Systemdienste (sec-services)
Überwacht Systemdienste auf Änderungen, unerwartete neue Dienste und fehlgeschlagene Auto-Start-Dienste.
Konfiguration
| Parameter | Typ | Default | Beschreibung |
|---|---|---|---|
enabled | bool | true | Modul aktivieren/deaktivieren |
ignore_service_patterns | list | ["user@*", "session-*"] | Dienste ignorieren, die diesen Mustern entsprechen |
check_failed | bool | true | Fehlgeschlagene Auto-Start-Dienste melden |
YAML-Beispiel
sec_services:
enabled: true
ignore_service_patterns:
- "user@*"
- "session-*"
- "snap.*"
check_failed: trueDiagnose-Codes
Linux
| Code | Severity | Bedeutung | Empfehlung |
|---|---|---|---|
| 7200 | 0 | Keine Auffälligkeiten bei Systemd-Diensten | — |
| 7201 | 1 | Neue Service-Datei (nicht aus Paket) | Herkunft prüfen |
| 7202 | 1 | Service-Datei verändert | Änderung verifizieren |
| 7204 | 2 | Auto-Start-Dienst fehlgeschlagen | systemctl status prüfen |
Windows
| Code | Severity | Bedeutung | Empfehlung |
|---|---|---|---|
| 8200 | 0 | Keine Auffälligkeiten bei Diensten | — |
| 8201 | 1 | Neuer Auto-Start-Dienst erkannt | Herkunft prüfen |
| 8202 | 1 | Auto-Start-Dienst gestoppt | Dienst starten oder deaktivieren |
| 8203 | 1 | Dienst läuft unter ungewöhnlichem Konto | Dienstkonto prüfen |
| 8204 | 1 | Dienst aus Baseline entfernt | Entfernung verifizieren |
Plattform-Unterstützung
- Linux: Analysiert Systemd-Unit-Dateien, vergleicht mit Paketmanager-Herkunft.
- Windows: Prüft Windows-Dienste über
sc queryund WMI.