任何网络服务的安装的提供都是建立在系统服务的基础上的,因此做好系统服务安全是系统安全和网络安全的重要环节。任何服务都可能存在漏洞,但乜可能“因噎废食”,最佳方案就是通过一切可行方法,确保系统服务的安全.如禁用非必要服务、设置服务访问权限等。
一、系统服务配置注意事项
配置系统服务时应注意以下事项:
1、根据服务的描述以及业务的需求,确定是否使用此服务;
2、具体每个服务的内容和功能,请参考微软的说明和咨询业内安全专家;
3、禁止或者设置成手动启动的方式处理系统非必须的服务;
4、如对系统可能适成的影响不了解,在测试环境中测试验证通过以后,再在应用环境中部署;
5、对于安装应用程序同步安装的服务,如无必要,应将其关闭。
依次选择“开始--管理工具--服务”命令,打开“服务”控制台窗口,显示本地计算机中所有的服务。
系统服务的处理不同于其他设置,因为所有服务的漏洞、对策及潜在影响在本质上都一样。安装Windows Server 2008操作系统时,系统将在启动时创建并配置默认服务。有些服务在组织环境中并不需要,但仍在Windows中被启用,来确保应用程序或客户端兼容或辅助进行系统管理。
二、服务
服务仅在登录到某一账户的情况下才能访问操作系统中的资源和对象,大多数的服务都不更改默认的登录账户,更改默认账户可能导致服务失败,如果选定账户没有登录计算机服务的权限,Microsoft 管理控制台的服务管理单元将自动为该账户授予登录服务的用户权限,但并不一定会启动服务。Windows Server 2008与Windows Server 2003 相同,系统包括3个内置的本地账户,分别用作各系统服务的登录账户。
(1)本地系统账户
本地系统账户功能强大,它可对本地系统进行完全访问,并为网络中的计算机提供服务。有些服务的默认配置实用的是“本地系统”账户,则不需要更改默认服务设置。本地系统账户名称是LocalSystem,没有密码设置。
(2)本地服务账户
本地服务账户是一种特殊的内置账户,类似于经过身份验证的用户账号。就访问的资源的对象而言,“本地服务”账户与“Users”组成员权限等同。这种权限性访问有助于在个别服务或进程受损时保障系统安全,以“本地服务”账户运行的服务使用有匿名凭据的空会话来访问网络资源,账户名称为NTAUTHORIT/LocalService,该账户没有密码。
(3)网络服务账户
网络服务账户也是一种特殊的内置账户,类似于经身份验证的用户账户,就访问的资源的对象而言,“网络服务”账户与“Users”组成员权限等同。这种限制性访问有助于个别服务或进程受损时保障系统安全,以“网络服务”账户运行的服务可使用计算机账户的凭据来访问网络资源。账户名称为NTAUTHORIT/LocalService,该账户没有密码。
注意:如果更改默认服务设置,重要的服务可能无法正常运行。最重要的是,更改启动类型一定要谨慎,要使用配置了自动启动服务的设置来登录。
三、漏洞
任何服务或应用程序都是潜在的攻击点,因此,必须禁用或删除系统环境中不需要的服务或可执行文件,或者直接删除闲置的网络服务。
注意:如果启用附加服务,则会因依赖关系而要求用时启动其他服务。首先明确在组织中执行任何的服务器角色,然后将特定服务器角色所必需的所有服务添加到策略中。
四、对策
系统服务中的“策略”可以有以下4种设置方式:
1、自动 2、手动 3、禁用 4、未定义
对于所有不必要的服务应当禁用。此外,还可以通过配置用户定义账户列表的访问控制列表(ACL),编辑服务安全性。
五、潜在影响
虽然禁用不必要的服务可以减少系统资源的占用以及系统漏洞,但有些服务(如 Security Accounts Manager)禁用后将导致系统无法引导,禁用一些关键服务可能使计算机无法通过域控制器的身份验证。因此,为安全起见,在禁用系统服务前应先在测试环境中测试。
注意:管理员还可以选择“计算机配置--windows设置--安全设置--系统服务”选项,在打开的“组策略对象编辑器”中配置“系统服务”设置。