- 2012-11-01 13:23:23
??? 任何網絡服務的安裝的提供都是建立在系統服務的基礎上的,因此做好系統服務安全是系統安全和網絡安全的重要環節。任何服務都可能存在漏洞,但乜可能“因噎廢食”,最佳方案就是通過一切可行方法,確保系統服務的安全.如禁用非必要服務、設置服務訪問權限等。
一、系統服務配置注意事項
配置系統服務時應注意以下事項:
1、根據服務的描述以及業務的需求,確定是否使用此服務;
2、具體每個服務的內容和功能,請參考微軟的說明和咨詢業內安全專家;
3、禁止或者設置成手動啟動的方式處理系統非必須的服務;
4、如對系統可能適成的影響不了解,在測試環境中測試驗證通過以后,再在應用環境中部署;
5、對于安裝應用程序同步安裝的服務,如無必要,應將其關閉。
依次選擇“開始--管理工具--服務”命令,打開“服務”控制臺窗口,顯示本地計算機中所有的服務。
??? 系統服務的處理不同于其他設置,因為所有服務的漏洞、對策及潛在影響在本質上都一樣。安裝Windows Server 2008操作系統時,系統將在啟動時創建并配置默認服務。有些服務在組織環境中并不需要,但仍在Windows中被啟用,來確保應用程序或客戶端兼容或輔助進行系統管理。
二、服務
服務僅在登錄到某一賬戶的情況下才能訪問操作系統中的資源和對象,大多數的服務都不更改默認的登錄賬戶,更改默認賬戶可能導致服務失敗,如果選定賬戶沒有登錄計算機服務的權限,Microsoft 管理控制臺的服務管理單元將自動為該賬戶授予登錄服務的用戶權限,但并不一定會啟動服務。Windows Server 2008與Windows Server 2003 相同,系統包括3個內置的本地賬戶,分別用作各系統服務的登錄賬戶。
?? (1)本地系統賬戶
本地系統賬戶功能強大,它可對本地系統進行完全訪問,并為網絡中的計算機提供服務。有些服務的默認配置實用的是“本地系統”賬戶,則不需要更改默認服務設置。本地系統賬戶名稱是LocalSystem,沒有密碼設置。
?? (2)本地服務賬戶
本地服務賬戶是一種特殊的內置賬戶,類似于經過身份驗證的用戶賬號。就訪問的資源的對象而言,“本地服務”賬戶與“Users”組成員權限等同。這種權限性訪問有助于在個別服務或進程受損時保障系統安全,以“本地服務”賬戶運行的服務使用有匿名憑據的空會話來訪問網絡資源,賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。
?? (3)網絡服務賬戶
網絡服務賬戶也是一種特殊的內置賬戶,類似于經身份驗證的用戶賬戶,就訪問的資源的對象而言,“網絡服務”賬戶與“Users”組成員權限等同。這種限制性訪問有助于個別服務或進程受損時保障系統安全,以“網絡服務”賬戶運行的服務可使用計算機賬戶的憑據來訪問網絡資源。賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。
注意:如果更改默認服務設置,重要的服務可能無法正常運行。最重要的是,更改啟動類型一定要謹慎,要使用配置了自動啟動服務的設置來登錄。
三、漏洞
任何服務或應用程序都是潛在的攻擊點,因此,必須禁用或刪除系統環境中不需要的服務或可執行文件,或者直接刪除閑置的網絡服務。
注意:如果啟用附加服務,則會因依賴關系而要求用時啟動其他服務。首先明確在組織中執行任何的服務器角色,然后將特定服務器角色所必需的所有服務添加到策略中。
四、對策
系統服務中的“策略”可以有以下4種設置方式:
1、自動??? 2、手動?? 3、禁用?? 4、未定義
對于所有不必要的服務應當禁用。此外,還可以通過配置用戶定義賬戶列表的訪問控制列表(ACL),編輯服務安全性。
五、潛在影響
雖然禁用不必要的服務可以減少系統資源的占用以及系統漏洞,但有些服務(如 Security Accounts Manager)禁用后將導致系統無法引導,禁用一些關鍵服務可能使計算機無法通過域控制器的身份驗證。因此,為安全起見,在禁用系統服務前應先在測試環境中測試。
注意:管理員還可以選擇“計算機配置--windows設置--安全設置--系統服務”選項,在打開的“組策略對象編輯器”中配置“系統服務”設置。
