IDC百科
安全防護
如何實現(xiàn)系統(tǒng)服務安全
2012-11-01 13:23:23
摘要:任何網(wǎng)絡服務的安裝的提供都是建立在系統(tǒng)服務的基礎(chǔ)上的,因此做好系統(tǒng)服務安全是系統(tǒng)安全和網(wǎng)絡安全的重要環(huán)節(jié)。任何服務都可能存在漏洞,但乜可能“因噎廢食”,最佳方案就是通過一切可行方法,確保系統(tǒng)服務的安全.如禁用非必要服務、設置服務訪問權(quán)限等。

??? 任何網(wǎng)絡服務的安裝的提供都是建立在系統(tǒng)服務的基礎(chǔ)上的,因此做好系統(tǒng)服務安全是系統(tǒng)安全和網(wǎng)絡安全的重要環(huán)節(jié)。任何服務都可能存在漏洞,但乜可能“因噎廢食”,最佳方案就是通過一切可行方法,確保系統(tǒng)服務的安全.如禁用非必要服務、設置服務訪問權(quán)限等。

一、系統(tǒng)服務配置注意事項
 配置系統(tǒng)服務時應注意以下事項:
1、根據(jù)服務的描述以及業(yè)務的需求,確定是否使用此服務;
2、具體每個服務的內(nèi)容和功能,請參考微軟的說明和咨詢業(yè)內(nèi)安全專家;
3、禁止或者設置成手動啟動的方式處理系統(tǒng)非必須的服務;
4、如對系統(tǒng)可能適成的影響不了解,在測試環(huán)境中測試驗證通過以后,再在應用環(huán)境中部署;
5、對于安裝應用程序同步安裝的服務,如無必要,應將其關(guān)閉。

依次選擇“開始--管理工具--服務”命令,打開“服務”控制臺窗口,顯示本地計算機中所有的服務。

??? 系統(tǒng)服務的處理不同于其他設置,因為所有服務的漏洞、對策及潛在影響在本質(zhì)上都一樣。安裝Windows Server 2008操作系統(tǒng)時,系統(tǒng)將在啟動時創(chuàng)建并配置默認服務。有些服務在組織環(huán)境中并不需要,但仍在Windows中被啟用,來確保應用程序或客戶端兼容或輔助進行系統(tǒng)管理。

二、服務
 服務僅在登錄到某一賬戶的情況下才能訪問操作系統(tǒng)中的資源和對象,大多數(shù)的服務都不更改默認的登錄賬戶,更改默認賬戶可能導致服務失敗,如果選定賬戶沒有登錄計算機服務的權(quán)限,Microsoft 管理控制臺的服務管理單元將自動為該賬戶授予登錄服務的用戶權(quán)限,但并不一定會啟動服務。Windows Server 2008與Windows Server 2003 相同,系統(tǒng)包括3個內(nèi)置的本地賬戶,分別用作各系統(tǒng)服務的登錄賬戶。

?? (1)本地系統(tǒng)賬戶
本地系統(tǒng)賬戶功能強大,它可對本地系統(tǒng)進行完全訪問,并為網(wǎng)絡中的計算機提供服務。有些服務的默認配置實用的是“本地系統(tǒng)”賬戶,則不需要更改默認服務設置。本地系統(tǒng)賬戶名稱是LocalSystem,沒有密碼設置。

?? (2)本地服務賬戶
本地服務賬戶是一種特殊的內(nèi)置賬戶,類似于經(jīng)過身份驗證的用戶賬號。就訪問的資源的對象而言,“本地服務”賬戶與“Users”組成員權(quán)限等同。這種權(quán)限性訪問有助于在個別服務或進程受損時保障系統(tǒng)安全,以“本地服務”賬戶運行的服務使用有匿名憑據(jù)的空會話來訪問網(wǎng)絡資源,賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。

?? (3)網(wǎng)絡服務賬戶
網(wǎng)絡服務賬戶也是一種特殊的內(nèi)置賬戶,類似于經(jīng)身份驗證的用戶賬戶,就訪問的資源的對象而言,“網(wǎng)絡服務”賬戶與“Users”組成員權(quán)限等同。這種限制性訪問有助于個別服務或進程受損時保障系統(tǒng)安全,以“網(wǎng)絡服務”賬戶運行的服務可使用計算機賬戶的憑據(jù)來訪問網(wǎng)絡資源。賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。
注意:如果更改默認服務設置,重要的服務可能無法正常運行。最重要的是,更改啟動類型一定要謹慎,要使用配置了自動啟動服務的設置來登錄。

三、漏洞
 任何服務或應用程序都是潛在的攻擊點,因此,必須禁用或刪除系統(tǒng)環(huán)境中不需要的服務或可執(zhí)行文件,或者直接刪除閑置的網(wǎng)絡服務。
注意:如果啟用附加服務,則會因依賴關(guān)系而要求用時啟動其他服務。首先明確在組織中執(zhí)行任何的服務器角色,然后將特定服務器角色所必需的所有服務添加到策略中。

四、對策
 系統(tǒng)服務中的“策略”可以有以下4種設置方式:
1、自動??? 2、手動?? 3、禁用?? 4、未定義
對于所有不必要的服務應當禁用。此外,還可以通過配置用戶定義賬戶列表的訪問控制列表(ACL),編輯服務安全性。

五、潛在影響
 雖然禁用不必要的服務可以減少系統(tǒng)資源的占用以及系統(tǒng)漏洞,但有些服務(如 Security Accounts Manager)禁用后將導致系統(tǒng)無法引導,禁用一些關(guān)鍵服務可能使計算機無法通過域控制器的身份驗證。因此,為安全起見,在禁用系統(tǒng)服務前應先在測試環(huán)境中測試。
注意:管理員還可以選擇“計算機配置--windows設置--安全設置--系統(tǒng)服務”選項,在打開的“組策略對象編輯器”中配置“系統(tǒng)服務”設置。

USA-IDC為您提供免備案服務器 0元試用
立即聯(lián)系在線客服,即可申請免費產(chǎn)品試用服務
立即申請