新建服务

当操作系统启动时，它们会启动称为服务的程序或软件，这些程序和软件执行后台系统功能。服务的配置信息，包括服务的可执行文件路径，都存储在 Windows 注册表中。 攻击者可以安装新的服务，通过使用实用程序与服务交互或直接修改注册表来配置该服务，使其在启动时执行。服务名称可以使用相关操作系统的名称或伪装的良性软件的名称来伪装。服务可以由管理员创建，但在 SYSTEM 权限下执行，因此攻击者也可以利用服务将权限从管理员提升到 SYSTEM。攻击者也可以通过服务执行（Service Execution）直接启动服务。

缓解

限制用户帐户的权限并修复提权（Privilege Escalation）向量，只有授权管理员才能创建新服务。 在适当的情况下使用诸如 AppLocker 或软件限制策略等白名单工具来识别和拦截可能用于创建服务的不必要的系统实用程序或潜在的恶意软件 。

检测

利用注册表的更改和通过命令行调用的公共实用程序来监视服务的创建。创建新服务可能会产生可更改的事件（例如： 事件 ID4697 和/或 7045)。在安装新软件时，可以创建新的良性服务。­不应孤立地看待数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如用于命令与控制的网络连接、通过披露了解环境细节以及横向移动。 诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的系统更改。 查找与已知软件、补丁周期等无关的服务更改。当以前与历史数据进行比较时，通过服务执行的可疑程序可能会显示为未见过的异常进程。 监视可以创建服务的进程和命令行参数的操作。具有内置功能的远程访问工具可以直接与 Windows API 交互，以在典型的系统实用程序外执行这些功能。还可以通过 Windows 系统管理工具（如 Windows 管理规范和 PowerShell) 创建服务，因此可能需要配置额外的日志以收集适当的数据。