实施基于角色的安全系统

禁用系统服务
在本文开始，我讲述了很多有关减少系统中运行的代码的问题。实现这一目的的方法之一就是禁用那些额外的系统服务。很明显，这种方法并不具有一个普遍适用的系统服务列表 ，因为每个服务器的功能不同。不过别忘了，我们现在讲的是建立一个通用的安全基础策略，你可以根据每个服务器的不同角色在稍后的服务器角色规则中重新启用一些所需的服 务。

通过组策略编辑器，在Computer Configuration | Windows Settings | Security Settings | System Services中，你可以配置每个系统服务的状态。在选择System Services容 器后，右侧会列出所有系统服务的详细列表。你可以对每个服务的启动模式进行设置。可供选择的启动模式包括：自动/手动/禁用。

如果某个服务的启动模式被设置为自动，那么该服务会在系统启动时同时启动。为了让Windows的系统功能能够正常运作，有些服务必须要设置为自动运行。

另一些服务可能有时会用到，但并不是随时需要。你可以设置这些服务的启动模式为手动。虽然说是手动，但是你并不需要真的手动运行这些服务。手动的意思是指当Windows需要 这些服务运行时，这些服务才会运行，而不是随系统启动而自动启动。

最后一种启动模式是禁用。如果你禁用了某个服务，那么Windows在任何情况下也不会运行该服务。就算你试图手动运行该服务，也是一样的结果，除非你重新修改这个服务的启动 模式。

在讨论过三种不同的系统服务启动模式后，我在下面列出了系统服务启动模式配置的推荐表：

Alerter 禁用

Application Management 禁用

自动 Updates 自动

Background Intelligent Transfer Service 手动

Clipbook 禁用

COM+ Event System 手动

Computer Browser 自动

DHCP Client 自动

Distributed File System 禁用

Distributed Link Tracking Client 自动

A distributed Transaction Coordinator 禁用

DNS Client 自动

Event Log 自动

Indexing Service 禁用

IPSec Service 自动

License Logging 禁用

Logical Disk Manager 自动

Logical Disk Manager Administrative Service 手动

Messenger 禁用

Net Logon 自动

NetMeeting Remote Desktop Sharing 禁用

Network Connections 手动

Network DDE 禁用

Network DDE DSDM 禁用

NT LM Security Support Provider 手动

Performance Logs And Alerts 手动

Plug And Play 自动

Print Spooler 禁用

Protected Storage 自动

Remote Access Auto Connection Manager 禁用

Remote Access Connection Manager 禁用

Remote Procedure Call 自动

Remote Registry 自动

Removable Storage 禁用

Routing and Remote Access 禁用

Secondary Logon 禁用

Security Accounts Manager 自动

Server 自动

Smart Card 禁用

System Event Notification 自动

Task Scheduler 禁用

TCP/IP NetBIOS Helper 自动

Telephony 禁用

Terminal Services 手动

Telnet 禁用

Uninterruptible Power Supply 禁用

Windows Installer 手动

Windows Management Instrumentation 自动

Windows Management Instrumentation Driver Extensions 手动

Windows Time 自动

Workstation 自动

在建立这一策略时，有两点是你必须牢记的。首先，我敢肯定，在你的组策略编辑器列出的服务项目中，肯定有一些是我上面没有提到的。出现这一问题是由于很多软件都会安装 自己所需的服务。这些新安装的服务也会列在组策略编辑器中。我的建议是，如果你看到一个服务并没有出现在我上面的列表中，那么就保持它的现有启动状态好了。

第二点需要注意的是，如果你还没有准备好建立基于角色的策略，那么就不要建立本策略。之所以这么说是因为，我上面列出的某些策略并不具有通用性。比如你也许注意到我将 Distributed File System服务设置为禁用了。如果你正巧有一台依靠Distributed File System服务工作的文件服务器，那么禁用Distributed File System服务会导致服务器功能 出现问题。还有其它一些服务的设置也不具有普遍性。

你需要记住，我上面列出的服务设置列表是将那些对全局来说没有必要性的服务都设置为禁用的。这并不意味着那些服务在你的某个服务器上就必须是禁用。这就是为什么你必须 先准备好建立基于角色的策略，才能考虑我上面推荐的服务启动模式设置列表。

（责任编辑:陈毅东）

查看本文的国际来源