Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Einführung in Dienste 157
EXE-Datei kann bei der Problembehandlung sehr nützlich sein, wenn potenzielle Malware
ähnliche oder identische Namen wie Microsoft-Dienstnamen verwendet. Zum Beispiel habe
ich einmal ein Trojanisches Pferd mit dem Namen Svchost.exe gefunden, diese Datei lag
allerdings im Ordner \Windows\Fonts statt in \Windows\System32, wo das Original immer
gespeichert ist.
Starttyp ist ein wichtiges Feld. Es kann einen der folgenden vier Werte haben:
Automatisch (Verzögerter Start)
Automatisch
Manuell
Deaktiviert
Automatisch (Verzögerter Start) weist den SCM an, einen Dienst nach allen anderen Diensten
(und deren Abhängigkeiten) zu starten, die den Starttyp Automatisch haben. Diese Option
wurde erstmals in Windows Vista eingeführt. Dienste mit dem Startyp Automatisch werden
während des Windows-Startprozesses gestartet, ihre Reihenfolge wird durch verschiedene
Registrierungsschlüssel festgelegt. Falls irgendein Dienst, der den Starttyp Automatisch hat,
von anderen Diensten abhängt, werden diese Dienste zuerst gestartet (sofern sie nicht als
Deaktiviert markiert sind). Dienste mit dem Starttyp Manuell werden nur während des Windows-Startprozesses
automatisch gestartet, wenn sie von anderen Diensten oder Anwendungen
benötigt werden. Viele Dienste mit dem Starttyp Manuell werden erst gestartet, wenn sie
benötigt werden. Sie werden wieder beendet, sobald ihre Funktionalität nicht mehr gebraucht
wird. Ein Dienst, der als Deaktiviert markiert ist, wird vom SCM nicht gestartet. Er kann
erst von Hand gestartet werden, wenn der Dienst mit einem anderen Starttyp versehen wird.
Das Feld Dienststatus zeigt den aktuellen Betriebszustand des Dienstes an. Mögliche Werte
sind Gestartet, Beendet oder Angehalten. Die Bezeichnung Angehalten bedeutet nicht, dass
der Dienst gar nicht mehr läuft. Der Dienst bleibt im Speicher aktiv und bedient unter Umständen
sogar noch aktive Anforderungen, nimmt aber keine neuen Anforderungen mehr
entgegen. Dienste müssen speziell programmiert werden, damit sie mit dem SCM zusammenarbeiten
und die jeweilige Aktion ausführen, wenn sie gefragt werden, ob das Anhalten
möglich ist. Aus Gründen der Sicherheit und Zuverlässigkeit können viele Windows-Standarddienste
(über 80 Prozent) nicht angehalten werden, und fast 50 Prozent haben Berechtigungen,
die verhindern, dass sie angehalten werden. Im Feld Startparameter können zusätzliche
Laufzeitargumente, Direktiven oder Befehle definiert werden, die während des Starts
an den Dienst übergeben werden.
Registerkarte Anmelden
Die Registerkarte Anmelden (Abbildung 6.5) legt fest, welches Dienstkonto mit dem Dienst
verknüpft wird und welche Desktopinteraktionen und Hardwareprofile verwendet werden.
Im Feld Anmelden als können Sie den Dienst so konfigurieren, dass er im SYSTEM-Kontext
(Option Lokales Systemkonto) läuft, oder einen anderen Dienstkontonamen eingeben, zum
Beispiel LOKALER DIENST, NETZWERKDIENST oder einen anderen gültigen Dienstnamen.
Das Dienstanmeldekonto muss in der lokalen SAM-Datenbank oder in Active Directory vorhanden
sein. Falls das Dienstkonto noch nicht das Recht Anmelden als Dienst zugewiesen
bekommen hat, bekommt es dieses Recht, sobald Sie die Auswahl bei der Konfiguration
bestätigen. Das gültige Kennwort des Dienstkontos müssen Sie in den beiden entsprechenden
Feldern eingeben. Allerdings sollte kein Kennwort eingetragen werden, wenn die Konten
SYSTEM, LOKALER DIENST oder NETZWERKDIENST verwendet werden. Die hier