第1页共66页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共66页系统服务更新日期:2006年07月17日系统服务的介绍方式不同于本指南中的其他设置,因为所有服务的漏洞、对策及潜在影响的说明几乎都相同。首次安装Microsoft®WindowsServer™2003或MicrosoftWindows®XP时,某些服务被安装和配置为在计算机启动时默认运行。其默认服务与Windows2000Server中的相比要少一些,对于WindowsServer2003来说,某些特定服务将依照分配给每个服务器的角色而相应改变。在您的环境中,可能并不需要所有的默认服务,应将任何不需要的服务禁用以增强安全性。本章将帮助您了解每项服务的功能和目的,并解释了哪些服务在WindowsServer2003和WindowsXP中保持启用,以确保应用程序兼容性、客户端兼容性,或者便于计算机系统的管理。MicrosoftExcel®工作簿“Windows默认安全和服务配置”(本指南的可下载版本附带)说明了默认系统服务设置。本页内容第2页共66页第1页共66页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共66页服务概述服务必须登录才能访问操作系统中的资源和对象,并且大多数服务都没有被设计为更改其默认登录帐户。如果更改默认帐户,该服务很可能将失败。如果选定帐户没有作为服务登录的权限,Microsoft管理控制台(MMC)服务管理单元将自动为该帐户授予在计算机上作为服务登录的能力。但是,此自动配置并不能保证启动服务。WindowsServer2003包括三个内置的本地帐户,分别用作各系统服务的登录帐户:•本地系统帐户。本地系统帐户功能强大,它可对计算机进行完全访问,并作为网络中的计算机工作。如果某项服务使用本地系统帐户登录到域控制器,则该服务可访问整个域。某些服务被默认配置为使用本地系统帐户,不应更改。本地系统帐户没有用户访问密码。•本地服务帐户。本地服务帐户是一种特殊的内置帐户,类似于经身份验证的用户帐户。它与Users组的成员具有相同级别的资源和对象访问权限。这种限制性访问有助于在个别服务或进程受损时保障计算机安全。使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。此帐户的名称为NTAUTHORITY\LocalService,它没有用户访问密码。•网络服务帐户。网络服务帐户也是一种特殊的内置帐户,类似于经身份验证的用户帐户。类似于本地服务帐户,它与Users组的成员也具有相同级别的资源和对象访问权限,能够帮助保障计算机安全。使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。此帐户的名称为NTAUTHORITY\NetworkService,它没有用户访问密码。重要:如果更改默认的服务设置,重要服务可能不能正常运行。如果更改配置为自动启动的服务的“启动类型”和“登录为”设置,务必要小心谨慎,这一点特别重要。您可以在组策略对象编辑器的下列位置配置系统服务设置:计算机配置\Windows设置\安全设置\系统服务\漏洞任何服务或应用程序都是潜在的攻击点。因此,应该禁用或删除环境中任何不需要的服务或可执行文件。WindowsServer2003有一些附加可选服务(如CertificateServices),它们不在操作系统的默认安装过程中安装。第3页共66页第2页共66页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共66页重要:如果启用附加服务,它们可能依赖于其他服务。将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。对策禁用所有不必要的服务。对于每项系统服务,都可以通过组策略为其分配一种服务状态。这些组策略设置的可能值为:•自动•手动•已禁用•没有定义管理服务安全性的另一种方式是,配置一个每项服务都具有用户定义的帐户列表的访问控制列表(ACL)。此方法提供了一种控制服务的启动和对正在运行的服务进行访问的方式。潜在影响如果某些服务(如安全帐户管理器)被禁用,将不能重新启动计算机。如果其他关键服务被禁用,计算机可能不能向域控制器验证身份。如果您想要禁用某些系统服务,应先在非生产计算机上测试该设置更改的影响,然后才在生产环境中进行更改。不要在服务对象上设置权限有一些基于图形用户界面(GUI)的工具可用于编辑服...
