключении данной службы другие службы в системе не получат уведомления о готовности SAM, что в свою очередь может помешать корректному запуску этих служб. Не следует отключать эту службу.
Имя службы в реестре: SamSs
Выводимое имя: Security Accounts Manager
Тип запуска — Автоматически
Доступ к HID-устройствам (Human Interface Device Access)
Обеспечивает универсальный доступ к HID-устройствам (Human Interface Devices), который активизирует и поддерживает использование заранее определенных клавиш быстрого вызова на клавиатуре, устройствах управления или иных устройствах мультимедиа. Если эта служба остановлена, клавиши быстрого вызова, управляемые этой службой, не будут работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Имя службы в реестре: hidserv
Выводимое имя: Human Interface Device Access
Эту службу можно — Отключить
Продолжение…
Применение IPsec для защиты сети | Windows IT Pro/RE
Три методики повышения степени защиты узлов
Как правило, протокол IP Security (IPsec) используется при построении каналов VPN, однако с его помощью можно существенно повысить и уровень защищенности сети. Применение IPsec позволяет решить три типичные проблемы, а именно воспрепятствовать распространению «червей», защитить серверы сети и изолировать домен. Причем ни в одном из случаев не требуется использовать шифрование, существенно снижающее производительность систем. Рассмотрим каждое из этих решений.
IPSec против «червей»
Конечно, лучший способ борьбы с «червями» состоит в том, чтобы не допускать их появления. Но, увы, не все осознают потенциальные угрозы, с которыми связаны использование электронной почты и навигация в Web. На данный момент, к сожалению, надо признать, что от «червей» и других видов вредоносных программ сегодня никуда не деться. Как же можно в данной ситуации снизить риск поражения системы вредоносным кодом? Путей борьбы с подобными программами три: предотвратить возможность установки, не допустить запуска и исключить для таких программ возможность установки каких-либо сетевых соединений.
В ряде случаев единственная возможность одолеть вредоносные программы состоит в том, чтобы исключить для них возможность установки соединений. Используя политики IPsec, можно ограничить для компьютера типы передаваемого и принимаемого трафика. В качестве эффективных базовых фильтров пакетов на отдельных компьютерах можно использовать правила с описаниями фильтров, которые будут просто блокировать или пропускать тот или иной трафик (без применения каких либо функций безопасности IPsec security associations, таких как аутентификация или шифрование трафика). Эти правила могут быть переданы на компьютеры с помощью механизмов групповых политик, что, в свою очередь, поможет воспрепятствовать распространению вредоносного трафика по сети.
Выбор тех или иных политик IPsec определяется типом используемой операционной системы. В Windows 2003 Server и Windows XP имеется встроенный межсетевой экран Windows Firewall, который обеспечивает более эффективную блокировку входящего трафика, чем применение IPsec. Соответственно, если используются эти системы и Windows Firewall, то политики IPsec следует применять только для блокировки исходящего трафика. В операционной системе Windows 2000 межсетевой экран отсутствует, поэтому для компьютеров, работающих под управлением этой системы, можно блокировать входящий и исходящий трафик с помощью политик IPsec.
Рассмотрим в качестве примера «червя» Slammer. Путем распространения по сети сообщений через порт UDP номер 1434 этот вирус обнаруживает в сети компьютеры с запущенными на них Microsoft SQL Server или Microsoft SQL Server Desktop Engine (MSDE). Компания Microsoft выпустила соответствующее исправление, но, чтобы установить его на все компьютеры, потребуется некоторое время. Существует превосходное решение, позволяющее сократить время, необходимое для принятия первоочередных мер защиты. Оно заключается в том, чтобы с помощью групповых политик распространить на компьютеры политики IPsec, которые обеспечат блокировку входящего трафика через уязвимый порт. Безусловно, это блокирует и входящий трафик систем с SQL Server, поэтому после установки исправлений на уязвимые системы данную политику для них следует отменить.
Для того чтобы предотвратить заражение компьютера «червем» Slammer, нужно назначить политику, блокирующую весь трафик, поступающий на IP-адрес данного компьютера через UDP-порт назначения 1434. Соответствующая политика выглядит следующим образом.
- В списке фильтров должен быть задан фильтр: от любой адрес:любой порт на адрес компьютера:порт 1434/udp.
- Действие фильтра: блокировка.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — любой (в данном случае не имеет значения, какой метод используется для аутентификации, поскольку в этом блокирующем фильтре функции безопасности для IPsec не заданы).
Для того чтобы создать политику, сначала следует запустить консоль управления IPsec на том компьютере, который нужно защитить. Для Windows 2003, Windows XP и Windows 2000 процедура одинакова.
- Дважды щелкните мышью на значке «Локальная политика безопасности» (Local Security Policy) в папке «Администрирование» (Administrative Tools).
- Выберите раздел «Политики безопасности IP на локальном компьютере» (IP Security Policies on Local Computer).
Создайте список фильтров:
- Щелкните правой кнопкой мыши в правой половине окна «Локальные настройки безопасности» (Local Security Settings) и выберите в контекстном меню пункт «Управление списками IP-фильтра и действиями фильтра» (Manage IP filter lists and filter actions).
- На закладке «Управление списками фильтров IP» (Manage IP Filter Lists) нажмите кнопку «Добавить» (Add).
- Введите в поле имени название списка: Slammer filter list.
- В появившемся стартовом окне мастера фильтров IP нажмите кнопку «Добавить», а затем кнопку «Далее» (Next).
- В качестве источника выберите «Любой IP-адрес» (Any IP Address).
- В качестве назначения выберите «Мой IP-адрес» (My IP Address).
- В качестве протокола выберите UDP.
- Выберите пункт «Пакеты на этот порт» (To this port) и введите в поле значение 1434.
- Для завершения работы мастера нажмите кнопку «Готово» (Finish).
- Щелкните OK.
Теперь необходимо создать действие фильтра (если в системе уже создано действие с названием «Блокировка» (Block), этот пункт следует пропустить):
- В диалоговом окне «Управление списками IP-фильтра и действиями фильтра» (Manage IP filter lists and filter actions) перейдите на закладку «Управление действиями фильтра» (Manage Filter Actions) и нажмите кнопку «Добавить». В появившемся стартовом окне мастера настройки действий фильтров IPsec нажмите кнопку «Далее».
- В поле имени введите Block.
- В окне настройки общих параметров действия фильтра выберите «Блокировать» (Block).
- Для завершения работы мастера нажмите кнопку «Готово»
- Для того чтобы завершить процедуру настройки списка и действий фильтров, нажмите кнопку «Закрыть» (Close).
Затем нужно создать политику IPsec:
- Щелкните правой кнопкой мыши в правой половине окна «Локальные настройки безопасности», выберите из контекстного меню пункт «Создать политику безопасности IP» (Create IP Security Policy) и в появившемся окне мастера политики IP-безопасности нажмите кнопку «Далее».
- Введите в поле имени Slammer filter.
- Снимите галочку с пункта «Использовать правило по умолчанию» (Activate the default response rule) и нажмите «Далее».
- Оставьте пункт «Изменить свойства» (Edit properties) выбранным и нажмите кнопку «Готово» для завершения работы мастера.
Теперь нужно добавить к созданной политике правило:
- В появившемся диалоговом окне свойств политики нажмите кнопку «Добавить», затем кнопку «Далее».
- В трех следующих окнах оставьте все настройки без изменений.
- Из перечня списков фильтров выберите список Slammer filter.
- Из списка действий фильтров выберите Block.
- Для завершения работы мастера нажмите кнопку «Готово», после чего закройте диалоговое окно свойств правила, нажав OK.
- Закройте диалоговое окно свойств политики с помощью кнопки «Закрыть».
И наконец, необходимо назначить выбранную политику: щелкнуть правой кнопкой на значке политики Slammer filter и выбрать пункт «Назначить» (Assign).
Создание политики IPsec с помощью сценария
Политики IPSec можно создавать и с помощью командной строки, что очень удобно, поскольку описанные процедуры могут выполняться из соответствующего сценария. В Windows 2000 для этого используется утилита ipsecpol.exe из пакета Microsoft Windows 2000 Resource Kit; в Windows XP применяется утилита ipseccmd.exe из пакета Windows Support Tools for Microsoft Windows XP; что же касается систем семейства Windows 2003, то необходимый программный инструмент, а именно утилита Netsh Ipsec, входит в состав этих операционных систем. Для того чтобы применить политику Slammer filter на системе с Windows XP, можно воспользоваться следующей командой:
ipseccmd -w REG -p «Block UDP 1434 Filter»
-r «Block Inbound UDP 1434 Rule»
-f *=0:1434:UDP -n BLOCK -x
Важно строго следовать приведенному синтаксису написания букв, поскольку утилиты ipsecpol.exe и ipseccmd.exe чувствительны к регистру. Также следует помнить, что рассматриваемая командная строка представляет собой одну команду, поэтому вводиться она должна одной строкой.
С помощью показанной выше команды создается и назначается статическая политика под названием Block UDP 1434 Filter, имеющая единственное правило с названием Block Inbound UDP 1434 Rule, в котором содержится созданный нами список фильтров со ссылкой на действие фильтра Block. Статические политики записываются в реестр и сохраняются после перезагрузки системы. Нужно иметь в виду, что политика не будет применена до следующего запуска или перезапуска агента политики IPsec, поэтому если необходимо, чтобы она сразу же вступила в действие, в сценарий следует включить процедуру остановки и повторного запуска службы policyagent. Если же политика была создана через графический интерфейс, то она вступает в силу немедленно.
В том случае когда компьютер уже заражен вирусом Slammer, можно с помощью другого правила IPsec лишить его возможности заражать остальные компьютеры в сети, блокируя исходящие с этого компьютера соединения через порт UDP 1434. Соответствующая политика выглядит следующим образом.
- Список с одним фильтром: от адрес компьютера:любой порт на любой адрес:порт 1434/udp.
- Действие фильтра: блокировка.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — любой.
Прошу обратить внимание на одно отличие: в рассмотренном ранее правиле (для входящего трафика) проверялся трафик от любого адреса:любого порта на адрес компьютера:порт 1434/udp, здесь же создается правило для фильтрации исходящего трафика, то есть от адреса компьютера: через любой порт на любой адрес:порт 1434/udp. С помощью данного правила будет блокирован любой исходящий трафик через порты UDP 1434 остальных компьютеров сети. Для того чтобы создать такое правило в сценарии и добавить его в ту же политику, в которую было добавлено предыдущее правило, используется следующая команда:
ipseccmd -w REG -p «Block UDP 1434 Filter»
-r «Block Outbound UDP 1434 Rule»
-f 0=*:1434:UDP -n BLOCK
В рассмотренной ранее команде применялся ключ -x, означающий создание новой политики. Во втором примере этот ключ пропущен, поскольку здесь мы добавляем к существующей политике новое правило. Также обратите внимание, что в той части рассматриваемой команды, которая касается списка фильтров, символы «0» и «*» поменялись местами. Это связано с тем, что направление действия фильтра изменилось.
С помощью утилит командной строки можно применять и динамические политики, которые действуют только до тех пор, пока система включена (при перезапуске службы policyagent или перезагрузке компьютера они теряются). Динамические политики могут пригодиться в тех случаях, когда заранее известно, что они будут применяться непродолжительное время, а для отмены их действия планируется использовать перезагрузку. Динамическая политика, выполняющая те же функции, что и только что рассмотренная статическая, может быть создана с помощью двух приведенных ниже команд:
ipseccmd -f[*=0:1434:UDP]
ipseccmd -f[0=*:1434:UDP]
Описание фильтра заключено в квадратные скобки — это говорит о том, что отфильтрованный трафик будет блокироваться.
До сих пор мы рассматривали примеры использования IPsec для блокирования трафика в обоих направлениях относительно известных нам уязвимых портов. При создании политик IPsec можно устанавливать более жесткие ограничения, блокируя весь трафик в обоих направлениях и создавая правила, разрешающие только определенный трафик по некоторым портам. Нужно продумать, какой именно тип трафика следует разрешить, тщательно спланировать необходимые мероприятия, провести расширенное тестирование вносимых изменений и лишь после этого внедрять их в действующую инфраструктуру.
IPsec на защите серверов
Одним из характерных примеров применения политик типа «запретить все, кроме» является защита серверов. Действительно, зачем, например, Web-серверу принимать через свой интерфейс, подключенный к Internet, что-то еще, кроме трафика Web? С помощью политики IPsec можно построить элементарный фильтр пакетов, который будет отбрасывать все поступающие данные, за исключением тех, которые необходимы для полноценного выполнения функций сервера. В рассматриваемом примере с Web-сервером может быть блокирован весь трафик, за исключением соединений через порт 80 протокола TCP (а также через порт TCP 443 в тех случаях, когда необходимо просматривать страницы с помощью протокола, защищенного HTTP (HTTPS)).
Политика защиты серверов также может использоваться для экономии времени при тестировании и распространении исправлений. Когда в операционной системе обнаруживается очередное слабое место, можно применить политику, запрещающую доступ к уязвимой службе, что позволит выиграть дополнительное время для тестирования выпущенных исправлений.
Рассмотрим пример построения политики для Web-сервера. Эта политика содержит два правила.
Правило 1
- Один фильтр в списке: от любой адрес:любой порт на адрес компьютера:любой порт.
- Действие фильтра: блокировать.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — любой.
Правило 2
- Два фильтра в списке: : на : и : на :.
- Действие фильтра: разрешить.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — любой.
Чтобы создать данную политику через сценарий, используется такая последовательность команд:
ipseccmd -w REG
-p «Web traffic packet filter»
-r «Block everything»
-f *+0 -n BLOCK -x
ipseccmd -w REG
-p «Web traffic packet filter»
-r «Permit web traffic»
-f *+0:80:TCP -f *+0:443:TCP
-n PASS
Экран 1. Список фильтров пакетов для Web-трафика |
Обратите внимание на то, что в данных примерах между описаниями комбинаций «IP адрес:порт:протокол» источника и получателя вместо знака равенства (=) используется знак плюс (+). Это указывает агенту политики на то, что создаются «зеркальные» правила, разрешающие Web-серверу трафик данного типа. В противном случае нужно было бы построить два отдельных правила, разрешающие исходящий трафик от Web-сервера через порты TCP 80 и 443. Если эти правила создаются через графический интерфейс, то они автоматически будут считаться зеркальными. На экране 1 показано, как выглядит список фильтров для Web-сервера в графическом интерфейсе. На экране 2 представлена политика фильтрации пакетов Web, содержащая два правила, одно из которых блокирует весь трафик, а другое разрешает трафик Web.
Экран 2. Политика фильтра пакетов для Web-трафика |
Можно ли выполнить эту задачу с помощью встроенного в систему межсетевого экрана? Безусловно, можно, и для системы Windows Server 2003 я бы выбрал именно такое решение. Но если мы имеем дело с Windows 2000 Server, то использование механизмов фильтрации пакетов с помощью IPsec помогает весьма эффективно сузить зону, которая является потенциально опасной для различных видов атак. Сначала проводится анализ тех функций, которые выполняет каждый из серверов предприятия. После этого, с учетом выполняемых серверами функций, для них разрабатываются политики IPsec. Затем, если сгруппировать учетные записи серверов в организационные подразделения (OU) в соответствии с решаемыми задачами, то распространение на них созданных политик может быть реализовано через механизмы групповой политики. С помощью этой простой методики ограничения поступающего на сервер трафика можно значительно повысить степень защищенности информационной инфраструктуры предприятия.
Изолирование доменов
Обычно администратор располагает данными о том, какие пользователи могут быть аутентифицированы контроллером домена (DC) при попытках обращения к сетевым ресурсам. А что при этом известно об их компьютерах? Разумеется, некоторые из них, как правило, тоже являются членами этого же домена, однако в среде Windows членство компьютера в домене, к ресурсам которого он пытается обратиться, не является обязательным требованием. Если при обращении к сетевым ресурсам пользователь указывает корректные параметры учетной записи, он может получать права доступа к любому компьютеру в сети. Имеющийся в системе Windows XP менеджер учетных записей позволяет клиенту, который не является членом домена, еще более упростить процедуру получения доступа к сетевым ресурсам.
Применение концепции изолирования доменов может существенно затруднить «компьютерам-злоумышленникам» процедуру получения доступа к ресурсам домена и разрешить взаимодействие в пределах домена только авторизованным в нем компьютерам. Компьютерам, которые являются членами домена, можно доверять в большей степени, поскольку при всех взаимодействиях между ними используются те механизмы безопасности, которыми администратор домена может централизованно управлять. К таким механизмам относятся групповые политики, шаблоны безопасности, настройка ограничений для программного обеспечения, политики IPsec и Microsoft Systems Management Server (SMS). Если конфигурация компьютеров находится под контролем, значит, они могут делать только то, что им разрешено. Соответственно, такие компьютеры представляют гораздо меньшую опасность для информационной среды компании, чем неподконтрольные компьютеры злоумышленников, о конфигурации, а зачастую и о существовании которых администратор не имеет ни малейшего представления. Так что уже сама собой напрашивается мысль о необходимости срочного изолирования домена.
Изолирование домена осуществить гораздо проще, чем кажется. Для начала добавим к используемому по умолчанию доменному объекту групповой политики (GPO) следующую политику IPsec.
- Список фильтров: использовать существующий список фильтров «Весь трафик IP» (All IP Traffic).
- Действие фильтра: только Encapsulating Security Payload (ESP), нулевое шифрование (null encryption), проверка целостности SHA-1 (SHA-1 integrity), обязательная защита (require security), запрет взаимодействия между компьютерами без использования протокола IPsec.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — Kerberos, нет отклика по умолчанию.
В данном случае следует использовать ESP-null, поскольку нас интересует только аутентификация каждого пакета, а не шифрование передаваемых данных. Понятие конфиденциальности не ограничивается только аутентификацией и целостностью данных, что обеспечивается хешем SHA-1. Вместо ESP-null можно задействовать заголовок аутентификации IPsec (IPsec Authentication Header (AH)), но при этом данная политика не будет работать с теми системами, которые осуществляют сетевое взаимодействие через устройства, выполняющие функцию трансляции сетевых адресов (NAT).
Теперь нужно создать политику, «открывающую» контроллеры домена, поскольку клиентам необходимо взаимодействовать с ними при аутентификации и получении билета Kerberos, который они будут использовать во всех последующих коммуникациях:
- Список фильтров: фильтры, содержащие адреса или диапазон адресов контроллеров домена.
- Действие фильтра: разрешить.
- Правило: связать список с действием; для всех сетевых интерфейсов; без туннеля; метод аутентификации — любой.
Аналогичные политики потребуются и для тех устройств, которые не могут взаимодействовать через IPsec, таких как сетевые принтеры.
После того как политики будут протестированы и применены, системы, не входящие в состав домена, потеряют возможность взаимодействовать с компьютерами домена, поскольку члены домена требуют использования IPsec для установления соединений с ними, а клиент не сможет получить нужную политику до тех пор, пока не будет включен в соответствующий домен. Если попытаться применить аналогичную политику на компьютере вне домена, это тоже ни к чему не приведет, поскольку для функционирования политики IPsec необходимо использовать аутентификацию через Kerberos, что возможно только в том случае, если компьютер включен в домен. А поскольку данная политика распространяется на все компьютеры домена, они могут взаимодействовать между собой без проблем.
В результате логические рамки сети несколько сужаются, хотя при этом становится затруднительно определить внешнюю границу сети традиционным способом. В данном случае вместо классической сети, напоминающей яйцо с жесткой скорлупой-периметром и мягкой сердцевиной, мы получили структуру, подобную луковице с несколькими вложенными слоями. Таким образом, мы перешли в среду, в которой каждый компьютер каждого слоя будет защищен. IPsec — это надежная технология, которая поможет возвести оборонительные сооружения вокруг каждого из хостов корпоративной сети.
Старший менеджер подразделения Security Business and Technology Unit в Microsoft. [email protected]
Поделитесь материалом с коллегами и друзьями
Агент политики ipsec что это за служба
Предупреждение: данный процесс подразумевает некоторую степень риска, а потому желательно иметь хотя бы общее представление о том, что мы собираемся сделать. Если надо вернуть все службы в состояние по умолчанию, то загрузить готовые рег-файлы можно здесь . Выбираете свою систему и загружаете архив. После закачки архив распаковываете и запускаете рег-файл.
Полное описание служб, а также название и отображаемое имя можно посмотреть и изменить состояние по этому пути: Пуск — Панель управления — Администрирование — Службы.
Но не все службы необходимы для нормальной работы компьютера. Ниже приводиться список служб, которые отключены или включены в моей конфигурации. Пользователь один (с правами администратора), к сети не подключен. Для выхода в Интернет я использую сотовый телефон в качестве модемного соединения.
AST Service (Nalpeiron Licensing Service) — Отключена.
BranchCache (Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной подсети) — Вручную.
DHCP-клиент (Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера) — Авто
DNS-клиент (Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера.) — Отключено. При наличии сети — Авто
KtmRm для координатора распределенных транзакций (Координирует транзакции между MS DTC и диспетчером транзакций ядра (KTM).) — Вручную.
Microsoft .NET Framework NGEN v2.0.50727_X86 (Microsoft .NET Framework NGEN) — Вручную.
Parental Controls (Эта служба является заглушкой для функциональных возможностей службы родительского контроля Windows, которая существовала в ОС Vista.) — Вручную.
Plug-and-Play (Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму) — Авто
Quality Windows Audio Video Experience (Quality Windows Audio Video Experience (qWave) — сетевая платформа для потоковой передачи аудио и видео в домашних сетях на основе IP-протокола) — Вручную.
Remote Desktop Configuration (Remote Desktop Configuration) — Вручную.
Superfetch (Поддерживает и улучшает производительность системы.) — Авто
Windows Audio (Управление средствами работы со звуком для программ Windows.) — Авто.
Windows CardSpace (Это обеспечивает надежную возможность создания, управления и раскрытия цифровых удостоверений.) — Вручную
Windows Driver Foundation — User-mode Driver Framework (Управление хост-процессами драйверов пользовательского режима.) — Вручную.
Windows Search (Индексирование контента, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента.) — Авто. Если не пользуетесь поиском на компьютере, то можно и Отключить.
WMI Performance Adapter (Provides performance library information from Windows Management Instrumentation (WMI) providers to clients on the network.) — Вручную.
Автонастройка WWAN (Эта служба управляет мобильными широкополосными (GSM и CDMA) карточками данных и встроенными модульными адаптерами, а также подключениями и автоматической настройкой сетей.) — Вручную.
Автономные файлы (Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, ) — Вручную.
Агент защиты сетевого доступа (Агент службы защиты доступа к сети собирает и управляет сведениями о работоспособности клиентских компьютеров в сети) — Вручную.
Агент политики IPsec (Безопасность протокола IP (IPsec) поддерживает проверку подлинности кэширующих узлов на сетевом уровне) — Вручную.
Адаптивная регулировка яркости (Предназначена для наблюдения за датчиком внешнего освещения и корректировки яркости монитора в соответствии с изменениями освещенности.) — Вручную.
Архивация Windows (Поддержка архивации и восстановления в Windows.) — Вручную.
Биометрическая служба Windows (Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию) — Вручную.
Брандмауэр Windows (Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть.) — Отключено. Используется Брандмауэр от стороннего производителя.
Веб-клиент (Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете) — Вручную.
Виртуальный диск (Предоставление служб управления дисками, томами, файловыми системами и массивами запоминающих устройств.) — Вручную.
Вспомогательная служба IP (Provides tunnel connectivity using IPv6 transition technologies) — Вручную.
Вторичный вход в систему (Позволяет запускать процессы от имени другого пользователя) — Вручную.
Группировка сетевых участников (Включает многосторонние взаимодействия с помощью группировки одноранговой сети.) — Вручную.
Дефрагментация диска (Предоставляет возможность дефрагментации дисков.) — Вручную. Можно оставить и Авто, задав расписание для запуска.
Диспетчер автоматических подключений удаленного доступа (Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.) — Вручную.
Диспетчер печати (Загрузка файлов в память, чтобы напечатать позже) — Авто. Если нет принтера, то Отключено.
Диспетчер подключений удаленного доступа (Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям.) — Вручную.
Диспетчер сеансов диспетчера окон рабочего стола (Обеспечивает запуск и обслуживание диспетчера окон рабочего стола) — Авто.
Диспетчер удостоверения сетевых участников (Предоставляет службы идентификации для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети) — Вручную.
Диспетчер учетных данных (Обеспечивает защищенное хранение и извлечение учетных данных пользователей,) — Вручную.
Диспетчер учетных записей безопасности (Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей безопасности (SAM) готов к приему запросов.) — Авто.
Доступ к HID-устройствам (Обеспечивает универсальный доступ к HID-устройствам ) — Вручную.
Журнал событий Windows (Эта служба управляет событиями и журналами событий) — Авто.
Журналы и оповещения производительности (Служба журналов производительности и оповещений собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение.) — Вручную.
Защита программного обеспечения (Разрешает загрузку, установку и принудительное применение цифровых лицензий для Windows и приложений Windows) — Авто.
Защитник Windows (Защита от шпионских и потенциально опасных программ) — Авто. Но все же рекомендуется использовать продукты от сторонних производителей для защиты своего компьютера от вирусов.
Изоляция ключей CNG (Служба изоляции ключей CNG размещается в процессе LSA) — Вручную.
Инструментарий управления Windows (Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами.) — Авто.
Информация о совместимости приложений (Обработка запросов на проверку совместимости для приложений по мере их запуска) — Вручную.
Клиент групповой политики (Данная служба ответственна за применение параметров, определенных администраторами для компьютеров и пользователей через компонент групповой политики.) — Авто.
Клиент отслеживания изменившихся связей (Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в сети.) — Авто.
Координатор распределенных транзакций (Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы.) — Вручную.
Кэш шрифтов Windows Presentation Foundation (Оптимизирует производительность приложений Windows Presentation Foundation (WPF) путем кэширования обычно используемых данных шрифтов.) — Вручную.
Ловушка SNMP (Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенными на этом компьютере.) — Вручную.
Локатор удаленного вызова процедур (RPC) (В Windows 2003 и более ранних версиях Windows служба «Локатор удаленного вызова процедур (RPC)» управляла базой данных службы имен RPC.) — Вручную.
Маршрутизация и удаленный доступ (Предлагает услуги маршрутизации организациям в локальной и глобальной сетя) — Отключена.
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности (Служба IKEEXT содержит модули для работы с ключами в Интернете (IKE) и по протоколу IP с проверкой подлинности (AuthIP).) — Авто.
Модуль запуска процессов DCOM-сервера (Служба DCOMLAUNCH запускает серверы COM и DCOM в ответ на запросы активации объектов) — Авто.
Модуль поддержки NetBIOS через TCP/IP (Осуществляет поддержку NetBIOS через службу TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети) — Вручную.
Немедленные подключения Windows — регистратор настройки (Служба WCNCSVC содержит конфигурацию Windows Connect Now (реализация протокола WPS от Майкрософт)) — Вручную
Обнаружение SSDP (Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) — Вручную.
Обнаружение интерактивных служб (Включает уведомление пользователя о необходимости пользовательского ввода для интерактивных служб, которое предоставляет доступ к диалоговым окнам, созданным интерактивными службами, по мере их появления.) — Вручную
Обозреватель компьютеров (Обслуживает список компьютеров в сети и выдает его программам по запросу) — Вручную.
Общий доступ к подключению к Интернету (ICS) (Предоставляет службы трансляции сетевых адресов, адресации, разрешения имен и службы предотвращения вторжения для домашней сети или сети небольшого офиса.) — Отключена.
Определение оборудования оболочки (Предоставляет уведомления для событий автозапуска на различных устройствах.) — Авто.
Основные службы доверенного платформенного модуля (Разрешает доступ к доверенному платформенному модулю (TPM), который предоставляет услуги криптографии на основе оборудования компонентам системы и приложениям.) — Вручную
Протокол IPSec состоит из трех основных компонентов: службы агента политики IPSec, обмена ключами в Интернете, а также драйвера IPSec. Данные компоненты подробно расписаны в следующих подразделах.
Агент политики IPSec
Данный компонент предназначен для загрузки сведений политик IPSec, их передачи в другие компоненты IPSec, а также для обеспечения работы служб безопасности которых необходимы данные сведения. По сути, агент политики IPSec представляет собой службу, которая расположена на каждом компьютере с операционной системой Windows и в соответствующей оснастке, отображается в списке служб как «Служба IPSec», и выполняет следующие действия:
Загружает назначенную политику IPSec из Active Directory в том случае, если данный компьютер является членом домена или, в том случае, если компьютер не является членом домена — из локального системного реестра;
Опрашивает о наличии изменений в конфигурации самой политики;
Отправляет сведения назначенной политики IPSec в драйвер IPSec.
Стоит обратить внимание, что если компьютер является членом домена, то загрузка политики IPSec выполняется непосредственно при загрузке операционной системы через интерфейс опроса Winlogon, а также через интервал, который задается в политике IPSec.
Служба политики IPSec показана на следующей иллюстрации.
сервер пароль интернет безопасность
Рис. 3. Принцип работы агента политики IPSec
Во всех операционных системах имеется множество разнообразных служб. Это могут быть службы самой ОС или службы сторонних программ. Некоторые службы необходимы для нормального функционирования системы, другие – не обязательны или вовсе не требуются рядовому пользователю. Но все они влияют на скорость работы Windows. Рассмотрим, как можно ускорить работу Windows, отключив службы, и какие из служб можно отключить.
Инструкция подойдет для ОС Windows 7, Windows 8, Windows 10.
Как открыть службы Window
В Windows 7: открываем меню Пуск , в строке поиска вводим Службы и запускаем найденное приложение.
В Windows 10: открываем поиск рядом с меню Пуск , в поле ввода пишем Службы и запускаем найденное классическое приложение Службы .
Отключение служб Windows
Чтобы отключить службу Windows в списке служб находим нужную службу и кликаем на нее два раза левой кнопкой мыши.
Далее в окне службы нажимаем Остановить , указываем тип запуска Отключена (иногда можно выставить значение Вручную ). Затем обязательно нажимаем Применить и ОК .
Внимание! К отключению служб нужно относиться с большой осторожностью! Не отключайте службу, если не знаете ее назначения, иначе можете нарушить работоспособность операционной системы или ее отдельных компонентов.
Какие службы можно отключить
Теперь о том, какие службы можно отключить, чтобы повысить скорость работы Windows.
- Удаленный реестр – служба, которая предоставляет возможность сторонним пользователям (не исключено, что и недоброжелателям) удаленно вносить изменения в реестр системы. Если служба отключена, то менять реестр смогут только локальные пользователи. В целях сохранения безопасности эту службу можно отключить.
- Автономные файлы – служба, позволяющая работать с сетевыми файлами при отключении сети. Можно отключить.
- Служба ввода планшетного ПК нужна для работы пера и похожих устройств ввода на планшетах. Можно отключить, если не используете.
- Служба регистрации ошибок Windows отвечает за ведение статистики разных ошибок системы. В случае отсутствия необходимости вести журнал для выявления причин возникновения тех или иных ошибок, службу можно выключить.
- Parental Control. Пришла из операционной системы Vista и необходима только для совместимости с ней. Можно отключить.
Домашние компьютеры, которые не входят в состав локальной сети, также не нуждаются в некоторых службах:
- Агент политики IPSec. В большинстве случаев не используется. Можно отключить
- KtmRm для координатора распределенных транзакций. В большинстве случаев не нужна. Можно отключить и установить тип запуска Вручную.
- Вспомогательная служба IP. Данная служба не используется на домашних компьютерах. Можно отключить и установить тип запуска Вручную.
- Вторичный вход в систему — нужна при запуске различных процессов от имени другого пользователя. Можно отключить и установить тип запуска Вручную.
- Факс. Служба нужна только при наличии такового.
- Защитник Windows. Если вы используете полноценный антивирус, то в службе нет необходимости.
- Политика удаления смарт-карт. Соответственно, если не используются смарт-карты, то в службе нет надобности.
- Служба инициатора Майкрософт iSCSI. Рекомендуется отключить и установить тип запуска Вручную.
- Обнаружение SSDP – служба для обнаружения сетевых устройств и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) Можно отключить и установить тип запуска Вручную.
- Адаптивная регулировка яркости. Если ваш компьютер не подключен к устройству обнаружения света, то в службе нет необходимости.
- Браузер компьютеров нужен только для обнаружения сторонних систем в локальной сети. Рекомендуется отключить.
- Сервер. Если вы не планируете открывать общий доступ к вашим данным и оборудованию, то службу можно отключить.
- Служба поддержки Bluetooth. Если нет устройства с данной функцией, то службу также можно выключить.
Еще раз напоминаю, что не следует отключать все службы бездумно. Внимательно относитесь к тому, что вы делаете. Не отключайте все сразу, делайте это последовательно и проверяйте не повлияло ли отключение на вашу обычную работу с компьютером.
Оцените статью. Вам не сложно, а автору приятно
Отключение Всех ненужных служб в Windows 10 для улучшения производительности
Всем привет! И Хома на связи! Отключение ненужных служб в Windows 10 – один из этапов ускорения запуска и работы операционной системы. Службы или сервисы – это фоновое процессы, обеспечивающие работу тех или иных компонентов Windows и сторонних приложений.
Большинство из них не нужны рядовому пользователю, и часть таких служб Microsoft отключила по умолчанию. Другие запускаются при необходимости, третьи – стартуют вместе с Windows 10, и отрицательно влияют на производительность слабых компьютеров и ноутбуков.
Также сервисы имеют уязвимости, которыми могут воспользоваться злоумышленники или вредоносные программы. Рассмотрим – какие службы можно отключить в Windows 10 без ущерба для работы ОС.
Где увидеть перечень сервисов
Перечень установленных на компьютере сервисов находится в оснастке системной консоли MMC с одноименным названием: «Службы». Запускается несколькими способами.
- Зажмите клавиши «Win + R», введите и выполните команду: «services.msc». Ее понимает командная, поисковая строка, «PowerShell» и даже адресная строка» Проводника».
- Вызовите меню «Win» соответствующей комбинацией клавиш, или через контекстное меню «Пуска». В разделе «Службы и приложения» посетите соответствующий подраздел.
- Через «Панель управления» запустите одноименный инструмент в разделе «Администрирование». Или через «Средства администрирования» в «Пуске».
- Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc» и посетите последнюю вкладку. Перечень работающих сервисов находится в ней. Для управления службами кликните по кнопке внизу «Открыть…».
Существует множество сторонних утилит, предоставляющих средства для управления сервисами Windows, в основном, более продвинутые, чем в самой ОС. Например, разработанная «Sysinternals» и впоследствии выкупленная «Microsoft» утилита «Autoruns».
Сервис останавливается через контекстное меню или свойства, из автозапуска удаляется только через «Свойства».
- Откройте их через правый клик по объекту или двойным щелчком.
- «Тип запуска» выберите «Отключена» и сохраните настройки.
ВНИМАНИЕ! Изменения вступают в силу после перезагрузки компьютера.
Ненужные компоненты
Далее приведены рекомендации с кратким описанием каждой службы, без которой Windows будет работать исправно, но некоторые функции могут исчезнуть или не функционировать при других обстоятельствах. Отключать ненужные службы в Windows 10 следует только, если уверены, что они не нужны. В ином случае лучше выставить «Ручной» тип запуска.
Список модулей «Десятки», которые можно отключить для оптимизации ее работы:
- «Агент политики IPSec» – проверяет, подлинное ли безопасное соединение при работе в интернете через «Internet Explorer». Оставляйте, только если пользуетесь худшим браузером за всю историю Windows.
- «Узел службы диагностики» и «Узел системы диагностики» – используется для запуска средств диагностики.
- «Центр обеспечения безопасности» – следит за каждым действием пользователя и протоколирует их, сообщит об отсутствии на ПК: брандмауэра, антивируса, антишпиона.
- «Темы» – на старых ПК и пользователям, которые не украшают интерфейс при помощи тем. Не нужна!
- «Центр обновления Windows» и «Оптимизация доставки» – частично избавит от напоминаний установить апдейты. После переустановки и обновления системы можно деактивировать.
- «Служба сенсорной клавиатуры» – нужна только для соответствующих устройств ввода, если такими кто-то пользуется.
- «Служба регистрации ошибок» – протоколирует все ошибки в работе ПО и Windows.
- «Windows Search» – неудачная технология индексации содержимого жесткого диска, предназначенная для мгновенного поиска файлов и приложений. Лучше отключить и воспользоваться альтернативой – например, «Everything».
- «Диспетчер печати» и «Расширения и уведомления для принтеров» – нет принтера и не делаете PDF документы при помощи виртуального принтера? – Отключайте запуск.
- «Датчики» – если не работаете с планшетом, смело деактивируйте три сервиса: служба датчиков, данных датчиков и наблюдения за датчиками.
- «Модули ключей IPSec» – как и первый, абсолютно бесполезный модуль.
- «Службы кэша шрифтов Windows» – после установки Office не нужна, позволяет сразу же видеть изменения в шрифтах Windows.
- «DNS-клиент» – нужна для работы: магазина приложений, домашней сети и кэширования сетевых имен.
- «Модуль поддержки NetBIOS» – требуется для организации общего доступа к каталогам и файлам и сервиса «Сервер».
- «Адаптер производительности WMI» – бесполезная штука, применяемая только при активности модуля поддержки данных быстродействия.
- «Уведомления о системных событиях» – ненужный фоновый процесс, не имеющий ничего общего с уведомлениями Windows.
- «Superfetch» – неэффективный способ оптимизации работы ОС.
- «Служба изображений WIA» – нет сканера – запретите запускаться.
- «Служба геоположения» – позволяет Microsoft узнать: где вы находитесь.
- «Шифрованная файловая система (EFS)» – необходима для хранения зашифрованных на NTFS томах файлов.
- «Факс, Автономные файлы» – все отключаем.
- «Биометрическая служба» – применяется для распознания отпечатка пальца.
- «Защитник Windows» – бесполезный потребитель ресурсов.
- «Браузер компьютеров», «Группировка сетевых участников» – применяется для организации домашней сети.
- «Вторичный вход в систему» – при работе из-под одной учетной записи с правами администратора – выключайте.
- «Диспетчер скачанных карт» – вдруг кто-то пользуется программой «Карты», тогда оставьте работать.
- «Обнаружение SSDP» – обнаружит сетевые устройства, функционирующие по протоколу SSDP. Если ничего не поняли – сервис не нужен.
- «Помощник по входу в учетную запись Майкрософт» – для локальных учетных записей не нужна.
- «Программный поставщик теневого копирования» – создает точки восстановления.
- «Родительский контроль» – не пользуетесь – удаляйте из автозагрузки.
- «Биометрическая служба Windows», «Телеметрия», «Сборщик событий Windows» – все шпионы?!
- «Телефония» – не используете телефонию, вырубайте.
- «Политика удаления смарт-карт», «Сетевой вход в систему», «Факс», «Удаленный реестр», «Телефонная связь» и все, что со словом «Hyper-V», «Служба поддержки Bluetooth» – узкоспециализированные сервисы, на домашнем ПК обычно не нужны.
- «Беспроводная настройка» – нужна для Wi–Fi. Если данного модуля нет – выключаем!
Меньшим количеством кликов службы отключаются через утилиту: «Easy Service Optimizer», «Starter» или иную аналогичную. Перед внесением изменений экспортируйте ветку реестра: «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services» – через редактор реестра (Win+R=regedit) или стороннюю утилиту – например, «Starter». Также можете создать точку восстановления системы.
Если столкнетесь с проблемами, сможете быстро восстановить работу операционной системы. Если у вас ещё остались вопросы – пишите в комментариях, помогу, чем смогу.
Иллюстрированный самоучитель по настройке Windows 2000/2003 › Пошаговое руководство по использованию протокола IPSec › Устранение неполадок [страница — 140] | Самоучители по операционным системам
Устранение неполадок
Устранение неполадок при согласовании IKE
Служба IKE работает в составе службы агента политики IPSec (IPSec Policy Agent). Убедитесь, что эта служба запущена. Также убедитесь, что выполняется аудит успешных и неудачных событий с помощью политики Аудит входа в систему (Audit Logon Events). В журнале безопасности будут регистрироваться события, относящиеся к службе IKE, в которых также будет предоставлены пояснения о причинах невыполненных согласований.
Сброс состояния IKE: Перезапуск службы агента политики IPSec
Для выполнения сброса состояния согласования IKE необходимо остановить и запустить службу агента политики. Из командной строки, пользователем с правами локального администратора, выполните следующие команды:
net stop policyagent net start policyagent
Повторите Ваши шаги для защиты трафика.
Внимание
Когда Вы остановите службу агента политики IPSec, все действующие IPSec фильтры будут деактивированы. Активные VPN-туннели не будут больше защищены посредством IPSec. Если у Вас также запущены службы маршрутизации и удаленного доступа (Routing or Remote Access) или у Вас имеются активные входящие подключения VPN, то Вы должны остановить службу маршрутизации и удаленного доступа, выполнив команду net stоp remoteaccess, и повторно запустить ее, выполнив команду net start remoteaccess после перезапуска службы агента политики IPSec.
Использование журнала событий безопасности для поиска ошибок IKE
Записи в журнале безопасности содержат описания причин неуспешных согласований IKE. Используйте эти записи журнала для определения того, какое из согласований не выполнено и почему. Вы должны разрешить аудит, используя процедуру, описанную в начале данного руководства.
Использование анализатора пакетов (Sniffer)
Если ничто из вышеперечисленного Вам так и не помогло, а Вы, к сожалению, так и не прочитали раздел «Понимание IKE-согласования (для опытных пользователей)», то сделаете следующее.
Для более подробного исследования пакетов, перехваченных в процессе обмена, используйте анализатор пакетов, например, Сетевой монитор (Microsoft Network Monitor). Помните, что основное содержимое пакетов зашифровано вследствие согласования IKE и не может быть интерпретировано анализатором пакетов. Хотя, может быть, придется проанализировать весь трафик, отправленный компьютером, чтобы убедиться, что Вы видите именно то, что рассчитывали увидеть. Ограниченная версия Microsoft Network Monitor входит в состав Windows 2000 Server, учтите, что этот инструмент и не установлен по умолчанию. Для его установки в Панели управления (Control Panel) откройте Установка и удаление программ (Add or Remove Programs), перейдите в раздел Добавление и удаление компонентов Windows (Add/Remove Windows Components) в диалоговом окне Мастер компонентов Windows (Windows Components Wizard), выберите Средства управления и наблюдения (Management and Monitoring Tools), нажмите Состав (Details) и выберите Средства сетевого монитора (Network Monitor Tools).
Использование трассировки отладки IKE (для квалифицированных пользователей)
Журнал событий безопасности – лучшее средство для определения причин отказа согласования IKE. Однако для специалистов в области протокола согласования IKE может быть полезна опция трассировки отладки согласования IKE, которая активируется специальным ключом реестра. Регистрация событий, относящихся к трассировке отладки, по умолчанию отключена. Для активирования регистрации событий отладки Вы должны остановить и повторно запустить службу агента политики IPSec.
Чтобы активировать регистрацию событий отладки IKE
После перезапуска службы агента политики новый файл журнала по умолчанию будет записан вwindir\debug\oakley.log, а в файле oakley.log.sav будет сохранена предыдущая версия журнала.
Размер журнала ограничен 50000 записями, что обычно соответствует файлу размером не более 6 Мб.
Параметры службы агента политики IPsec (PolicyAgent) по умолчанию в Windows 7
Параметры службы агента политики IPsec (PolicyAgent) по умолчанию в Windows 7
Internet Protocol Security (IPsec) поддерживает аутентификацию однорангового узла на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. Эта служба применяет политики IPsec, созданные с помощью оснастки «Политики IP-безопасности» или инструмента командной строки «netsh ipsec». Если вы остановите эту службу, у вас могут возникнуть проблемы с подключением к сети, если ваша политика требует, чтобы подключения использовали IPsec.Кроме того, удаленное управление брандмауэром Windows недоступно, когда эта служба остановлена.
Настройки по умолчанию
Тип запуска: | Вручную |
Отображаемое имя: | Агент политики IPsec |
Имя службы: | PolicyAgent |
Тип службы: | share |
Контроль ошибок: | нормальный |
Объект: | NT Authority \ NetworkService |
Путь: | % SystemRoot% \ system32 \ svchost.exe -k NetworkServiceNetworkRestricted |
Файл: | % SystemRoot% \ System32 \ ipsecsvc.dll |
Ключ реестра: | HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent |
Поведение по умолчанию
Агент политики IPsec — это служба Win32.В Windows 7 он не запустится, если пользователь не запустит его. Когда служба агента политики IPsec запущена, она работает как NT Authority \ NetworkService в общем процессе svchost.exe. Другие системные компоненты, такие как драйверы и службы, могут работать в том же процессе. Если агент политики IPsec не запускается, Windows 7 пытается записать сведения об ошибке в журнал событий. Затем должен продолжиться запуск Windows 7, и пользователь должен быть уведомлен о том, что служба PolicyAgent не запущена из-за ошибки.
Зависимости
Агент политики IPsec не может запуститься, если хотя бы одна из следующих служб остановлена или отключена:
Восстановить конфигурацию запуска по умолчанию для агента политики IPsec
Прежде чем вы начнете это делать, убедитесь, что все службы, от которых зависит агент политики IPsec, настроены по умолчанию и работают правильно. См. Список зависимостей выше.
1. Запустите командную строку от имени администратора.
2. Скопируйте команду ниже, вставьте ее в командное окно и нажмите ENTER:
sc config PolicyAgent start = запрос
3.Закройте командное окно и перезагрузите компьютер.
Служба PolicyAgent использует файл ipsecsvc.dll , который находится в папке % WinDir% \ System32 . Если файл был изменен, поврежден или удален, вы можете восстановить его исходную версию с установочного носителя Windows 7.
.
! |
.