微软官方服务详解卷(doc 70页)

微软官方服务详解卷内容提要：
服务概述
服务必须登录才能访问操作系统中的资源和对象，并且大多数服务都没有被设计为更改其默认登录帐户。如果更改默认帐户，该服务很可能将失败。如果选定帐户没有作为服务登录的权限，Microsoft 管理控制台 (MMC) 服务管理单元将自动为该帐户授予在计算机上作为服务登录的能力。但是，此自动配置并不能保证启动服务。Windows Server 2003 包括三个内置的本地帐户，分别用作各系统服务的登录帐户：
•
本地系统帐户。本地系统帐户功能强大，它可对计算机进行完全访问，并作为网络中的计算机工作。如果某项服务使用本地系统帐户登录到域控制器，则该服务可访问整个域。某些服务被默认配置为使用本地系统帐户，不应更改。本地系统帐户没有用户访问密码。
•
本地服务帐户。本地服务帐户是一种特殊的内置帐户，类似于经身份验证的用户帐户。它与 Users 组的成员具有相同级别的资源和对象访问权限。这种限制性访问有助于在个别服务或进程受损时保障计算机安全。使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。此帐户的名称为 NT AUTHORITY\Local Service，它没有用户访问密码。
•
网络服务帐户。网络服务帐户也是一种特殊的内置帐户，类似于经身份验证的用户帐户。类似于本地服务帐户，它与 Users 组的成员也具有相同级别的资源和对象访问权限，能够帮助保障计算机安全。使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。此帐户的名称为 NT AUTHORITY\Network Service，它没有用户访问密码。
重要：如果更改默认的服务设置，重要服务可能不能正常运行。如果更改配置为自动启动的服务的“启动类型”和“登录为”设置，务必要小心谨慎，这一点特别重要。
您可以在组策略对象编辑器的下列位置配置系统服务设置：
计算机配置\Windows 设置\安全设置\系统服务\
漏洞
任何服务或应用程序都是潜在的攻击点。因此，应该禁用或删除环境中任何不需要的服务或可执行文件。Windows Server 2003 有一些附加可选服务（如 Certificate Services），它们不在操作系统的默认安装过程中安装。
这些可选服务可通过控制面板中的添加/删除程序或 Windows Server 2003 配置服务器向导添加到现有计算机。还可以创建自定义的 Windows Server 2003 自动化安装。在（网址为 http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx）内介绍的成员服务器基准策略 (MSBP) 中，这些可选服务和所有不必要的服务已被禁用。
重要：如果启用附加服务，它们可能依赖于其他服务。将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。

..............................