Windows 2003安全之强化堡垒主机(10)

　　Windows管理规范驱动程序扩展

　　表11.16：设置

　　“Windows管理规范驱动程序扩展”服务监视所有驱动程序以及被配置成发布WMI或事件跟踪信息的事件跟踪提供者。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“Windows Management Instrumentation驱动程序扩展”设置被配置为“禁用”。

　　WMI性能适配器

　　表11.17：设置

　　“WMI性能适配器”服务提供了从WMI HiPerf 提供者获得的性能库信息。需要提供性能计数器的应用程序和服务现在可以使用两种方式做到这一点：编写一个WMI 高性能（High Performance）提供者或编写一个性能库。

　　“WMI性能适配器”服务通过反向适配器性能库（Reverse Adapter Performance Library），将WMI高性能（High Performance）提供者提供的性能计数器转换成性能数据助手（Performance Data Helper，PDH）可以引用的计数器。这样一来，PDH客户（如Sysmon）就可以引用计算机上任何WMI性能适配器提供者所提供的性能计数器。

　　如果“WMI性能适配器”服务停止了，WMI性能计数器将无法使用。禁用该服务还会导致任何明显依赖它的服务失败。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“WMI性能适配器”设置被配置为“禁用”。

　　其它安全设置

　　通过BHLP应用的安全设置为堡垒主机服务器提供更高的安全性。然而，这里还需要考虑一些额外的事项和过程。这些步骤不能通过本地策略来执行，而应该在所有堡垒主机服务器上通过手动方式来完成。

　　以手动方式向用户权限分配中添加唯一的安全组

　　大多数通过MSBP应用的用户权限分配都已经在本指南附带的安全性模板中进行了适当的指定。但是，有些账户和安全组不能被包含在模板中，因为它们的安全标识（SID）对于单个的Windows 2003域是特定的。下面介绍了必须手动配置的用户权限。

　　警告：下表包含了内置Administrator账户。不要将该账户与内置的Administrators安全组混淆。如果Administrators安全组被添加了以下任何一个拒绝访问用户权限，为了更正该错误，您必须从本地登录。

　　另外，根据第三章“创建成员服务器基线”中的建议，内置的Administrator账号可能已经被重命名。当添加Administrator账户时，请确信添加的是经过了重命名的账户。

　　表11.18：手工添加用户权限分配

　　重要：所有非操作系统服务账户包括整个企业范围内用于特定应用程序的服务账户。但不包括LOCAL SYSTEM、LOCAL SERVICE或NETWORK SERVICE等操作系统所使用的内置账号。