资源预览内容
第1页 / 共66页
第2页 / 共66页
第3页 / 共66页
第4页 / 共66页
第5页 / 共66页
第6页 / 共66页
第7页 / 共66页
第8页 / 共66页
第9页 / 共66页
第10页 / 共66页
亲,该文档总共66页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
系统服务更新日期: 2006年07月17日系统服务的介绍方式不同于本指南中的其他设置,因为所有服务的漏洞、对策及潜在影响的说明几乎都相同。首次安装 Microsoft Windows Server 2003 或 Microsoft Windows XP 时,某些服务被安装和配置为在计算机启动时默认运行。其默认服务与 Windows 2000 Server 中的相比要少一些,对于 Windows Server 2003 来说,某些特定服务将依照分配给每个服务器的角色而相应改变。在您的环境中,可能并不需要所有的默认服务,应将任何不需要的服务禁用以增强安全性。本章将帮助您了解每项服务的功能和目的,并解释了哪些服务在 WindowsServer2003 和 WindowsXP 中保持启用,以确保应用程序兼容性、客户端兼容性,或者便于计算机系统的管理。Microsoft Excel 工作簿“Windows 默认安全和服务配置”(本指南的可下载版本附带)说明了默认系统服务设置。本页内容服务概述服务必须登录才能访问操作系统中的资源和对象,并且大多数服务都没有被设计为更改其默认登录帐户。如果更改默认帐户,该服务很可能将失败。如果选定帐户没有作为服务登录的权限,Microsoft 管理控制台 (MMC) 服务管理单元将自动为该帐户授予在计算机上作为服务登录的能力。但是,此自动配置并不能保证启动服务。Windows Server 2003 包括三个内置的本地帐户,分别用作各系统服务的登录帐户:本地系统帐户。本地系统帐户功能强大,它可对计算机进行完全访问,并作为网络中的计算机工作。如果某项服务使用本地系统帐户登录到域控制器,则该服务可访问整个域。某些服务被默认配置为使用本地系统帐户,不应更改。本地系统帐户没有用户访问密码。本地服务帐户。本地服务帐户是一种特殊的内置帐户,类似于经身份验证的用户帐户。它与 Users 组的成员具有相同级别的资源和对象访问权限。这种限制性访问有助于在个别服务或进程受损时保障计算机安全。使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。此帐户的名称为 NT AUTHORITYLocal Service,它没有用户访问密码。网络服务帐户。网络服务帐户也是一种特殊的内置帐户,类似于经身份验证的用户帐户。类似于本地服务帐户,它与 Users 组的成员也具有相同级别的资源和对象访问权限,能够帮助保障计算机安全。使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。此帐户的名称为 NT AUTHORITYNetwork Service,它没有用户访问密码。重要:如果更改默认的服务设置,重要服务可能不能正常运行。如果更改配置为自动启动的服务的“启动类型”和“登录为”设置,务必要小心谨慎,这一点特别重要。您可以在组策略对象编辑器的下列位置配置系统服务设置:计算机配置Windows 设置安全设置系统服务漏洞任何服务或应用程序都是潜在的攻击点。因此,应该禁用或删除环境中任何不需要的服务或可执行文件。Windows Server 2003 有一些附加可选服务(如 Certificate Services),它们不在操作系统的默认安装过程中安装。这些可选服务可通过控制面板中的添加/删除程序或 Windows Server 2003 配置服务器向导添加到现有计算机。还可以创建自定义的 Windows Server 2003 自动化安装。在(网址为 http:/www.microsoft.com/china/technet/security/guidance/secmod117.mspx)内介绍的成员服务器基准策略 (MSBP) 中,这些可选服务和所有不必要的服务已被禁用。重要:如果启用附加服务,它们可能依赖于其他服务。将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。对策禁用所有不必要的服务。对于每项系统服务,都可以通过组策略为其分配一种服务状态。这些组策略设置的可能值为:自动手动已禁用没有定义管理服务安全性的另一种方式是,配置一个每项服务都具有用户定义的帐户列表的访问控制列表 (ACL)。此方法提供了一种控制服务的启动和对正在运行的服务进行访问的方式。潜在影响如果某些服务(如安全帐户管理器)被禁用,将不能重新启动计算机。如果其他关键服务被禁用,计算机可能不能向域控制器验证身份。如果您想要禁用某些系统服务,应先在非生产计算机上测试该设置更改的影响,然后才在生产环境中进行更改。 不要在服务对象上设置权限有一些基于图形用户界面 (GUI) 的工具可用于编辑服务。但是,Windows 操作系统早期版本(Windows Server 2003 之前)中包含的以前版本的这些工具可以在配置某项服务的任何属性时将权限自动应用于各项服务。如组策略对象编辑器和 MMC 安全模板管理单元等工具均使用安全配置编辑器 DLL 来应用这些权限。例如,当您使用 MMC 安全模板管理单元在 Windows XP 中配置服务的启动状态时,系统将显示以下对话框:图 7.1 服务安全性对话框不论是单击“确定”或是“取消”,权限都将应用到正被配置的服务。很抱歉,此对话框中列出的权限与 Windows 中包含的大多数服务的默认权限不匹配。事实上,这些权限会导致许多服务出现多种问题。Microsoft 建议不要更改 Windows XP 或 Windows Server 2003 中包含的服务的权限,因为默认权限的限制性已非常严格。此项功能在 Windows Server 2003 中已发生更改,且其安全配置编辑器 DLL 的版本不强制在编辑服务属性时必须配置权限。针对这种富有挑战性的情况,可以有多种不同的处理选择:使用安全配置向导,它是 Windows Server 2003 Service Pack 1 (SP1) 中包括的一个可选 Windows 组件。Microsoft 建议您在需要针对多种 Windows Server 2003 服务器角色配置服务和网络端口筛选器时,使用此方法。在运行 Windows Server 2003 SP1 的服务器上运行 MMC 安全模板管理单元和组策略对象编辑器。Microsoft 建议当您需要为将应用于 Windows XP 的安全模板或组策略配置服务时,使用此方法。使用文本编辑器(如记事本)在运行 Windows XP Professional 的计算机上编辑安全模板或组策略。此方法是最少用到的,但某些客户可能必要这样选择。下面部分将详细说明。手动编辑安全模板尽管可使用文本编辑器(如记事本)来手动编辑它们,但安全模板是很复杂的文件。如果未使用正确定义的模板规范来创建安全模板,可能会使计算机无法启动。尽管大多数类型的错误不会导致这类严重问题,但是如果需要手动编辑安全模板则必须小心并注意细节。当使用其中一种基于 GUI 的工具来配置安全模板时,配置信息存储在文件的“Service General Setting”部分。以下示例文本来自于某个安全模板,在此模板中 Alerter、ClipBook和 Computer Browser 服务的启动状态都已配置为“已禁用”,而 DHCP 客户端服务的启动状态都已配置为“自动”。Service General Setting Alerter,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) ClipSrv,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) Browser,4,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD) Dhcp,2,D:AR(A;CCDCLCSWRPWPDTLOCRSDRCWDWO;BA) (A;CCDCLCSWRPWPDTLOCRSDRCWDWO;SY)(A;CCLCSWLOCRRC;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;WD)每个条目的格式均包括以逗号分隔的三个字段。第一个字段指示服务名称。例如,ClipSrv 表示 ClipBook 服务。第二个字段定义启动状态:4 指定“已禁用”3 指定“手动”2 指定“自动”第三个字段以安全描述符定义语言 (SDDL) 定义服务对象的权限。使用安全配置向导并不必要理解 SDDL 的详细信息。有关 SDDL 的详细信息,请参阅 MSDN 上关于的文章,网址为 http:/msdn.microsoft.com/library/en-us/secauthz/security/security_descriptor_definition_language.asp。要解决服务对象的潜在权限问题,可以删除第三个字段中的 SDDL 字符串,但保留一对双引号标记。以下示例显示四项引用服务的正确文本:Service General Setting Alerter,4, ClipSrv,4, Browser,4, Dhcp,2,在删除安全模板中所有服务的 SDDL 信息后,保存文件。然后可以通过任何典型方法应用安全模板。当然,在将安全模板应用到生产计算机之前,对其进行充分测试是极其重要的。 系统服务描述下面各小节介绍了 Windows Server 2003 和 Windows XP 服务(按字母顺序)。包括默认安装的服务以及可添加到计算机的附加服务。注意:如果某项服务没有启动,则依赖于该服务的其他服务也将无法启动。因此,如果更改某项服务的状态,可能会影响其他看起来不相关的服务。这种依存关系存在于本部分介绍的所有服务中。要检查某项服务的依存关系,在 MMC 服务管理单元的服务属性对话框中单击“依存关系”选项卡。AlerterAlerter 服务通知选定的用户和计算机管理警报。可以使用此服务向连接在您的网络上的指定用户发送警报消息。警报消息可提醒用户与安全、访问和用户会话等相关的故障。警报消息从服务器发送到客户端计算机,Messenger 服务必须在客户端计算机上运行,用户才能接收警报消息。(默认情况下,Windows XP 和 Windows Server 2003 中的 Messenger 服务被禁用,以使恶意用户无法发送错误通知。)如果 Alerter 服务已关闭,使用 NetAlertRaise 或 NetAlertRaiseEx 应用程序编程接口 (API) 的应用程序将无法通过 Messenger 服务显示的消息框通知用户或计算机发生了管理警报。例如,很多不间断电源 (UPS) 管理工具使用 Alerter 服务向管理员通知与 UPS
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号