windows2003服务详解.doc

Windows 2003 服务详解 简介 ? 系统服务的处理不同于其他设置，因为所有服务的漏洞、对策及潜在影响在本质上都一样。第一次安装 Microsoft Windows Server 2003 时，系统将在启动时创建并配置默认服务。有些服务在组织环境中并不需要，但仍在 Windows Server 2003 中被启用来确保应用程序或客户端兼容或辅助进行系统管理。 ? 服务概述 ? 服务仅在登录到某一帐户的情况下才能访问操作系统中的资源和对象。大多数的服务都不更改默认的登录帐户。更改默认帐户可能导致服务失败。如果选定帐户没有登录服务的权限，Microsoft 管理控制台 (MMC) 的服务管理单元将自动为该帐户授予登录所管理计算机中服务的用户权限。但这并不保证启动服务。Windows Server 2003 包括三个内置的本地帐户，分别用作各系统服务的登录帐户： ? ???????? 本地系统帐户：本地系统帐户功能强大，它可对系统进行完全访问，并作为网络中的计算机工作。如果某服务登录到域控制器的“本地系统”帐户，则该服务可访问整个域。有些服务的默认配置是登录到“本地系统”帐户。不要更改默认服务设置。帐户名称是 LocalSystem。该帐户没有密码。 ???????? 本地服务帐户：本地服务帐户是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“本地服务”帐户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“本地服务”帐户运行的服务使用有匿名凭据的空会话来访问网络资源。帐户名称是 NT AUTHORITY\LocalService。该帐户没有密码。 ???????? 网络服务帐户：网络服务帐户也是一种特殊的内置帐户，类似于经身份验证的用户帐户。就访问的资源的对象而言，“网络服务”帐户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以“网络服务”帐户运行的服务可使用计算机帐户的凭据来访问网络资源。帐户名称是 NT AUTHORITY\NetworkService。该帐户没有密码。 ? 要点：如果更改默认服务设置，重要的服务可能无法正常运行。最重要的是，更改启动类型一定要谨慎，要使用配置了自动启动服务的设置来登录。 ? 漏洞 ? 任何服务或应用程序都是潜在的攻击点。因此，必须禁用或删除系统环境中不需要的服务或可执行文件。Windows Server 2003 的一些附加可选服务（如证书服务）在 Windows Server 2003 默认安装中不安装。 ? 可将这些可选服务添加至现有系统，方法是使用“控制面版”中的“添加/删除程序”、“Windows Server 2003 配置服务器向导”或创建 Windows Server 2003 的自定义自动安装。在“成员服务器基准策略”(MSBP) 中，这些可选服务以及所有不必要的服务都被禁用。 ? 要点：如果启用附加服务，它们反过来会因依赖关系而要求提供其他服务。首先明确在组织中执行任务的服务器角色，然后将特定服务器角色所必需的所有服务添加到策略中。 ? 对策 ? 禁用所有不必要的服务。 ? 这些“组策略”设置的可能值是： ???????? 自动 ???????? 手动 ???????? 禁用 ???????? 未定义 ? 此外，还可通过配置用户定义帐户列表的访问控制列表 (ACL) 来编辑服务安全性。 ? 潜在影响 ? 禁用某些服务（如 Security Accounts Manager）将导致系统无法引导。禁用其他关键服务可能使计算机无法通过域控制器的身份验证。如果要禁用系统的服务，请先在非生产系统中测试。 ? 您可在“组策略对象编辑器”的下列位置配置“系统服务”设置： 计算机配置\Windows 设置\安全设置\系统服务\ ? 服务说明 ? 本节按字母顺序描述了 Windows Server 2003 服务。内容包括默认安装的服务和可添加到系统中的附加服务。 ? .NET Framework 支持服务 ? 如果特定进程要初始化客户端运行时服务，.NET Framework 支持服务将通知订阅客户端。.NET Framework 支持服务可提供运行时环境（称作“公共语言运行库”(CLR)），它负责管理代码的执行并提供使开发过程更简化的服务。编译程序和工具可展示运行时的功能，您可编写受益于这种托管执行环境的代码。CLR 允许您设计组件和应用程序，其中的对象可跨语言交互。使用其他语言编写的对象可相互通信，它们的操作行为可紧密集成。 ? 如果停止或禁用该服务，客户端将无法接收 CLR 启动的通知。 ? ASP .NET 状态服务 ? ASP .NET 状态服务为 A