У меня есть служба, которую нельзя останавливать, и я ищу разные способы предотвратить остановку процесса. Это управляемая среда, подключенная к Active Directory.
Может ли любой метод на базе Windows или решение McAfee EPO, которое может помочь предотвратить остановку процесса (или его перезапуск после остановки)
Служба работает как LocalSystem
Каждую службу можно защитить, чтобы разрешить определенные операции с ней, например запуск и остановку.
Чтобы показать разрешения на использование службы:
sc.exe sdshow servicename
он показывает что-то довольно загадочное, например:
D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CC;;;AC)
теперь вы можете использовать sc.exe sdset...
чтобы изменить разрешения, но вам необходимо понять / изучить этот язык дескрипторов безопасности.
Когда мне нужно быстро изменить разрешения для служб, я предпочитаю использовать Хакер процессов, это дает вам возможность графического интерфейса для установки разрешений для служб, выберите Services
найдите свою услугу и перейдите на вкладку свойств Security
вы можете удалить разрешения для администраторов.
Я бы удостоверился, что хотя бы один пользователь / группа все еще имеет полный доступ к услуге. Также Локальная система обычно должна сохранять свои разрешения, в противном случае диспетчер управления системой / службами больше не сможет управлять службой.
Если администратор без разрешений хочет остановить службу, он / она все равно может запустить процесс в локальной системе, а затем остановить службу, я не думаю, что вы можете предотвратить это.
Кроме того, это все о запуске и остановке служб, администратор все еще может остановить процесс службы, даже если у него / нее нет разрешений на саму службу.
Наилучший вариант - иметь как можно меньше администраторов и ограничивать то, что люди могут делать, используя что-то вроде Just-Enough-Administration.
Только администраторы могут останавливать процессы, созданные другим пользователем (или системой).
Ограничьте права администраторов, и пользователи не смогут убить процесс, иначе вам придется попытаться заблокировать множество вещей (процесс убийства, остановка службы, ...)
Почему бы вам не попробовать запустить процесс как услугу? Службы не должны останавливаться.