如何配置伺服器的系統服務安全

任何網路服務的安裝都是建立在系統服務的基礎上的，因此做好系統服務安全是系統安全和網路安全的重要環節。任何服務都可能存在漏洞，最佳方案就是透過一切可行方法，確保系統服務的安全．如禁用非必要服務、設定服務訪問許可權等。

一、系統服務配置注意事項

配置系統服務時應注意以下事項：

1、根據服務的描述以及業務的需求，確定是否使用此服務；

2、具體每個服務的內容和功能，請參考微軟的說明和諮詢業內安全專家；

3、禁止或者設定成手動啟動的方式處理系統非必須的服務；

4、如對系統可能適成的影響不了解，在測試環境中測試驗證透過以後，再在應用環境中部署；

5、對於安裝應用程式同步安裝的服務，如無必要，應將其關閉。

依次選擇“開始--管理工具--服務”命令，開啟“服務”控制檯視窗，顯示本地計算機中所有的服務。

系統服務的處理不同於其他設定，因為所有服務的漏洞、對策及潛在影響在本質上都一樣。安裝Windows Server 2008作業系統時，系統將在啟動時建立並配置預設服務。有些服務在組織環境中並不需要，但仍在Windows中被啟用，來確保應用程式或客戶端相容或輔助進行系統管理。

二、服務

服務僅在登入到某一賬戶的情況下才能訪問作業系統中的資源和物件，大多數的服務都不更改預設的登入賬戶，更改預設賬戶可能導致服務失敗，如果選定賬戶沒有登入計算機服務的許可權，Microsoft 管理控制檯的服務管理單元將自動為該賬戶授予登入服務的使用者許可權，但並不一定會啟動服務。Windows Server 2008與Windows Server 2003 相同，系統包括3個內建的本地賬戶，分別用作各系統服務的登入賬戶。

（1）本地系統賬戶

本地系統賬戶功能強大，它可對本地系統進行完全訪問，併為網路中的計算機提供服務。有些服務的預設配置實用的是“本地系統”賬戶，則不需要更改預設服務設定。本地系統賬戶名稱是LocalSystem，沒有密碼設定。

（2）本地服務賬戶

本地服務賬戶是一種特殊的內建賬戶，類似於經過身份驗證的使用者賬號。就訪問的資源的物件而言，“本地服務”賬戶與“Users”組成員許可權等同。這種許可權性訪問有助於在個別服務或程式受損時保障系統安全，以“本地服務”賬戶執行的服務使用有匿名憑據的空會話來訪問網路資源，賬戶名稱為NTAUTHORIT/LocalService，該賬戶沒有密碼。

（3）網路服務賬戶

網路服務賬戶也是一種特殊的內建賬戶，類似於經身份驗證的使用者賬戶，就訪問的資源的物件而言，“網路服務”賬戶與“Users”組成員許可權等同。這種限制性訪問有助於個別服務或程式受損時保障系統安全，以“網路服務”賬戶執行的服務可使用計算機賬戶的憑據來訪問網路資源。賬戶名稱為NTAUTHORIT/LocalService，該賬戶沒有密碼。

注意：如果更改預設服務設定，重要的服務可能無法正常執行。最重要的是，更改啟動型別一定要謹慎，要使用配置了自動啟動服務的設定來登入。

三、漏洞

任何服務或應用程式都是潛在的攻擊點，因此，必須禁用或刪除系統環境中不需要的服務或可執行檔案，或者直接刪除閒置的網路服務。

注意：如果啟用附加服務，則會因依賴關係而要求用時啟動其他服務。首先明確在組織中執行任何的伺服器角色，然後將特定伺服器角色所必需的所有服務新增到策略中。

四、對策

系統服務中的“策略”可以有以下4種設定方式：

1、自動    2、手動   3、禁用   4、未定義

對於所有不必要的服務應當禁用。此外，還可以透過配置使用者定義賬戶列表的訪問控制列表（ACL），編輯服務安全性。

五、潛在影響

雖然禁用不必要的服務可以減少系統資源的佔用以及系統漏洞，但有些服務（如 Security Accounts Manager）禁用後將導致系統無法引導，禁用一些關鍵服務可能使計算機無法透過域控制器的身份驗證。因此，為安全起見，在禁用系統服務前應先在測試環境中測試。

注意：管理員還可以選擇“計算機配置--windows設定--安全設定--系統服務”選項，在開啟的“組策略物件編輯器”中配置“系統服務”設定。