Запуск приложения в виде службы Windows
Можно ли запустить клиентское приложение в качестве службы? В одной из статей я описывал способы создания службы Windows штатными средствами ОС. Однако не каждое консольное приложение сможет запуститься как служба, а программы с графическим интерфейсом в принципе не умеют работать подобным образом. Но возможность запустить приложение как службу все же есть, и поможет нам в этом программа с оригинальным названием Non-Sucking Service Manager.
NSSM представляет из себя свободное программное обеспечение с открытым кодом и поддерживает все операционные системы Microsoft, начиная с Windows 2000 и заканчивая Windows 8. NSSM не требует установки, достаточно его загрузить и распаковать. В дистрибутив входят версии для 32- и 64-разрядных ОС. Взять программу можно с сайта nssm.cc, на данный момент последняя стабильная версия 2.21.1, которую я и буду использовать.
Для демонстрации возможностей NSSM попробуем запустить Блокнот Windows в качестве службы на Windows 8.1.
Создание службы
Для создания службы с именем notepad запускаем командную консоль, переходим в папку с распакованным NSSM (для 64-разрядной Windows) и вводим команду nssm install notepad, которая открывает окно графического инсталлятора NSSM. Чтобы создать службу, достаточно в поле Path указать путь к исполняемому файлу и нажать кнопку «Install service». Дополнительно в поле Options можно указать ключи, необходимые для запуска службы.
Также на этапе создания новой службы можно указать некоторые дополнительные параметры.
На вкладке «Shutdown» перечислены методы остановки и таймауты, используемые при штатном завершении работы или аварийной остановке приложения. Когда NSSM получает команду остановки (напр. при завершении работы приложения), то он пытается остановить контролируемое приложение штатным образом. Если же приложение не отвечает, то NSSM может принудительно завершить все процессы и подпроцессы этого приложения.
Всего есть четыре этапа завершения работы приложения, и по умолчанию они будет использоваться в таком порядке:
• На первом этапе NSSM пытается сгенерировать и отправить событие Ctrl+C. Этот способ хорошо работает для консольных приложений или скриптов, но не применим для графических приложений;
• Затем NSSM определяет все окна, созданные приложением, и посылает им сообщение WM_CLOSE, инициирующее выход из приложения;
• И в качестве последнего средства NSSM может вызвать метод TerminateProcess(), принудительно завершив работу приложения.
Возможно отключить некоторые или даже все методы, однако для разных приложений срабатывают разные методы и для корректного завершения работы приложения рекомендуется оставить все как есть.
По умолчанию при падении службы NSSM пытается рестартовать ее. На вкладке «Exit actions» можно изменить автоматическое действие при нештатном завершении работы приложения, а также выставить задержку перед автоматическим перезапуском приложения.
На вкладке «Input/Output (I/O)» можно задать перенаправление ввода\вывода приложения в указанный файл.
На вкладке «Environment» можно задать для службы новые переменные окружения, или переопределить существующие.
Также можно не пользоваться графической оболочкой и сразу создать службу в консоли такой командой:
nssm install notepad ″C:\Windows\system32\notepad.exe″
Управление службой
После создания службы с помощью NSSM зайдем в оснастку Services и найдем службу notepad. Как видите, с виду она ничем не отличается от остальных служб, мы также можем ее запустить, остановить или изменить режим запуска. Однако обратите внимание, что в качестве исполняемого файла указан nssm.exe.
А если зайти в Task Manager, то мы увидим следующую картину: в качестве основного (родительского) процесса запущен NSSM, служба notepad запущена как его дочерний процесс, и уже в этом дочернем процессе запущено приложение Блокнот.
Удаление службы
Для удаления службы вводим команду nssm remove notepad и подтверждаем ее удаление. А введя команду nssm remove notepad confirm, можно обойтись и без подтверждения.
Запуск службы в интерактивном режиме
Основное отличие пользовательского приложения от службы заключается в том, что после запуска приложение может требовать для продолжения работы дополнительных действий со стороны пользователя — например нажать кнопку или ввести команду. Для этого необходимо получить к нему доступ, что как оказывается, не так-то просто сделать.
Для того, чтобы запустить службу в интерактивном режиме, надо в оснастке Службы открыть ее свойства и на вкладке «Вход в систему» отметить чекбокс «Разрешить взаимодействие с рабочим столом».
А дальше начинаются чудеса 🙂 Cлужба, запущенная в интерактивном режиме, открывается в изолированном сеансе (session 0). Попасть в этот сеанс можно только при помощи Службы обнаружения интерактивных служб (ui0detect), которая отслеживает запуск интерактивных служб на компьютере и выдает оповещение. В Windows 7\Server 2008 эта служба активна по умолчанию, а в Windows 8\Server 2012 она отключена и не отображается в графической оснастке Службы (по крайней мере я ее там не нашел). Более того, если вы все же найдете эту таинственную службу и попробуете ее запустить, то получите сообщение об ошибке.
А дело в том, что для ее запуска необходимо разрешить запуск интерактивных служб на компьютере. Поэтому открываем редактор реестра, находим в разделе HKLM\System\CurrentControlSet\Control\Windows параметр типа DWORD с именем NoInteractiveServices и ставим его значение в 0.
После чего открываем консоль PowerShell и стартуем службу обнаружения командой:
Start-Service -Name ui0detect
Убедившись что служба обнаружения запущена, рестартуем службу notepad, и получаем вот такое окошко. Выбираем пункт «Посмотреть сообщение»
и попадаем в нулевой сеанс, в котором работает наше приложение. Дальше производим с ним необходимые действия и возвращаемся обратно.
Такое вот интересное решение для запуска приложений в виде служб Windows. Не самое красивое, но вполне соответствующее своему названию 🙂
windowsnotes.ru
Настройка типа запуска службы
Службы часто запускаются с параметрами по умолчанию. Например, при запуске служба может автоматически отключаться. Оснастку «Службы» можно использовать для изменения параметров службы по умолчанию. Это полезно при устранении неполадок в работе службы, или если необходимо изменить учетную запись безопасности, с которой работает служба.
Необходимое требование для выполнения этой процедуры – это членство в группе Операторы учета или в группах Администраторы домена, Администраторы предприятия. Подробности см. далее, в разделе «Прочие вопросы».
Настройка типа запуска службы
 | Чтобы настроить тип запуска службы с помощью интерфейса Windows |
Нажмите кнопку Пуск, щелкните в поле Начать поиск, введите services.msc
Дополнительно, экспортируйте и сохраните список существующих параметров. Для этого щелкните правой кнопкой мыши узел Службы, выберите команду Экспортировать список и сохраните список параметров.
В области сведений дважды щелкните службу, которую требуется настроить, и щелкните Свойства.
На вкладке Общие в разделе Тип запуска выберите Автоматический режим, Вручную, Отключено или Автоматически (отложенный запуск).
Чтобы указать учетную запись пользователя, используемую службой при входе в систему, щелкните вкладку Вход в систему и выполните следующее:
- Чтобы указать, что служба должна использовать учетную запись «Локальная система», щелкните С системной учетной записью.
- Чтобы указать, что служба должна использовать учетную запись «Локальная служба», щелкните С учетной записью и введите NT AUTHORITY\LocalService.
- Чтобы указать, что служба должна использовать учетную запись «Сетевая служба», щелкните С учетной записью и введите NT AUTHORITY\NetworkService.
- Чтобы указать другую учетную запись, щелкните С учетной записью, Обзор, затем укажите учетную запись пользователя в диалоговом окне Выбор пользователя. По завершении нажмите кнопку ОК.
Введите пароль учетной записи в полях Пароль и Подтверждение, затем щелкните ОК. Если выбрана учетная запись «Локальная служба» или «Сетевая служба», не вводите пароль.
Чтобы настроить тип запуска службы с помощью командной строки
- Службами также можно управлять с помощью команды sc config. Для получения дополнительных сведений о доступных параметрах откройте окно командной строки и введите sc config /?. Подробное описание параметров командной строки и примеры см. в справочнике по командной строке на странице https://go.microsoft.com/fwlink/?linkid=53528.
Дополнительная информация
- Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» либо получить соответствующие полномочия путем делегирования. При этом по соображениям безопасности рекомендуется использовать команду Run as.
- Изменения параметров службы по умолчанию может препятствовать работоспособности ключевых служб. Особенно необходимо быть внимательным при изменении параметров Тип запуска и Запуск от имени тех служб, которые запускаются автоматически.
- В большинстве случаев рекомендуется не изменять параметр Разрешить взаимодействие с рабочим столом. Если служба может взаимодействовать с рабочим столом, то любые сведения, отображаемые службой на рабочем столе, также будет отображаться на рабочем столе интерактивных пользователей. Злоумышленник может получить управление службой в свои руки или атаковать ее с интерактивного рабочего стола.
- Пароли учетных записей «Local Service» и «Network Service» по умолчанию пустые. Предоставляемые сведения о паролях игнорируются.
- Рекомендуется, чтобы у учетных записей, используемых для входа службы в систему, были надежные пароли, а также в диалоговом окне Свойства был установлен флажок Срок действия пароля не ограничен.
- Если включена политика блокировки учетных записей и учетная запись заблокирована, то служба не будет запущена.
- Если служба включена или отключена и при этом невозможно запустить компьютер, попробуйте запустить его в безопасном режиме. В безопасном режиме ключевые службы, необходимые для запуска операционной системы, запускаются по стандартной схеме, вне зависимости от внесенных изменений параметров службы. После загрузки компьютера в безопасном режиме можно изменить настройки службы или восстановить настройки по умолчанию.
- Если указана учетная запись, которая не имеет разрешений на вход в качестве службы, оснастка «Службы» автоматически предоставляет этой учетной записи соответствующие разрешения на управляемом компьютере.
Дополнительные источники информации
Дополнительные сведения о настройке службы времени Windows см. в описании W32tm на странице https://go.microsoft.com/fwlink/?linkid=69453.
Дополнительные сведения об учетных записях пользователей, используемых службами для входа в систему, см. в статье Параметры по умолчанию для служб на странице https://go.microsoft.com/fwlink/?linkid=68107.
www.forsenergy.com
Запуск PowerShell скрипта как службы Windows
Из любого скрипта PowerShell можно сделать службу Windows, которая работает в фоновом режиме и запускается автоматически при загрузке сервера. Вы можете создать службу Windows с помощью утилит srvany.exe и instsrv.exe (из состава Windows Server Resource 2003 Kit), позволяющих запустить процесс powershell.exe с параметром в виде пути к ps1 файлу скрипта. Основной недостаток такого способа создания службы — srvany.exe не контролирует выполнение приложения (скрипта PowerShell в нашем случае) и, если приложение падает (зависает), то служба это не видит и продолжает работать. В этой статье для создания службы Windows из файла со скриптом PowerShell мы будем использовать утилиту NSSM (Non-Sucking Service Manager – оставим без перевода…:)), которая лишена этих недостатков.
Вы можете скачать и установить NSSM вручную или через Chocolately. Сначала нужно установить сам Choco:
Set-ExecutionPolicy Bypass -Scope Process -Force; `
iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))
Затем установим пакет NSSM:
choco install nssm
В этом примере мы будем в реальном времени отслеживать изменения определенной группы AD (скрипт из этой статьи) и при изменении оповещать администратора безопасности всплывающим уведомлением и письмом.
Итак, у нас имеется код, который нужно сохранить в PS1 файл. Добавим бесконечный цикл, который раз в минуту выполняет проверку:
while($true) {
#Ваш PS код
Start-Sleep –Seconds 60
}
Создать службу из скрипта PowerShell при помощи NSSM можно прямо из PowerShell :):
$NSSMPath = (Get-Command "C:\tools\nssm\win64\nssm.exe").Source
$NewServiceName = “CheckADGroupSrv”
$PoShPath= (Get-Command powershell).Source
$PoShScriptPath = “C:\tools\CheckADGroup\checkad.ps1”
$args = '-ExecutionPolicy Bypass -NoProfile -File "{0}"' -f $PoShScriptPath
& $NSSMPath install $NewServiceName $PoShPath $args
& $NSSMPath status $NewServiceName
Запустим новую службу:
Start-Service $NewServiceName
Проверим статус службы с помощью PowerShell:
Get-Service $NewServiceName
Итак, вы создали и запустили новую службу Windows. Проверим, что она появилась в консоли управления службами services.msc
Служба CheckADGroupSrv действительно появилась, она настроена на автоматический запус и в данный момент запущена (Running). Как вы видите, ваш PowerShell скрипт запущен внутри процесса nssm.exe.
Обратите внимание, что служба запущена из-под учетной записи System. Если вы используете в своих PS скриптах другие модули (в моем случае для получения состава доменной группы безопасности используется командлет Get-ADGroupMember из модуля Active Directory для Windows PowerShell), этот аккаунт должен иметь доступ к файлам модуля и права на подключение к AD (в моем случае). Вы так же можете запустить эту службы под другой учётной записью (или аккаунтом gMSA) и предоставить пользователям права на остановку/перезапуск службы, если у них нет прав локального администратора.Чтобы служба могла отображать уведомления в сеанс пользователя (взаимодействовать с рабочим столом) нужно на вкладке “Вход в систему” (Log on) включить опцию “Разрешить взаимодействие с рабочим столом” (Allow service to interact with desktop).
Чтобы это работало в Windows 10 / Windows Server 2012 R2/ 2016 нужно изменить значение DWORD параметра реестра NoInteractiveServices в ветке HKLM\System\CurrentControlSet\Control\Windows на 0 и включить службу обозревателя интерактивных служб (Interactive Services Detection Service):Start-Service -Name ui0detect
Однако в Windows 10 1803 службу Interactive Services Detection Service полностью убрали из системы, и вы более не можете переключиться в нулевую сессию (Session 0), так что вы просто не увидите окна, которые выводятся из-под аккаунта System.
Вы можете изменить описание службы командой:
& $NSSMPath set $NewServiceName description “Мониторинг изменений группы AD”
Чтобы удалить созданную службу можете воспользоваться командой sc delete или
nssm remove CheckADGroupSrv
winitpro.ru
Разрешение входа в систему с помощью служб удаленных рабочих столов (Windows 10)
- Время чтения: 3 мин
В этой статье
Область применения
В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для параметра » Разрешить вход с помощью политики безопасности служб удаленных рабочих столов «.
Справочник
Этот параметр политики определяет, какие пользователи или группы могут получать доступ к экрану входа на удаленном устройстве через подключение к службам удаленных рабочих столов. Пользователь может установить подключение к службам удаленных рабочих столов к определенному серверу, но не сможет войти на консоль того же сервера.
Константа: Серемотеинтерактивелогонригхт
Возможные значения
- Определенный пользователем список учетных записей
- Не определено
Рекомендации
- Чтобы управлять тем, кто может открывать подключение к службам удаленных рабочих столов и входить на него, добавьте пользователей в группу «Пользователи удаленного рабочего стола» и удалите их из нее.
Назначение
Конфигуратион\виндовс компьютеров Сеттингс\секурити Сеттингс\локал ПолиЦиес\усер
Значения по умолчанию
По умолчанию участники группы Администраторы имеют это право на контроллерах домена, рабочих станциях и серверах. Группа «Пользователи удаленных рабочих столов» также имеет это право на рабочих станциях и серверах. В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Администраторы |
| Параметры по умолчанию отдельного сервера | Администраторы Пользователи удаленного рабочего стола |
| Действующие параметры по умолчанию для контроллера домена | Администраторы |
| Действующие параметры по умолчанию для рядового сервера | Администраторы Пользователи удаленного рабочего стола |
| Параметры по умолчанию, действующие на клиентском компьютере | Администраторы Пользователи удаленного рабочего стола |
Средства управления политикой
В этом разделе описаны различные функции и инструменты, которые помогут вам управлять этой политикой.
Групповая политика
Чтобы войти в систему на удаленном устройстве с помощью служб удаленных рабочих столов, пользователь или группа должны быть членами группы «Пользователи удаленного рабочего стола» или «Администраторы» и предоставлять разрешение на вход через службы удаленных рабочих столов . Пользователь может установить сеанс служб удаленных рабочих столов для определенного сервера, но не сможет войти на консоль того же сервера.
Чтобы исключить пользователей или группы, вы можете назначить их пользователям и группам с помощью кнопки » запретить вход в службу удаленного рабочего стола «. Однако будьте внимательны при использовании этого метода, так как вы можете создать конфликты для легальных пользователей или групп, которым разрешен доступ с помощью разрешения входа в систему с помощью служб удаленных рабочих столов .
Дополнительные сведения можно найти в разделе Запрещение входа в систему с помощью служб удаленных рабочих столов.
Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным.
Любые изменения, внесенные в назначение прав пользователя для учетной записи, вступают в силу при следующем входе в систему владельца учетной записи.
Параметры групповой политики применяются к объектам GPO в следующем порядке, что приводит к перезаписи параметров на локальном компьютере при следующем обновлении групповой политики:
- Параметры локальной политики
- Параметры политики сайта
- Параметры политики домена
- Параметры политики OU
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Любая учетная запись с разрешающим входом в систему с помощью права пользователя служб удаленных рабочих столов может войти в удаленную консоль устройства. Если вы не ограничиваете это право для легальных пользователей, которые должны войти на консоль компьютера, неавторизованные пользователи могли скачать и запустить вредоносную программу, чтобы повысить уровень привилегий.
Противодействие
Для контроллеров домена назначьте разрешение Вход с помощью службы удаленных рабочих столов прямо в группу Администраторы. Для других ролей и устройств сервера добавьте группу «Пользователи удаленного рабочего стола». Для серверов, на которых служба роли узла сеансов удаленных рабочих столов (RD) включена и не работает в режиме сервера приложений, убедитесь в том, что только авторизованные ИТ-специалисты, которые должны управлять удаленными компьютерами, находятся в этих группах.
Внимание! для серверов узлов сеансов удаленных рабочих столов, работающих в режиме сервера приложений, необходимо убедиться, что только пользователи, которым требуется доступ к серверу, имеют учетные записи, которые относятся к группе «Пользователи удаленного рабочего стола», так как эта встроенная группа по умолчанию имеет право на вход.
Кроме того, вы можете назначить учетной записи отказ в доступе пользователям служб удаленных рабочих столов право доступа к группам, таким как операторы учета, операторы сервера и гости. Тем не менее, следует соблюдать осторожность при использовании этого метода, так как вы можете заблокировать доступ к легальным администраторам, которые также принадлежат к группе, в которой есть право » запретить вход с помощью пользователей служб удаленных рабочих столов «.
Возможное влияние
Удаление разрешения на вход в систему с помощью служб удаленных рабочих столов прямо из других групп (или изменения в членстве в этих группах по умолчанию) может ограничить возможности пользователей, которые выполняют определенные административные роли в вашей среде. Убедитесь в том, что делегированные действия не подвержены неблагоприятным последствиям.
Еще по теме
docs.microsoft.com
Пропали сетевые подключения
Если нажать кнопку Пуск, выбрать пункт Панель управления и дважды щелкнуть элемент Сетевые подключения либо щелкнуть на рабочем столе правой кнопкой мыши значок Сетевое окружение и выбрать пункт Свойства, значки сети не отображаются. Также могут наблюдаться проблемы с окном «Сетевые подключения».
Щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Управление. Дважды щелкните элемент Службы и приложения, а затем щелкните элемент Службы.
- Удаленный вызов процедур (RPC)
(эта служба должна быть запущена раньше других служб). - Сетевые подключения
(эта служба может быть запущена только после запуска службы RPC). - Plug and Play.
- Система событий СОМ+
(эта служба может быть запущена только после запуска службы RPC). - Диспетчер подключений удаленного доступа
(эта служба может быть запущена только после запуска службы телефонии). - Телефония
(эта служба может быть запущена только после запуска служб RPC и PnP).
Чтобы запустить службу, щелкните ее имя правой кнопкой мыши и выберите в контекстном меню пункт Пуск.
Не закрывайте окно «Управление компьютером», поскольку нужно будет проверить другие параметры.
Проверьте параметры входа в систему. Для этого выполните указанные ниже действия.
В правой области дважды щелкните имя службы Система событий COM+.
Откройте вкладку Вход в систему.
Убедитесь, что в разделе Вход в систему выбран параметр С системной учетной записью.
Проверьте, разрешено ли взаимодействие с рабочим столом. Для этого выполните указанные ниже действия.
Дважды щелкните имя службы Сетевые подключения.
Откройте вкладку Вход в систему.
Убедитесь, что в разделе Вход в систему выбран параметр С системной учетной записью.
Убедитесь, что установлен флажок Разрешить взаимодействие с рабочим столом, и нажмите кнопку ОК.
Закройте окно Управление компьютером.
Проверьте правильность конфигурации сетевых служб. Для этого выполните указанные ниже действия.
В меню Пуск выберите пункт Панель управления.
Дважды щелкните значок Установка и удаление программ.
Нажмите кнопку Установка компонентов Windows.
Найдите в списке и выделите пункт Сетевые службы, а затем нажмите кнопку Состав. Убедитесь, что флажок Простые службы TCP/IP установлен, и нажмите кнопку ОК.
Закройте все открытые диалоговые окна.
Убедитесь, что сетевые библиотеки DLL правильно зарегистрированы. Для этого выполните указанные ниже действия. Библиотеки DLL — это небольшие файлы, содержащие библиотеку функций и данных, которые могут совместно использоваться многими приложениями.
В меню Пуск выберите пункт Выполнить.
В поле Открыть введите команду cmd.exe и нажмите кнопку OК.
Введите приведенные ниже строки, нажимая после каждой из них клавишу ВВОД. Текст этих команд довольно сложен, поэтому тщательно проверяйте его, чтобы не было ошибок. Можете также просто скопировать и вставить его. Когда при выполнении команд будет появляться окно RegSvr32, нажимайте кнопку ОК.
regsvr32 netshell.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll
Перезагрузите компьютер. Проверьте, не появились ли значки сети.
Оригинал тут.
bloggik.net
Windows Terminal Server. Параметры групповой политики и настройка взаимодействия с пользователем
Windows Terminal Server. Параметры групповой политики и настройка взаимодействия с пользователемКогда служба роли Узел сеансов удаленных рабочих столов устанавливается в диспетчере сервера, можно в компоненте Мастер добавления ролей на странице Настройка взаимодействия с пользователем автоматически настроить следующие функциональные возможности.
- Воспроизведение звука и видео
- Перенаправление записи звука
- Композиция рабочего стола
Диспетчер сервера автоматически проверяет, нет ли в настоящее время примененных к компьютеру параметров групповой политики, которые могли бы помешать правильной настройке требуемой функциональной возможности. Если к компьютеру применен такой параметр групповой политики, вариант выбора будет заблокирован, и пользователь не сможет установить соответствующий флажок на странице Настройка взаимодействия с пользователем.
Диспетчер сервера проверяет следующие параметры групповой политики:
- Разрешить перенаправление воспроизведения аудиопотока и видеоданных
Если параметр групповой политики Разрешить перенаправление воспроизведения аудиопотока и видеоданных отключен, пользователь не может установить флажок Воспроизведение звука и видео на странице Настройка взаимодействия с пользователем.
Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов.
- Разрешить перенаправление записи звука
Если параметр групповой политики Разрешить перенаправление записи звука отключен, пользователь не может установить флажок Перенаправление записи звука на странице Настройка взаимодействия с пользователем.
Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов.
- Разрешить композицию рабочего стола для сеансов удаленного рабочего стола
Если параметр групповой политики Разрешить композицию рабочего стола для сеансов удаленного рабочего стола отключен, пользователь не может установить флажок Композиция рабочего стола на странице Настройка взаимодействия с пользователем.
Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Среда удаленных сеансов.
- Ограничить максимальную глубину цвета
Если параметр групповой политики Ограничить максимальную глубину цвета включен и выбрана максимальная глубина цвета меньше 32 бит на пиксель, пользователь не может установить флажок Композиция рабочего стола на странице Настройка взаимодействия с пользователем.
Этот параметр групповой политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Среда удаленных сеансов.
Для настройки этих параметров групповой политики можно использовать редактор локальных групповых политик или консоль управления групповыми политиками.
Дополнительные сведения о параметрах групповой политики для служб удаленных рабочих столов см. в техническом справочнике по службам удаленных рабочих столов (может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=138134).
bga68.livejournal.com
Контроль учетных записей позволяет UIAccess-приложениям запрашивать повышение прав без использования безопасного рабочего стола (Windows 10)
- Время чтения: 5 мин
В этой статье
Область применения
В этой статье описаны рекомендации, сведения о расположении, значения и вопросы безопасности для контроля учетных записей. Разрешите UIAccess — запрашивать повышение прав, не используя параметр политики безопасности для настольных систем.
Справочник
Этот параметр безопасности определяет, могут ли программы специальных возможностей пользовательского интерфейса (UIAccess или UIA) автоматически отключать безопасный рабочий стол для запросов на повышение прав, которые используются стандартным пользователем.
Примечание. этот параметр не изменяет поведение запроса на повышение прав UAC для администраторов.
Фон
Изоляция привилегий пользовательского интерфейса (УИПИ) реализует ограничения в подсистеме Windows, которые не позволяют приложениям с более низкими полномочиями отправлять сообщения или устанавливать обработчики в процессах с более высоким уровнем привилегий. Приложениям с повышенными привилегиями разрешено отправлять сообщения в процессы с низкими полномочиями. УИПИ не мешает или не изменяет поведение сообщений между приложениями с тем же уровнем прав (или целостности).
Microsoft UI Automation — это текущая модель для поддержки требований к специальным возможностям в операционных системах Windows. Приложения, предназначенные для поддержки доступного пользовательского интерфейса, управляют поведением других приложений для Windows от имени пользователя. Если все приложения на клиентском компьютере и сервере автоматизации работают как обычный пользователь (то есть на уровне среднего уровня целостности), УИПИ ограничения не влияют на модель модели автоматизации пользовательского интерфейса Майкрософт.
Тем не менее, может возникнуть ситуация, когда пользователь с повышенными привилегиями в режиме одобрения администратором запускает приложение с более высоким уровнем прав, основанным на UAC. Модель автоматизации пользовательского интерфейса Майкрософт не может использовать графический интерфейс приложения с повышенными привилегиями на рабочем столе без возможности пропуска ограничений, которые УИПИ реализованы. Возможность обходить ограничения УИПИ на уровни привилегий доступна для программ автоматизации пользовательского интерфейса с помощью UIAccess.
Если приложение предоставляет атрибут UIAccess при запросе привилегий, приложение сообщает о необходимости обойти ограничения УИПИ для отправки сообщений на уровни привилегий. Устройства реализуют следующие проверки политики перед запуском приложения с правами UIAccess.
- Приложение должно иметь цифровую подпись, которую можно проверить с помощью цифрового сертификата, связанного с хранилищем доверенных корневых центров сертификации на локальном компьютере.
Приложение должно быть установлено в локальной папке, предназначенной для записи только администраторами, например каталогом Program Files. Разрешены следующие каталоги для приложений модели автоматизации пользовательского интерфейса.
- % ProgramFiles% и ее подкаталоги.
- % WinDir% и ее подкаталоги, за исключением нескольких подкаталогов, исключаемых из-за того, что обычные пользователи имеют доступ на запись.
Получившееся поведение
Если этот параметр включен, UIAccess-программы (включая Windows Remote Assistance) могут автоматически отключить безопасный рабочий стол для запросов на повышение прав. Если вы не отключались запросы на повышение прав, запросы отображаются на рабочем столе интерактивного пользователя, а не на безопасном рабочем столе. Эти запросы также отображаются в представлении рабочего стола удаленного администратора во время сеанса удаленного помощника Windows, а удаленный администратор может предоставить соответствующие учетные данные для повышения прав.
Если вы отключите этот параметр, защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или отключением контроля учетных записей. Переключение на безопасный рабочий стол при запросе параметра повышения прав , который по умолчанию включен.
Возможные значения
Включено
UIA-программы могут автоматически отключить безопасный рабочий стол для получения запросов на повышение прав и если вы не отключались запросы на повышение прав, запросы отображаются на рабочем столе интерактивного пользователя, а не на безопасном рабочем столе. Кроме того, запросы будут отображаться на рабочем столе удаленного администратора во время сеанса удаленного помощника Windows, а удаленный администратор может предоставить необходимые учетные данные для повышения прав.
Отключено
Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или отключением контроля учетных записей. Переключение на безопасный рабочий стол при запросе параметра политики повышения прав .
Рекомендации
- Рекомендации зависят от политик безопасности и требований к удаленным операционным системам.
Назначение
Параметры компьютера Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\секурити
Значения по умолчанию
В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию отдельного сервера | Отключено |
| Параметры по умолчанию, действующие на контроллере домена | Отключено |
| Действующие параметры по умолчанию для рядового сервера | Отключено |
| Параметры по умолчанию, действующие на клиентском компьютере | Отключено |
Средства управления политикой
В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой.
Необходимость перезапуска
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера, когда они хранятся на локальном компьютере или распределены через групповую политику.
Групповая политика
Все возможности аудита интегрированы в групповую политику. Вы можете настраивать, развертывать эти параметры и управлять ими с помощью консоли управления групповыми политиками (GPMC) или локальной политики безопасности для домена, сайта или подразделения (OU).
Взаимодействие с политикой
Если вы планируете включить этот параметр, вам также следует ознакомиться с эффектом » контроль учетных записей»: поведение запроса на повышение прав для стандартных пользователей . Если она настроена как Автоматическая отмена запросов на повышение прав, запросы на повышение прав не предоставляются пользователю. Если вы отключите этот параметр, защищенный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или отключением контроля учетных записей. Переключение на безопасный рабочий стол при запросе параметра повышения прав , который по умолчанию включен.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
UIA-программы предназначены для взаимодействия с приложениями Windows и приложениями от имени пользователя. Этот параметр позволяет программам UIA пропускать безопасный рабочий стол для повышения удобства использования в некоторых случаях, но это позволяет отображать запросы на повышение прав на обычном интерактивном рабочем столе, а не на безопасном рабочем столе. Это повышает риск перехвата вредоносными программами данных, передаваемых между пользовательским интерфейсом и приложением. Поскольку UIA-программы должны отвечать на запросы в отношении проблем безопасности, таких как запрос на повышение прав на КОНТРОЛЬный вопрос, UIA-программы должны быть надежными. Чтобы считаться доверенной, UIA-программа должна иметь цифровую подпись. По умолчанию программы UIA можно запускать только из указанных ниже защищенных путей.
- .. \Програм Филес\ (и вложенные папки)
- .. \Програм Files (x86) \ \ (и вложенные папки в 64-разрядных версиях Windows)
- .. \Windows\System32\
Требование, которое должно находиться в защищенном пути, может быть отключено контрольными записями пользователей: повышать права только для UIAccess-приложений, установленных в параметрах безопасного расположения . Несмотря на то, что этот параметр применим к любой программе UIA, она используется преимущественно в некоторых сценариях удаленной помощи Windows.
Противодействие
Отключите контроль учетных записей. Разрешите UIAccess Applications запрашивать повышение прав без использования параметров безопасного рабочего стола .
Возможное влияние
Если пользователь запрашивает удаленную помощь от администратора и установлен сеанс удаленного помощника, запросы на повышение прав отображаются на безопасном рабочем столе пользователя, а удаленный сеанс администратора приостанавливается. Чтобы предотвратить приостановку сеанса удаленного администратора во время запросов на повышение прав, пользователь может установить флажок «разрешить ИТ-специалистам отвечать на запросы системы управления учетными записями» при настройке сеанса удаленного помощника. Однако при установке этого флажка необходимо, чтобы интерактивный пользователь ответил на запрос на повышение прав на безопасном рабочем столе. Если текущий пользователь является стандартным пользователем, у него нет необходимых учетных данных, чтобы разрешить повышение прав.
Еще по теме
docs.microsoft.com