深入研究 Windows 系統服務 -- 效能調校與故障排除.ppt

深入研究 Windows 系統服務效能調校與故障排除 曹祖聖台灣微軟資深講師 MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT 講師簡介 How am I ? 講師簡介 How am I ? 系統服務的功能介紹 系統服務依存性 系統服務啟動順序修改 系統服務資源競爭問題處理 系統服務啟動失敗時的自動修復 如何使用 Recovery Console 修復系統服務 運用 WMI script 進行系統服務監控與管理 Windows 系統服務 Windows 系統服務由 3 個部分組成: 服務應用程式 : 服務程式本身，包含一個或多個服務 服務控制管理器 : 維護著 Registry 中的服務資料 服務控制程式 : 控制服務應用程式的模組，是控制服 務應用程式與服務管理器之間的橋樑 Windows 系統服務 Windows 系統服務的啟動方式: 自動 – Windows 啟動時自動載入服務 手動 – Windows 啟動時不自動載入服務， 在需要的時候 手動開啟 停用 – Windows 啟動的時候不自動載入服務，在需要的 時候選擇手動或者自動方式開啟服務，並重新啟 動電腦完成服務的配置 Windows 系統服務 機碼設定 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services 每一個服務都有一個 Start 數值，該數值內容所記錄的就是服務該在何時該被載入 服務啟動帳戶與系統安全 服務啟動帳戶的選擇: 本機系統帳戶 Local System 服務帳戶 例如: NETWORK SERVICE 使用者帳戶 例如: Administrator 服務啟動帳戶必須具備有「以服務方式登入 (logon as service)」的權力 注意緩衝區溢位的安全問題 ! 什麼是緩衝區溢位 ? 攻擊者傳送超過緩衝區大小且包含惡意程式碼的訊息 訊息中的惡意程式碼剛好覆蓋掉原本要執行的程式碼 如果這個服務啟動帳戶具有足夠權限，惡意程式碼就具有同等權限，可以進行下一步攻擊與破壞 Windows 系統啟動流程 (一) Windows Server 架構 Windows Server 架構 Windows 系統啟動流程 (二) 基本的系統啟動過程 smss.exe Session Manager 系統第一個建立的行程 負責啟動 csrss.exe 與 winlogon.exe csrss.exe Win32 子系統 winlogon.exe 登入行程: 啟動 services.exe lsass.exe; 顯示登入畫面，當使用者登入時， 執行 userinit.exe services.exe 服務控制器，負責啟動/停止系統服務， 大部份的系統服務都是由 svchost.exe 提供 Windows 系統啟動流程 (二) 基本的系統啟動過程 lsass.exe Local Security Authentication (LSA) Server， 管理 IPSec Policy 以及啟動 ISAKMP/Oakley (IKE) 、 IPSec 驅動程式、HTTP SSL、 Net Logon、…。(系統服務) svchost.exe 包含很多系統服務 userinit.exe 負責啟動 explorer.exe explorer.exe 桌面 internat.exe 輸入法 Alerter 服務 名稱: Alerter (svchost.exe -k LocalService) 功能: 接收系統管理警示訊息，如果停止這個服務， 主機將收不到任何系統管理警示。 依存: Workstation 建議: 一般用戶端並不需要傳送或接收系統管理警示 ，因此建議停用，但是網管人員所使用的工作 站、以及伺服器則應該自動啟動這個服務。 Application Layer Gateway Service 名稱: ALG (alg.exe) 功能: 提供應用程式層級通訊協定外掛程式的支援， 以及啟用網路/通訊協定連線能力。 依存: Internt Connection Firewall (ICF) /  Internet Connection Sharing (ICS) 建議: 如果你不使用網際網路連線分享 (ICS) 和網際 網路連線防火牆 (ICF)，那麼這個服務可以停用 Application Management 服務: AppMgmt (vchost.exe -k netsvcs) 功能: 為 Active Directory IntelliM