Windows 2003安全之强化堡垒主机(9)

　　终端服务

　　表 11.14：设置

　　“终端服务”提供了一个多会话环境，允许客户端设备访问一个虚拟的Windows桌面会话以及在服务器端运行Windows 程序。“终端服务”还允许用户对服务器进行远程管理。

　　停止或禁用“终端服务”将阻止用户对计算机的远程管理，使得计算机难于管理和更新。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“终端服务”设置被配置为“禁用”。

　　Windows Installer

　　表11.15：设置

　　Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则，来管理应用程序的安装和卸载。这些安装规则定义了所安装应用程序的安装和配置。另外，该服务还可以更改、修复或删除一个现存的应用程序。组成该服务的技术包括Windows操作系统的Windows Installer 服务以及.msi 压缩包格式文件（用于保存关于应用程序的设置和安装信息）。

　　Windows Installer不仅是一个安装程序，它还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除，监视文件回弹，以及使用回滚功能从灾难事件中恢复基本文件。另外，Windows Installer 支持从多种来源安装和运行软件，还可以由那些想要安装自己应用程序的开发者进行定制。

　　将 Windows Installer 设置为手动会导致使用 Installer的应用程序启动该服务。

　　停止该服务将导致依赖于它的应用程序安装、卸载、修复和更改失败。同样，利用此服务的应用程序在运行时可能无法正常发挥功能。禁用该服务还将导致任何明显依赖它的服务失败。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中Windows Installer设置被配置为“禁用”。