强化 Windows Server 2003 堡垒主机(2)

      如果停止此服务，将导致服务再次运行之前，某些功能（如 Automatic Update）无法自动下载程序和其他信息。这表明，如果通过“组策略”配置此服务，计算机将不会从软件更新服务 (SUS) 中接收到自动更新。禁用此服务将导致显式依赖于它的所有服务无法传输文件，除非使用可靠机制直接通过 Internet Explorer 等其他方法传输文件。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后，将仅对服务器管 理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，在 BHLP 中此服务被禁用。

Computer Browser

表 5：设置

服务名 设置

Browser

已禁用

      Computer Browser 服务维护网络上的最新计算机列表，并将该列表提供给需要它的程序。Computer Browser 服务由需要查看网络域 和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护，该列表包括了网络上使用的所有共享资源。早期版本的 Windows 应用程序（例如“网上邻居”）、NET VIEW 命令和 Microsoft Windows NT® 操作系统的资源管理器都需要浏览功能。例如，在运行 Windows 95 的计算机上打开“网上邻居”将显示域和计算机的列表，计算机将通过从指定为浏览器的计算机中获得一份浏览列表来完成此操作 。

      禁用 Computer Browser 服务将使得浏览器列表无法更新或维护。禁用此服务还将导致任何显式依赖于此服务的 服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Computer Browser 设置配置为“已禁用”。

DHCP Client

表 6：设置

服务名 设置

Dhcp

已禁用

      DHCP Client 服务可用于通过为计算机注册和更新 Internet 协议 (IP) 地址和 DNS 名称，从而管理网络配置。此服务避免了当客户（例如漫游用户）在网络中无目的地游荡时必须手动更改 IP 设置。客户会被自动分配一个新的IP地址，而不考虑它所连接的子网 - 只要动态主机配置协议 (DHCP) 服务器对于每个子网来说都是可访问的。不需要对 DNS 或 Windows Internet 名称服务 (WINS) 手动配置设置。DHCP 服务器会将这些服务设置强加给客户，只要 DHCP 服务器已经做好配置并且可以发出此类信息即可。要在该客户端上启用此选项，只需选中“ 自动获得 DNS 服务器地址”选项按钮即可。启用此选项将不会导致因 IP 地址重复而产生的冲突。

      停止 DHCP Client 服务将导致您的计算机无法接收到动态的 IP 地址，动态 DNS 更新功能也不会在 DNS 服务器上自动更新 IP 地址。禁用此服务还将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 DHCP Client 设置配置为“已禁用”。

Network Location Awareness (NLA)

表：设置

服务名 设置

NLA

已禁用

      Network Location Awareness (NLA) 服务收 集并存储网络配置信息（例如 IP 地址和域名更改以及位置更改信息），然后在这些信息发生更改时通知应用程序。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Network Location Awareness (NLA) 设置配置为“已禁用”。

NTLM Security Support Provider

表 8：设置

服务名 设置

NtLmSsp

已禁用

      NTLM Security Support Provider 服务为使用传输器，而不是已命名管道的远程过程 调用 (RPC) 程序提供安全保护，并使用户可以使用 NTLM 验证协议登录至网络。NTLM 协议将对不使用 Kerberos v5 验证的客户端进行身份验证。

      停止或禁用 NTLM Security Support Provider 服务将禁止使用 NTLM 验证协议登录客户端，或访问网络资源。Microsoft Operations Manager (MOM) 和 Telnet 都依赖于此服务。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 NTLM Security Support Provider 设置配置为“已禁用”。

Performance Logs and Alerts

表 9：设置

服务名 设置

SysmonLog

已 禁用

      Performance Logs and Alerts 服务基于预先配置的时间表从本地或远程计算机上采集性能数据，然后将数据写入日志或触发警报。Performance Logs and Alerts 服务将基于指定的日志收集设置中包含的信息来启动和停止每个指定的性能数据集合。至少有一个采集计划，此服务才能运行。

      停止或禁用 Performance Logs and Alerts 服务将会导致性能信息未被搜集，当前运行的数据采集也会终止，并且预定的未来采集计划也将不会发生。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Performance Logs and Alerts 设置配置为“已禁用”。

Remote Administration Service

表 10：设置

服务名 设置

SrvcSurg

已禁用

      当服务器重启时，Remote Administration Service 将运行以下远程管理任务：

•

增加服务器重启计数。

•

生成自签名证书。

•

如果未在服务器上设置日期和事件，则引发警报。

•

如果未配置电子邮件报警功能，则引发警报。

      停止 Remote Administration Service 可能会导致远程服务器管理工具的某些功能无法正常工作，例如，用于执行远程管理的 Web 界面。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Remote Administration Service 设置配置为“已禁用”。

Remote Registry Service

表 11：设置

服务名 设置

RemoteRegistry

已禁用

      Remote Registry Service 使远程用户可以修改域控制器上的注册表设置（如果远程 用户具有所需的权限）。默认情况下，只有 Administrators 和 Backup Operators 组中的用户才可以远程访问注册表。Microsoft Baseline Security Analyzer (MBSA) 实用程序需要使用此服务。MBSA 是一种用来验证要在组织机构内的每个服务器上安装哪些修补程序的工具。

      如果停止 Remote Registry Service，则您只能修改本地计算机上的注册表。禁用此服务会导致显式依赖于它的所 有服务都失败，但是不会影响本地计算机上的注册表操作。其他的计算机或设备也不会连接至您的本地计算机注册表。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Remote Registry Service 设置配置为“已禁用”。

Server

表 12：设置

服务名 设置

lanmanserver

已禁用

      Server 服务通过网络提供 RPC 支持、文件、打印和命名管道共享。此服务允许本地资源共享（例如磁盘和打印机），因此网络上的其他用户便可以访问这些共享资源。此外，它还允许运行在其它计算机上的应用程序和您的计 算机展开命名管道通信（使用 RPC）。命名管道通信为一个进程的输出保留了一块内存，并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。

      停止 Server 服务将禁止您与网路上的其他用户共享文件和打印机，并且还将无法满足 RPC 请求。禁用此服务还将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Server 设置配置为“已禁用”。

TCP/IP NetBIOS Helper Service

表 13：设置

服务名 设置

LmHosts

已禁用

      TCP/IP NetBIOS Helper Service 通过 TCP/IP (NetBT) 服务支持网络基本输入/输出系统 (NetBIOS) ，并支持网络上的客户端的 NetBIOS 名称解析；从而使用户可以共享文件、打印和网络登录。TCP/IP（传输控制协议/Internet 协议）NetBIOS Helper Service 通过执行 DNS 名称解析，支持 NetBT 服务。

      停止 TCP/IP NetBIOS Helper Service 会禁止 NetBT、Redirector (RDR)、Server (SRV)、Netlogon 和 Messenger 服务客户端共享文件、打印机，并可防止用户登录计算机。例如，基于域的组策略将不再起作用。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面 。出于这些原因，应在 BHLP 中将 TCP/IP NetBIOS Helper Service 设置配置为“已禁用”。

Terminal Services

表 14：设置

服务名 设置

TermService

已禁用

      Terminal Services 提供一个多会话环境，客 户端设备可以在此环境中访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。Terminal Services 使用户可以远程管理服务 器。

      停止或禁用 Terminal Services 会防止远程管理计算机，使得计算机管理和更新非常困难。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防 止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Terminal Services 设置配置为“已禁用”。

Windows Installer

表 15：设置

服务名 设置

MSIServer

已禁用

      Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则，来管理应用程序的安装和删除。这些安装规则定义应 用程序的安装和已安装应用程序的配置。此外，此服务还用于修改、修复或删除现有的应用程序。组成此服务的技术包括适用于 Windows 操作系统的 Windows Installer 服务以及 (.msi) 数据包格式文件（用于保存应用程序设置和安装的信息）。

      Windows Installer 不仅是一个安装程序，而且还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除、监视文件回弹以及使 用回滚功能从灾难事件中恢复基本文件。此外，Windows Installer 服务支持从多个源安装和运行软件，并且可以由要安装自定义应用程序的开发人员自定义。

      将 Windows Installer 服务设置为手动会导致使用此安装程序的应用程序启动此服务。

      停止此服务将使依赖于此服务的应用程序的安装、删除、修复和修改操作失败。此外，在运行时将用到此服务的大 量应用程序可能会无法执行。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主 机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该 服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Windows Installer 设置配置为“已禁用”。

Windows Management Instrumentation Driver Extensions

表 16：设置

服务名 设置

Wmi

已禁用

      Windows Management Instrumentation Driver Extensions 服务可用来监视为发布 Wmi 而配置的所有驱动程序和事件跟踪提供程序，或者监视事件跟踪信息。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Windows Management Instrumentation Driver Extensions 设置配置为“已禁用”。

WMI Performance Adapter

表 17：设置

服务名 设置

WMIApSrv

已禁用

      WMI Performance Adapter 服务提供来自 WMI HiPerf 提供程序的性能库信息。现在，需要提供性能计数器的应用程序和服务可以采用两种方法实现此目的：通过编写 WMI 高性能提供程序，或者通过编写性能库。

      WMI Performance Adapter 服务通过“反向适配器性能库”(Reverse Adapter Performance Library)，将“WMI高性能提供程序”提供的性能计数器转换成“性能数据助手”(Performance Data Helper，PDH) 可以引用的计数器。这样一来，PDH 客户端（例如 Sysmon）就可以引用计算机上任何 WMI 高性能提供程序所提供的性能计数器。

      如果停止 WMI Performance Adapter 服务，则 WMI 性能计数器将不可用。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 WMI Performance Adapter 设置配置为“已禁用”。

返回页首

其他安全 设置

      通过 BHLP 应用的安全设置为堡垒主机服务器提供了大量的增强性安全保护。不过，还是应该考虑其他一些注意事项 和过程。这些步骤不能通过本地策略完成，而应该在所有的堡垒主机服务器上手动执行。

在用户权限分配中手动添 加唯一的安全组

      大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全模板中进行了适当的指定。但是，有几个帐户和安全组不能包含于模板中，因为它们的安全标识符 (SID) 特定于各个 Windows 2003 域。以下指定了必须手动配置的用户权限分配。

警告：下表包含内置 Administrator 帐户的值。不要将此帐户与内置 Administrators 安全组相混淆。如 果将 Administrators 安全组添加到以下任何拒绝访问用户权限中，则需要在本地登录来更正错误。

      此外，内置的 Administrators 帐户可能已根据模块创建 Windows Server 2003 服务器的成员服务器基准中阐述的某些建议进行了重命名。添加 Administrators 帐户时，请确保指定的是重命名后的帐户。

表 18：手动添加的用户权限分配

成员服务器默认值 旧客户端 企业客户端 高安全性

拒绝从网络访问此计算机