禁用系统服务在本文开始,我讲述了很多有关减少系统中运行的代码的问题。实现这一目的的方法之一就是禁用那些额外的系统服务。很明显,这种方法并不具有一个普遍适用的系统服务列表 ,因为每个服务器的功能不同。不过别忘了,我们现在讲的是建立一个通用的安全基础策略,你可以根据每个服务器的不同角色在稍后的服务器角色规则中重新启用一些所需的服 务。
通过组策略编辑器,在Computer Configuration | Windows Settings | Security Settings | System Services中,你可以配置每个系统服务的状态。在选择System Services容 器后,右侧会列出所有系统服务的详细列表。你可以对每个服务的启动模式进行设置。可供选择的启动模式包括:自动/手动/禁用。
如果某个服务的启动模式被设置为自动,那么该服务会在系统启动时同时启动。为了让Windows的系统功能能够正常运作,有些服务必须要设置为自动运行。
另一些服务可能有时会用到,但并不是随时需要。你可以设置这些服务的启动模式为手动。虽然说是手动,但是你并不需要真的手动运行这些服务。手动的意思是指当Windows需要 这些服务运行时,这些服务才会运行,而不是随系统启动而自动启动。
最后一种启动模式是禁用。如果你禁用了某个服务,那么Windows在任何情况下也不会运行该服务。就算你试图手动运行该服务,也是一样的结果,除非你重新修改这个服务的启动 模式。
在讨论过三种不同的系统服务启动模式后,我在下面列出了系统服务启动模式配置的推荐表:
Alerter 禁用
Application Management 禁用
自动 Updates 自动
Background Intelligent Transfer Service 手动
Clipbook 禁用
COM+ Event System 手动
Computer Browser 自动
DHCP Client 自动
Distributed File System 禁用
Distributed Link Tracking Client 自动
A distributed Transaction Coordinator 禁用
DNS Client 自动
Event Log 自动
Indexing Service 禁用
IPSec Service 自动
License Logging 禁用
Logical Disk Manager 自动
Logical Disk Manager Administrative Service 手动
Messenger 禁用
Net Logon 自动
NetMeeting Remote Desktop Sharing 禁用
Network Connections 手动
Network DDE 禁用
Network DDE DSDM 禁用
NT LM Security Support Provider 手动
Performance Logs And Alerts 手动
Plug And Play 自动
Print Spooler 禁用
Protected Storage 自动
Remote Access Auto Connection Manager 禁用
Remote Access Connection Manager 禁用
Remote Procedure Call 自动
Remote Registry 自动
Removable Storage 禁用
Routing and Remote Access 禁用
Secondary Logon 禁用
Security Accounts Manager 自动
Server 自动
Smart Card 禁用
System Event Notification 自动
Task Scheduler 禁用
TCP/IP NetBIOS Helper 自动
Telephony 禁用
Terminal Services 手动
Telnet 禁用
Uninterruptible Power Supply 禁用
Windows Installer 手动
Windows Management Instrumentation 自动
Windows Management Instrumentation Driver Extensions 手动
Windows Time 自动
Workstation 自动
在建立这一策略时,有两点是你必须牢记的。首先,我敢肯定,在你的组策略编辑器列出的服务项目中,肯定有一些是我上面没有提到的。出现这一问题是由于很多软件都会安装 自己所需的服务。这些新安装的服务也会列在组策略编辑器中。我的建议是,如果你看到一个服务并没有出现在我上面的列表中,那么就保持它的现有启动状态好了。
第二点需要注意的是,如果你还没有准备好建立基于角色的策略,那么就不要建立本策略。之所以这么说是因为,我上面列出的某些策略并不具有通用性。比如你也许注意到我将 Distributed File System服务设置为禁用了。如果你正巧有一台依靠Distributed File System服务工作的文件服务器,那么禁用Distributed File System服务会导致服务器功能 出现问题。还有其它一些服务的设置也不具有普遍性。
你需要记住,我上面列出的服务设置列表是将那些对全局来说没有必要性的服务都设置为禁用的。这并不意味着那些服务在你的某个服务器上就必须是禁用。这就是为什么你必须 先准备好建立基于角色的策略,才能考虑我上面推荐的服务启动模式设置列表。
(责任编辑:陈毅东)
查看本文的国际来源