Emlékeztető

A sorozat korábbi részeiben már volt arról szó, hogy mennyire különleges ez a fiók. Jogosultsági szempontból nagyon erős, a lokális gépen mindennél izmosabb, bizonyos szempontokból a rendszergazdai fiókoknál is. Ha nincs hozzá férése egy objektumhoz, akkor képes "szerezni" (take ownership), a regisztrációs adatbázisban korlátlan úr, más - a hálózatból elérhető gépeken - is jelentős befolyása lehet, a rendszerszintű korlátozások pedig nem érvényesülhetnek erre a fiókra. Mindezen jellemzők miatt a szolgáltatások szeretnek az égisze alatt futni (ki nem szereti a teljhatalmat). Egy Windows Server 2003-ban körülbelül az összes szerviz 80%-a teszi ezt. Ebben a cikkben a következőket emeljük ki (továbbra is csak a Windows Server 2003 Standard verziójának alapértelmezett telepítés során felkerülő szolgáltatásokat figyelembe véve):

• Cryptographic Services
• Distributed File System
• Distributed Link Tracking Client
• Distributed Link Tracking Server
• Error Reporting Service
• Event Log
• File Replication Service
• Help and Support
• HTTP SSL
• Human Interface Device Access
• IMAPI CD-Burning COM Service
• Indexing Service
• Internet Connection Firewall / Internet Connection Sharing Service
• Intersite Messaging

Cryptographic Services (Kriptográfiai szolgáltatások)

• A szerviz rövid neve: CryptSvc
• Az alkalmazás neve: cryptsvc.dll (svchost.exe)
• Függés: Remote Procedure Call
• Függesztés: -
• Porthasználat: -
• Alapértelmezett indítás: automatikus

Bár könnyű lenne, semmiképp ne keverjük a fenti szervizt a Tanúsítványszolgáltatással, amely csak a telepítése után jelenik meg a szervizek között. Ez a szolgáltatás viszont alapértelmezés szerint megtalálható és három területen is kiszolgál bennünket, minden Windows Server 2003-ban és Windows XP-ben.

• Catalog Database Service, amely kezeli az operációs rendszer digitálisan aláírt állományait. Ezzel a komponenssel működik együtt pl. a Windows File Protection (WFP), vagy a Driver Signing azaz a meghajtók digitális aláírás.
• Protected Root Service, amelyet az adott felhasználó a Trusted Root Certification Authority tanúsítványok hozzáadására illetve eltávolítására tud használni. A PRS megmutathatja például egy webszerver tanúsítvány nevét és "képét", majd ha elfogadjuk, akkor az ezt a tanúsítványt kibocsátó CA gyökértanúsítványa bekerülhet a saját Trusted Root Authorities listánkba. Ebbe a listába kizárólag csak a LocalSystem képes írni ezen a komponensen keresztül. Így ha ezt a szervizt leállítjuk ez a lehetőség megszűnik.
• Key Service, amely megengedi a rendszergazdáknak, hogy a helyi számítógépfiók nevében tanúsítványokat igényeljenek (enroll). Természetesen ezen kívül az igénylés apropóján több más opciót is nyújt ez a komponens, pl. a tanúsítványkiadók és a tanúsítvány sablonok listázását, a tanúsítvány igénylések elkészítését illetve beadását, mindezeket persze a helyi számítógépfiók vonatkozásában.

Ha ezt a szervizt leállítjuk vagy letiltjuk, akkor a korábban említett lehetőségen kívül nem fog menni a tanúsítvány igénylés sem bizonyos esetekben, valamint a Windows File Protection és az állományok, meghajtó-programok digitális aláírásának ellenőrzése is megbénul, így csak óvatosan közelítsük meg ezt a szolgáltatást!