为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

windows2003服务器安全设置

2011-12-16 33页 doc 98KB 14阅读

用户头像

is_781409

暂无简介

举报
windows2003服务器安全设置服务器安全设置全攻略 一、Windows Server2003的安装   1、安装系统最少两需要个分区,分区格式都采用NTFS格式   2、在断开网络的情况安装好2003系统   3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:Internet 信息服务管理器;公用文件;后台智能传输服务 (BITS) 服务器扩展;万维网服务。  ...
windows2003服务器安全设置
服务器安全设置全攻略 一、Windows Server2003的安装   1、安装系统最少两需要个分区,分区格式都采用NTFS格式   2、在断开网络的情况安装好2003系统   3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:Internet 信息服务管理器;公用文件;后台智能传输服务 (BITS) 服务器扩展;万维网服务。   如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2003 Server Extensions   4、安装MSSQL及其它所需要的软件然后进行Update。   5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接   二、设置和管理账户   1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。   2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码   3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。   4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。   5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用   6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。   7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。       三、网络服务安全管理   1、禁止C$、D$、ADMIN$一类的缺省共享   打开注册,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0   2、 解除NetBios与TCP/IP协议的绑定   右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS   3、关闭不需要的服务,以下为建议选项   Computer Browser:维护网络计算机更新,禁用   Distributed File System: 局域网管理共享文件,不需要禁用   Distributed linktracking client:用于局域网更新连接信息,不需要禁用   Error reporting service:禁止发送错误   Microsoft Serch:提供快速的单词搜索,不需要可禁用   NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用   PrintSpooler:如果没有打印机可禁用   Remote Registry:禁止远程修改注册表   Remote Desktop Help Session Manager:禁止远程协助   四、打开相应的审核策略   在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。   推荐的要审核的项目是:         审核策略更改:成功,失败         审核登录事件:成功,失败         审核对象访问:失败         审核对象追踪:成功,失败         审核目录服务访问:失败         审核特权使用:失败         审核系统事件:成功,失败         审核账户登录事件:成功,失败         审核账户管理:成功,失败      五、其它安全相关设置   1、隐藏重要文件/目录   可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0   2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。   3、防止SYN洪水攻击   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2   4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0   5. 防止ICMP重定向报文的攻击   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0   6. 不支持IGMP协议   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0   7、禁用DCOM:   运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。   对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。   清除“在这台计算机上启用分布式 COM”复选框。   注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。   六、配置 IIS 服务:   1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。   2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。   3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。   4、删除不必要的IIS扩展名映射。   右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm   5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性   6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。         7、使用UrlScan   UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。   如果没有特殊的要求采用UrlScan默认配置就可以了。   但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%System32InetsrvURLscan   文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。   如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。   如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1   在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset   如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。   8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.   下载地址:VB.NET爱好者      七、配置Sql服务器   1、System Administrators 角色最好不要超过两个   2、如果是在本机最好将身份验证配置为Win登陆   3、不要使用Sa账户,为其配置一个超级复杂的密码   4、删除以下的扩展存储过程格式为:   use master   sp_dropextendedproc '扩展存储过程名'   xp_cmdshell:是进入操作系统的最佳捷径,删除   访问注册表的存储过程,删除   Xp_regaddmultistring  Xp_regdeletekey  Xp_regdeletevalue  Xp_regenumvalues       Xp_regread      Xp_regwrite      Xp_regremovemultistring           OLE自动存储过程,不需要删除   Sp_OACreate   Sp_OADestroy    Sp_OAGetErrorInfo  Sp_OAGetProperty   Sp_OAMethod  Sp_OASetProperty  Sp_OAStop   5、隐藏 SQL Server、更改默认的1433端口   右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。   八、如果只做服务器,不进行其它操作,使用IPSec   1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击  添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。   2、再在管理IP筛选器表选项下点击   添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。   3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口   4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成   5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定   6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效. 补充: 修改3389 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。 修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0 禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动) 本地安全策略 封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的 密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天. 在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟. 安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项. 禁止登录屏幕上显示上次登录的用户名 控制面板==管理工具==本地安全策略==本地策略==安全选项 或改注册表 HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1 禁TCP/IP中的禁用TCP/IP上的NetBIOS 修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉 WEB目录用户权限设定... 依次做下面的工作: 选取整个硬盘: system:完全控制 administrator:完全控制(允许将来自父系的可继承性权限传播给对象) b.\program files\common files: everyone:读取及运行 列出文件目录 读取(允许将来自父系的可继承性权限传播给对象) c.\inetpub\wwwroot: iusr_machine:读取及运行 列出文件目录 读取 (允许将来自父系的可继承性权限传播给对象) e.\winnt\system32: 选择除inetsrv和centsrv以外的所有目录, 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 f.\winnt: 选择除了downloaded program files、help、iis temporary compressed files、 offline web pages、system32、tasks、temp、web以外的所有目录 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。 g.\winnt: everyone:读取及运行 列出文件目录 读取(允许将来自父系的可继承性权限传播给对象) h.\winnt\temp:(允许访问数据库并显示在asp页面上) everyone:修改 (允许将来自父系的可继承性权限传播给对象) (还是WIN2K3好一点,默认就设好了设限) 删除默认IIS目录 删除IIS中除ASA和ASP的所有解析,除非你要用到别的CGI程序(WIN2K3中去不掉的) 定期查看服务器中的日志logs文件 检查ASP程序是否有SQL注入漏洞 解决方法: 在ASP程序中加入 dim listname if not isnumeric(request("id")) then response.write "参数错误" response.end end if //作用是检查ID是否为INT数字型 如何让asp脚本以system权限运行? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 如何防止asp木马? 基于FileSystemObject组件的asp木马 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除 还原: cacls %systemroot%\system32\scrrun.dll /e /p guests:r regsvr32 scrrun.dll 基于shell.application组件的asp木马 cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除 还原: cacls %systemroot%\system32\shell32.dll /e /p guests:r regsvr32 shell32.dll 可以看一下caclsr语法,f是完全控制,c是写入 把ip2K.jpg另存为,改后缀名为RAR,2K和2K3下的安全策略,借用了REISTLIN的东西,3Q,上面有些东西太简单了就没写全.如果你是用固定IP的话,可以在安全策略中加上允许访问和你自己的IP 关闭Messenger,Remote Registry Service,Task Scheduler 服务及不需要的服务.. 网络服务安全管理 1、关闭不需要的服务 只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。 2、关闭不用的端口 只开放服务需要的端口与协议。 具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。 3、禁止建立空连接 默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接: (1) 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。 (2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。 首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。 网络服务安全配置 1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为: 服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。 客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。 2、安全配置Internet 服务管理器。对IIS服务安全配置如下: (1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。 (2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。 (3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。 4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。 Windows 服务的最佳化说明 Alerter 微软: 通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上 依存: Workstation 建议: 已停用 Application Layer Gateway Service 微软: 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持 补充: 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉 依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 已停用 Application Management (应用程序管理) 微软: 提供指派、发行、以及移除的软件安装服务。 补充: 如上说的软件安装变更的服务 建议: 手动 Automatic Updates 微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。 补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序 建议: 已停用 Background Intelligent Transfer Service 微软: 使用闲置的网络频宽来传输数据。 补充: 经由 Via HTTP1.1 在背景传输资料的?#124;西,例如 Windows Update 就是以此为工作之一 依存: Remote Procedure Call (RPC) 和 Workstation 建议: 已停用 ClipBook (剪贴簿) 微软: 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到 依存: Network DDE 建议: 已停用 COM+ Event System (COM+ 事件系统) 微软: 支持「系统事件通知服务 (SENS)」,它可让事件自动分散到订阅的 COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知。如果此服务被停用,任何明显依存它的服务都无法启动。 补充: 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用 依存: Remote Procedure Call (RPC) 和 System Event Notification 建议: 手动 COM+ System Application 微软: 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。 补充: 如果 COM+ Event System 是一台车,那么 COM+ System Application 就是司机,如事件检视器内显示的 DCOM 没有启用 依存: Remote Procedure Call (RPC) 建议: 手动 Computer Browser (计算机浏览器) 微软: 维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗? 依存: Server 和 Workstation 建议: 已停用 Cryptographic Services 微软: 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止,这些管理服务将无法正确工作。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个 依存: Remote Procedure Call (RPC) 建议: 手动 DHCP Client (DHCP 客户端) 微软: 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。 补充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP 依存: AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP 建议: 手动 Distributed Link Tracking Client (分布式连结追踪客户端) 微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。 补充: 维护区网内不同计算机之间的档案连结 依存: Remote Procedure Call (RPC) 建议: 已停用 Distributed Transaction Coordinator (分布式交易协调器) 微软: 协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。 补充: 如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing 依存: Remote Procedure Call (RPC) 和 Security Accounts Manager 建议: 已停用 DNS Client (DNS 客户端) 微软: 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 如上所说的,另外 IPSEC 需要用到 依存: TCP/IP Protocol Driver 建议: 手动 Error Reporting Service 微软: 允许对执行于非标准环境中的服务和应用程序的错误报告。 补充: 微软的应用程序错误报告 依存: Remote Procedure Call (RPC) 建议: 已停用 Event Log (事件记录文件) 微软: 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。 补充: 允许事件讯息显示在事件检视器之上 依存: Windows Management Instrumentation 建议: 自动 Fast User Switching Compatibility 微软: 在多使用者环境下提供应用程序管理。 补充: 另外像是注销画面中的切换使用者功能 依存: Terminal Services 建议: 手动 Help and Support 微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。 补充: 如果不使用就关了吧 依存: Remote Procedure Call (RPC) 建议: 已停用 Human Interface Device Access 微软: 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如上所提到的 依存: Remote Procedure Call (RPC) 建议: 已停用 IMAPI CD-Burning COM Service 微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。 补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度 建议: 已停用 Indexing Service (索引服务) 微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 补充: 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧 依存: Remote Procedure Call (RPC) 建议: 已停用 Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。 补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉 依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager 建议: 已停用 IPSEC Services (IP 安全性服务) 微软: 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。 补充: 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的 依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 建议: 手动 Logical Disk Manager (逻辑磁盘管理员) 微软: 侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能 依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service 建议: 自动 Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 微软: 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。 补充: 使用 Microsoft Management Console(MMC)主控台的功能时才用到 依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager 建议: 手动 Messenger (信差) 微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。 补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了 依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation 建议: 已停用 MS Software Shadow Copy Provider 微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务,任何明确依存于它的服务将无法启动。 补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务 依存: Remote Procedure Call (RPC) 建议: 已停用 Net Logon 微软: 支持网域上计算机的账户登入事件的 pass-through 验证。 补充: 一般家用计算机不太可能去用到登入网域审查这个服务 依存: Workstation 建议: 已停用 NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享) 微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。 补充: 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧 建议: 已停用 Network Connections (网络联机) 微软: 管理在网络和拨号联机数据夹中的对象,您可以在此数据夹中检视局域网络和远程联机。 补充: 控制你的网络联机 依存: Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 手动 Network DDE (网络 DDE) 微软: 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 一般人好像用不到 依存: Network DDE DSDM、ClipBook 建议: 已停用 Network DDE DSDM (网络 DDE DSDM) 微软: 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 一般人好像用不到 依存: Network DDE 建议: 已停用 Network Location Awareness (NLA) 微软: 收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 补充: 如果不使用 ICF 和 ICS 可以关了它 依存: AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建议: 已停用 NT LM Security Support Provider (NTLM 安全性支持提供者) 微软: 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。 补充: 如果不使用 Message Queuing 或是 Telnet Server 那就关了它 依存: Telnet 建议: 已停用 Performance Logs and Alerts (效能记录文件及警示) 微软: 基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 没什么价值的服务 建议: 已停用 Plug and Play 微软: 启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 补充: 顾名思义就是 PNP 环境 依存: Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio 建议: 自动 Portable Media Serial Number 微软: Retrieves the serial number of any portable music player connected to your computer 补充: 透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务 建议: 已停用 Print Spooler (打印多任务缓冲处理器) 微软: 将档案加载内存中以待稍后打印。 补充: 如果没有打印机,可以关了 依存: Remote Procedure Call (RPC) 建议: 已停用 Protected Storage (受保护的存放装置) 微软: 提供受保护的存放区,来储存私密金钥这类敏感数据,防止未授权的服务、处理、或使用者进行存取。 补充: 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序、主从架构等等 依存: Remote Procedure Call (RPC) 建议: 自动 QoS RSVP (QoS 许可控制,RSVP) 微软: 提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。 补充: 用来保留 20% 频宽的服务,如果你的网络卡不支持 802.1p 或在你计算机的网域上没有 ACS server ,那么不用多说,关了它 依存: AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC) 建议: 已停用 Remote Access Auto Connection Manager (远程访问自动联机管理员) 微软: 当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联机。 补充: 有些 DSL/Cable 提供者,可能需要用此来处理登入程序 依存: Remote Access Connection Manager、Telephony 建议: 手动 Remote Access Connection Manager (远程访问联机管理员) 微软: 建立网络联机。 补充: 网络联机用 依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager 建议: 手动 Remote Desktop Help Session Manager 微软: 管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 [依存性]标签。 补充: 如上说的管理和控制远程协助,如果不使用可以关了 依存: Remote Procedure Call (RPC) 建议: Disable Remote Procedure Call (RPC) (远程过程调用,RPC) 微软: 提供结束点对应程序以及其它 RPC 服务。 补充: 一些装置都依存它,别去动它 依存: 太多了,自己去看看 建议: 自动 Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 微软: 管理 RPC 名称服务数据库。 补充: 如上说的,一般计算机上很少用到,可以尝试关了 依存: Workstation 建议: Disable Remote Registry (远程登录服务) 微软: 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定 依存: Remote Procedure Call (RPC) 建议: 已停用 Removable Storage (卸除式存放装置) 微软: None 补充: 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置,不然可以尝试关了 依存: Remote Procedure Call (RPC) 建议: Disable Routing and Remote Access (路由和远程访问) 微软: 提供连到局域网络及广域网络的公司的路由服务。 补充: 如上说的,提供拨号联机到区网或是 VPN 服务,一般用户用不到 依存: Remote Procedure Call (RPC)、NetBIOSGroup 建议: 已停用 Secondary Logon 微软: 启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 允许多个使用者处理程序,执行分身等 建议: 自动 Security Accounts Manager (安全性账户管理员) 微软: 储存本机账户的安全性信息。 补充: 管理账号和群组原则(gpedit.msc)应用 依存: Remote Procedure Call (RPC)、Distributed Transaction Coordinator 建议: 自动 Server (服务器) 微软: 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,
/
本文档为【windows2003服务器安全设置】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索