IDC百科
安全防護(hù)
如何實現(xiàn)系統(tǒng)服務(wù)安全
2012-11-01 13:23:23
摘要:任何網(wǎng)絡(luò)服務(wù)的安裝的提供都是建立在系統(tǒng)服務(wù)的基礎(chǔ)上的,因此做好系統(tǒng)服務(wù)安全是系統(tǒng)安全和網(wǎng)絡(luò)安全的重要環(huán)節(jié)。任何服務(wù)都可能存在漏洞,但乜可能“因噎廢食”,最佳方案就是通過一切可行方法,確保系統(tǒng)服務(wù)的安全.如禁用非必要服務(wù)、設(shè)置服務(wù)訪問權(quán)限等。

??? 任何網(wǎng)絡(luò)服務(wù)的安裝的提供都是建立在系統(tǒng)服務(wù)的基礎(chǔ)上的,因此做好系統(tǒng)服務(wù)安全是系統(tǒng)安全和網(wǎng)絡(luò)安全的重要環(huán)節(jié)。任何服務(wù)都可能存在漏洞,但乜可能“因噎廢食”,最佳方案就是通過一切可行方法,確保系統(tǒng)服務(wù)的安全.如禁用非必要服務(wù)、設(shè)置服務(wù)訪問權(quán)限等。

一、系統(tǒng)服務(wù)配置注意事項
配置系統(tǒng)服務(wù)時應(yīng)注意以下事項:
1、根據(jù)服務(wù)的描述以及業(yè)務(wù)的需求,確定是否使用此服務(wù);
2、具體每個服務(wù)的內(nèi)容和功能,請參考微軟的說明和咨詢業(yè)內(nèi)安全專家;
3、禁止或者設(shè)置成手動啟動的方式處理系統(tǒng)非必須的服務(wù);
4、如對系統(tǒng)可能適成的影響不了解,在測試環(huán)境中測試驗證通過以后,再在應(yīng)用環(huán)境中部署;
5、對于安裝應(yīng)用程序同步安裝的服務(wù),如無必要,應(yīng)將其關(guān)閉。

依次選擇“開始--管理工具--服務(wù)”命令,打開“服務(wù)”控制臺窗口,顯示本地計算機(jī)中所有的服務(wù)。

??? 系統(tǒng)服務(wù)的處理不同于其他設(shè)置,因為所有服務(wù)的漏洞、對策及潛在影響在本質(zhì)上都一樣。安裝Windows Server 2008操作系統(tǒng)時,系統(tǒng)將在啟動時創(chuàng)建并配置默認(rèn)服務(wù)。有些服務(wù)在組織環(huán)境中并不需要,但仍在Windows中被啟用,來確保應(yīng)用程序或客戶端兼容或輔助進(jìn)行系統(tǒng)管理。

二、服務(wù)
服務(wù)僅在登錄到某一賬戶的情況下才能訪問操作系統(tǒng)中的資源和對象,大多數(shù)的服務(wù)都不更改默認(rèn)的登錄賬戶,更改默認(rèn)賬戶可能導(dǎo)致服務(wù)失敗,如果選定賬戶沒有登錄計算機(jī)服務(wù)的權(quán)限,Microsoft 管理控制臺的服務(wù)管理單元將自動為該賬戶授予登錄服務(wù)的用戶權(quán)限,但并不一定會啟動服務(wù)。Windows Server 2008與Windows Server 2003 相同,系統(tǒng)包括3個內(nèi)置的本地賬戶,分別用作各系統(tǒng)服務(wù)的登錄賬戶。

?? (1)本地系統(tǒng)賬戶
本地系統(tǒng)賬戶功能強(qiáng)大,它可對本地系統(tǒng)進(jìn)行完全訪問,并為網(wǎng)絡(luò)中的計算機(jī)提供服務(wù)。有些服務(wù)的默認(rèn)配置實用的是“本地系統(tǒng)”賬戶,則不需要更改默認(rèn)服務(wù)設(shè)置。本地系統(tǒng)賬戶名稱是LocalSystem,沒有密碼設(shè)置。

?? (2)本地服務(wù)賬戶
本地服務(wù)賬戶是一種特殊的內(nèi)置賬戶,類似于經(jīng)過身份驗證的用戶賬號。就訪問的資源的對象而言,“本地服務(wù)”賬戶與“Users”組成員權(quán)限等同。這種權(quán)限性訪問有助于在個別服務(wù)或進(jìn)程受損時保障系統(tǒng)安全,以“本地服務(wù)”賬戶運行的服務(wù)使用有匿名憑據(jù)的空會話來訪問網(wǎng)絡(luò)資源,賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。

?? (3)網(wǎng)絡(luò)服務(wù)賬戶
網(wǎng)絡(luò)服務(wù)賬戶也是一種特殊的內(nèi)置賬戶,類似于經(jīng)身份驗證的用戶賬戶,就訪問的資源的對象而言,“網(wǎng)絡(luò)服務(wù)”賬戶與“Users”組成員權(quán)限等同。這種限制性訪問有助于個別服務(wù)或進(jìn)程受損時保障系統(tǒng)安全,以“網(wǎng)絡(luò)服務(wù)”賬戶運行的服務(wù)可使用計算機(jī)賬戶的憑據(jù)來訪問網(wǎng)絡(luò)資源。賬戶名稱為NTAUTHORIT/LocalService,該賬戶沒有密碼。
注意:如果更改默認(rèn)服務(wù)設(shè)置,重要的服務(wù)可能無法正常運行。最重要的是,更改啟動類型一定要謹(jǐn)慎,要使用配置了自動啟動服務(wù)的設(shè)置來登錄。

三、漏洞
任何服務(wù)或應(yīng)用程序都是潛在的攻擊點,因此,必須禁用或刪除系統(tǒng)環(huán)境中不需要的服務(wù)或可執(zhí)行文件,或者直接刪除閑置的網(wǎng)絡(luò)服務(wù)。
注意:如果啟用附加服務(wù),則會因依賴關(guān)系而要求用時啟動其他服務(wù)。首先明確在組織中執(zhí)行任何的服務(wù)器角色,然后將特定服務(wù)器角色所必需的所有服務(wù)添加到策略中。

四、對策
系統(tǒng)服務(wù)中的“策略”可以有以下4種設(shè)置方式:
1、自動??? 2、手動?? 3、禁用?? 4、未定義
對于所有不必要的服務(wù)應(yīng)當(dāng)禁用。此外,還可以通過配置用戶定義賬戶列表的訪問控制列表(ACL),編輯服務(wù)安全性。

五、潛在影響
雖然禁用不必要的服務(wù)可以減少系統(tǒng)資源的占用以及系統(tǒng)漏洞,但有些服務(wù)(如 Security Accounts Manager)禁用后將導(dǎo)致系統(tǒng)無法引導(dǎo),禁用一些關(guān)鍵服務(wù)可能使計算機(jī)無法通過域控制器的身份驗證。因此,為安全起見,在禁用系統(tǒng)服務(wù)前應(yīng)先在測試環(huán)境中測試。
注意:管理員還可以選擇“計算機(jī)配置--windows設(shè)置--安全設(shè)置--系統(tǒng)服務(wù)”選項,在打開的“組策略對象編輯器”中配置“系統(tǒng)服務(wù)”設(shè)置。

USA-IDC為您提供免備案服務(wù)器 0元試用
立即聯(lián)系在線客服,即可申請免費產(chǎn)品試用服務(wù)
立即申請