【正文】 系統(tǒng)服務(wù)更新日期： 2006年07月17日系統(tǒng)服務(wù)的介紹方式不同于本指南中的其他設(shè)置，因?yàn)樗蟹?wù)的漏洞、對策及潛在影響的說明幾乎都相同。首次安裝 Microsoft174。 Windows Server? 2003 或 Microsoft Windows174。 XP 時(shí)，某些服務(wù)被安裝和配置為在計(jì)算機(jī)啟動(dòng)時(shí)默認(rèn)運(yùn)行。其默認(rèn)服務(wù)與 Windows 2000 Server 中的相比要少一些，對于 Windows Server 2003 來說，某些特定服務(wù)將依照分配給每個(gè)服務(wù)器的角色而相應(yīng)改變。在您的環(huán)境中，可能并不需要所有的默認(rèn)服務(wù)，應(yīng)將任何不需要的服務(wù)禁用以增強(qiáng)安全性。本章將幫助您了解每項(xiàng)服務(wù)的功能和目的，并解釋了哪些服務(wù)在 WindowsServer2003 和 WindowsXP 中保持啟用，以確保應(yīng)用程序兼容性、客戶端兼容性，或者便于計(jì)算機(jī)系統(tǒng)的管理。Microsoft Excel174。 工作簿“Windows 默認(rèn)安全和服務(wù)配置”（本指南的可下載版本附帶）說明了默認(rèn)系統(tǒng)服務(wù)設(shè)置。本頁內(nèi)容服務(wù)概述服務(wù)必須登錄才能訪問操作系統(tǒng)中的資源和對象，并且大多數(shù)服務(wù)都沒有被設(shè)計(jì)為更改其默認(rèn)登錄帳戶。如果更改默認(rèn)帳戶，該服務(wù)很可能將失敗。如果選定帳戶沒有作為服務(wù)登錄的權(quán)限，Microsoft 管理控制臺(tái) (MMC) 服務(wù)管理單元將自動(dòng)為該帳戶授予在計(jì)算機(jī)上作為服務(wù)登錄的能力。但是，此自動(dòng)配置并不能保證啟動(dòng)服務(wù)。Windows Server 2003 包括三個(gè)內(nèi)置的本地帳戶，分別用作各系統(tǒng)服務(wù)的登錄帳戶：?本地系統(tǒng)帳戶。本地系統(tǒng)帳戶功能強(qiáng)大，它可對計(jì)算機(jī)進(jìn)行完全訪問，并作為網(wǎng)絡(luò)中的計(jì)算機(jī)工作。如果某項(xiàng)服務(wù)使用本地系統(tǒng)帳戶登錄到域控制器，則該服務(wù)可訪問整個(gè)域。某些服務(wù)被默認(rèn)配置為使用本地系統(tǒng)帳戶，不應(yīng)更改。本地系統(tǒng)帳戶沒有用戶訪問密碼。?本地服務(wù)帳戶。本地服務(wù)帳戶是一種特殊的內(nèi)置帳戶，類似于經(jīng)身份驗(yàn)證的用戶帳戶。它與 Users 組的成員具有相同級別的資源和對象訪問權(quán)限。這種限制性訪問有助于在個(gè)別服務(wù)或進(jìn)程受損時(shí)保障計(jì)算機(jī)安全。使用本地服務(wù)帳戶的服務(wù)使用有匿名憑據(jù)的空會(huì)話來訪問網(wǎng)絡(luò)資源。此帳戶的名稱為 NT AUTHORITY\Local Service，它沒有用戶訪問密碼。?網(wǎng)絡(luò)服務(wù)帳戶。網(wǎng)絡(luò)服務(wù)帳戶也是一種特殊的內(nèi)置帳戶，類似于經(jīng)身份驗(yàn)證的用戶帳戶。類似于本地服務(wù)帳戶，它與 Users 組的成員也具有相同級別的資源和對象訪問權(quán)限，能夠幫助保障計(jì)算機(jī)安全。使用網(wǎng)絡(luò)服務(wù)帳戶的服務(wù)使用計(jì)算機(jī)帳戶的憑據(jù)來訪問網(wǎng)絡(luò)資源。此帳戶的名稱為 NT AUTHORITY\Network Service，它沒有用戶訪問密碼。重要：如果更改默認(rèn)的服務(wù)設(shè)置，重要服務(wù)可能不能正常運(yùn)行。如果更改配置為自動(dòng)啟動(dòng)的服務(wù)的“啟動(dòng)類型”和“登錄為”設(shè)置，務(wù)必要小心謹(jǐn)慎，這一點(diǎn)特別重要。您可以在組策略對象編輯器的下列位置配置系統(tǒng)服務(wù)設(shè)置：計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\系統(tǒng)服務(wù)\漏洞任何服務(wù)或應(yīng)用程序都是潛在的攻擊點(diǎn)。因此，應(yīng)該禁用或刪除環(huán)境中任何不需要的服務(wù)或可執(zhí)行文件。Windows Server 2003 有一些附加可選服務(wù)（如 Certificate Services），它們不在操作系統(tǒng)的默認(rèn)安裝過程中安裝。重要：如果啟用附加服務(wù)，它們可能依賴于其他服務(wù)。將特定服務(wù)器角色所需的所有服務(wù)添加到該角色在組織中執(zhí)行的服務(wù)器角色策略中。對策禁用所有不必要的服務(wù)。對于每項(xiàng)系統(tǒng)服務(wù)，都可以通過組策略為其分配一種服務(wù)狀態(tài)。這些組策略設(shè)置的可能值為：?自動(dòng)?手動(dòng)?已禁用?沒有定義管理服務(wù)安全性的另一種方式是，配置一個(gè)每項(xiàng)服務(wù)都具有用戶定義的帳戶列表的訪問控制列表 (ACL)。此方法提供了一種控制服務(wù)的啟動(dòng)和對正在運(yùn)行的服務(wù)進(jìn)行訪問的方式。潛在影響如果某些服務(wù)（如安全帳戶管理器）被禁用，將不能重新啟動(dòng)計(jì)算機(jī)。如果其他關(guān)鍵服務(wù)被禁用，計(jì)算機(jī)可能不能向域控制器驗(yàn)證身份。如果您想要禁用某些系統(tǒng)服務(wù)，應(yīng)先在非生產(chǎn)計(jì)算機(jī)上測試該設(shè)置更改的影響，然后才在生產(chǎn)環(huán)境中進(jìn)行更改。 不要在服務(wù)對象上設(shè)置權(quán)限有一些基于圖形用戶界面 (GUI) 的工具可用于編輯服務(wù)。但是，Windows 操作系統(tǒng)早期版本（Windows Server 2003 之前）中包含的以前版本的這些工具可以在配置某項(xiàng)服務(wù)的任何屬性時(shí)將權(quán)限自動(dòng)應(yīng)用于各項(xiàng)服務(wù)。如組策略對象編輯器和 MMC 安全模板管理單元等工具均使用安全配置編輯器 DLL 來應(yīng)用這些權(quán)限。例如，當(dāng)您使用 MMC 安全模板管理單元在 Windows XP 中配置服務(wù)的啟動(dòng)狀態(tài)時(shí)，系統(tǒng)將顯示以下對話框：圖 服務(wù)安全性對話框不論是單擊“確定”或是“取消”，權(quán)限都將應(yīng)用到正被配置的服務(wù)。很抱歉，此對話框中列出的權(quán)限與 Windows 中包含的大多數(shù)服務(wù)的默認(rèn)權(quán)限不匹配。事實(shí)上，這些權(quán)限會(huì)導(dǎo)致許多服務(wù)出現(xiàn)多種問題。Microsoft 建議不要更改 Windows XP 或 Windows Server 2003 中包含的服務(wù)的權(quán)限，因?yàn)槟J(rèn)權(quán)限的限制性已非常嚴(yán)格。此項(xiàng)功能在 Windows Server 2003 中已發(fā)生更改，且其安全配置編輯器 DLL 的版本不強(qiáng)制在編輯服務(wù)屬性時(shí)必須配置權(quán)限。針對這種富有挑戰(zhàn)性的情況，可以有多種不同的處理選擇：?使用安全配置向?qū)?，它?Windows Server 2003 Service Pack 1 (SP1) 中包括的一個(gè)可選 Windows 組件。Microsoft 建議您在需要針對多種 Windows Server 2003 服務(wù)器角色配置服務(wù)和網(wǎng)絡(luò)端口篩選器時(shí)，使用此方法。?在運(yùn)行 Windows Server 2003 SP1 的服務(wù)器上運(yùn)行 MMC 安全模板管理單元和組策略對象編輯器。Microsoft 建議當(dāng)您需要為將應(yīng)用于 Windows XP 的安全模板或組策略配置服務(wù)時(shí)，使用此方法。?使用文本編輯器（如記事本）在運(yùn)行 Windows XP Professional 的計(jì)算機(jī)上編輯安全模板或組策略。此方法是最少用到的，但某些客戶可能必要這樣選擇。下面部分將詳細(xì)說明。手動(dòng)編輯安全模板盡管可使用文本編輯器（如記事本）來手動(dòng)編輯它們，但安全模板是很復(fù)雜的文件。如果未使用正確定義的模板規(guī)范來創(chuàng)建安全模板，可能會(huì)使計(jì)算機(jī)無法啟動(dòng)。盡管大多數(shù)類型的錯(cuò)誤不會(huì)導(dǎo)致這類嚴(yán)重問題，但是如果需要手動(dòng)編輯安全模板則必須小心并注意細(xì)節(jié)。當(dāng)使用其中一種基于 GUI 的工具來配置安全模板時(shí)，配置信息存儲(chǔ)在文件的“Service General Setting”部分。以下示例文本來自于某個(gè)安全模板，在此模板中 Alerter、ClipBook和 Computer Browser 服務(wù)的啟動(dòng)狀態(tài)都已配置為“已禁用”，而 DHCP 客戶端服務(wù)的啟動(dòng)狀態(tài)都已配置為“自動(dòng)”。[Service General Setting] Alerter,4,D:AR(A。CCDCLCSWRPWPDTLOCRSDRCWDWO。BA) (A。CCDCLCSWRPWPDTLOCRSDRCWDWO。SY)(A。CCLCSWLOCRRC。IU) S:(AU。FA。CCDCLCSWRPWPDTLOCRSDRCWDWO。WD) ClipSrv,4,D:AR(A。CCDCLCSWRPWPDTLOCRSDRCWDWO。BA) (A。CCDCLCSWRPWPDTLOCRSDRCWDWO。SY)(A。CCLCSWLOCRRC。IU) S:(AU。FA。CCDCLCSWRPWPDTLOCRSDRCWDWO。WD) Browser,4,D:AR(A。CCDCLCSWRPWPDTLOCRSDRCWDWO。BA) (A。CCDCLCSWRPWPDTLOCRSDRCWDWO。SY)(A。CCLCSWLOCRRC。IU) S:(AU。FA。CCDCLCSWRPWPDTLOCRSDRCWDWO。WD) Dhcp,2,D:AR(A。CCDCLCSWRPWPDTLOCRSDRCWDWO。BA) (A。CCDCLCSWRPWPDTLOCRSDRCWDWO。SY)(A。CCLCSWLOCRRC。IU) S:(AU。FA。CCDCLCSWRPWPDTLOCRSDRCWDWO。WD)每個(gè)條目的格式均包括以逗號分隔的三個(gè)字段。?第一個(gè)字段指示服務(wù)名稱。例如，ClipSrv 表示 ClipBook 服務(wù)。?第二個(gè)字段定義啟動(dòng)狀態(tài)：?4 指定“已禁用”?3 指定“手動(dòng)”?2 指定“自動(dòng)”?第三個(gè)字段以安全描述符定義語言 (SDDL) 定義服務(wù)對象的權(quán)限。使用安全配置向?qū)Р⒉槐匾斫?SDDL 的詳細(xì)信息。有關(guān) SDDL 的詳細(xì)信息，請參閱 MSDN174。 上關(guān)于的文章，網(wǎng)址為 security/。要解決服務(wù)對象的潛在權(quán)限問題，可以刪除第三個(gè)字段中的 SDDL 字符串，但保留一對雙引號標(biāo)記。以下示例顯示四項(xiàng)引用服務(wù)的正確文本：[Service General Setting] Alerter,4, ClipSrv,4, Browser,4, Dhcp,2,在刪除安全模板中所有服務(wù)的 SDDL 信息后，保存文件。然后可以通過任何典型方法應(yīng)用安全模板。當(dāng)然，在將安全模板應(yīng)用到生產(chǎn)計(jì)算機(jī)之前，對其進(jìn)行充分測試是極其重要的。 系統(tǒng)服務(wù)描述下面各小節(jié)介紹了 Windows Server 2003 和 Windows XP 服務(wù)（按字母順序）。包括默認(rèn)安裝的服務(wù)以及可添加到計(jì)算機(jī)的附加服務(wù)。注意：如果某項(xiàng)服務(wù)沒有啟動(dòng)，則依賴于該服務(wù)的其他服務(wù)也將無法啟動(dòng)。因此，如果更改某項(xiàng)服務(wù)的狀態(tài)，可能會(huì)影響其他看起來不相關(guān)的服務(wù)。這種依存關(guān)系存在于本部分介紹的所有服務(wù)中。要檢查某項(xiàng)服務(wù)的依存關(guān)系，在 MMC 服務(wù)管理單元的服務(wù)屬性對話框中單擊“依存關(guān)系”選項(xiàng)卡。AlerterAlerter 服務(wù)通知選定的用戶和計(jì)算機(jī)管理警報(bào)?？梢允褂么朔?wù)向連接在您的網(wǎng)絡(luò)上的指定用戶發(fā)送警報(bào)消息。警報(bào)消息可提醒用戶與安全、訪問和用戶會(huì)話等相關(guān)的故障。警報(bào)消息從服務(wù)器發(fā)送到客戶端計(jì)算機(jī)，Messenger 服務(wù)必須在客戶端計(jì)算機(jī)上運(yùn)行，用戶才能接收警報(bào)消息。（默認(rèn)情況下，Windows XP 和 Windows Server 2003 中的 Messenger 服務(wù)被禁用，以使惡意用戶無法發(fā)送錯(cuò)誤通知。）如果 Alerter 服務(wù)已關(guān)閉，使用 NetAlertRaise 或 NetAlertRaiseEx 應(yīng)用程序編程接口 (API) 的應(yīng)用程序?qū)o法通過 Messenger 服務(wù)顯示的消息框通知用戶或計(jì)算機(jī)發(fā)生了管理警報(bào)。例如，很多不間斷電源 (UPS) 管理工具使用 Alerter 服務(wù)向管理員通知與 UPS 相關(guān)的重要事件。如果要使用此服務(wù)，應(yīng)將其啟動(dòng)狀態(tài)配置為“自動(dòng)”，以使外部組件在需要時(shí)可以使用它。Application Experience Lookup ServiceApplication Experience Lookup Service(AELookupSvc) 是應(yīng)用程序兼容性管理器的一部分。它在應(yīng)用程序啟動(dòng)時(shí)為應(yīng)用程序處理應(yīng)用程序兼容性查找請求，為域中的 Windows Server 2003 計(jì)算機(jī)提供支持，報(bào)告兼容性問題，并將軟件更新自動(dòng)應(yīng)用到程序。Application Experience Lookup Service 必須處于活動(dòng)狀態(tài)才能應(yīng)用應(yīng)用程序兼容性軟件更新。不能自定義此項(xiàng)服務(wù)，操作系統(tǒng)內(nèi)部使用它。此服務(wù)不使用任何網(wǎng)絡(luò)、Internet 或 Active Directory174。 目錄服務(wù)資源。如果禁用 Application Experience Lookup Service，服務(wù)將繼續(xù)運(yùn)行但不會(huì)對服務(wù)進(jìn)行調(diào)用。您無法停止實(shí)際進(jìn)程。Application Layer Gateway ServiceApplication Layer Gateway Service 是 Windows 網(wǎng)絡(luò)子系統(tǒng)的子組件。它為允許網(wǎng)絡(luò)協(xié)議穿越防火墻并在 Internet 連接共享后面工作的插件提供支持。應(yīng)用程序?qū)泳W(wǎng)關(guān) (ALG) 插件可以打開端口并更改數(shù)據(jù)包中嵌入的數(shù)據(jù)，如端口和 IP 地址。文件傳輸協(xié)議 (FTP) 是唯一的網(wǎng)絡(luò)協(xié)議，它在 Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中有相應(yīng)的插件。ALG FTP 插件經(jīng)設(shè)計(jì)，可以通過 Windows 中包含的網(wǎng)址轉(zhuǎn)換 (NAT) 引擎來支持活動(dòng)的 FTP 會(huì)話。要達(dá)到此目的，ALG FTP 插件將穿過 NAT 的、目標(biāo)為端口 21 的所有通信重定向到環(huán)回適配器上范圍為 30005000 的專有偵聽端口。然后 ALG FTP 插件監(jiān)視/更新 FTP 控制通道上的通信，以便 FTP 插件可以通過此 FTP 數(shù)據(jù)通道的 NAT 來探測到端口映射。FTP 插件還會(huì)更新 FTP 控制通道流中的端口。如果停止 Application Layer Gateway Service，所引用的協(xié)議的網(wǎng)絡(luò)連接將不可用，而且會(huì)對網(wǎng)絡(luò)產(chǎn)生反面影響。例如，如果禁用此服務(wù)，Windows Messenger 和 MSN174。 Messenger 即時(shí)消息應(yīng)用程序?qū)⑹?。Application ManagementApplication Management 服務(wù)提供各種軟件安裝服務(wù)，例如“分配”、“發(fā)布”和“刪除”。它處理枚舉、安裝和刪除通過組織網(wǎng)絡(luò)部署的應(yīng)用程序的請求。在加入域的計(jì)算機(jī)控制面板的“添加或刪除程序”中單擊“添加”時(shí)，程序?qū)⒄{(diào)用此服務(wù)來檢索部署的應(yīng)用程序列表。使用“添加或刪除程序”安裝或刪除應(yīng)用程序時(shí)，也會(huì)調(diào)用該服務(wù)。如果組件（如 shell 或 COM）請求安裝應(yīng)用程序以處理文件擴(kuò)展名、組件對象模型 (C