微软官方服务详解卷.docx
- 文档编号:12331925
- 上传时间:2023-04-18
- 格式:DOCX
- 页数:81
- 大小:104.72KB
微软官方服务详解卷.docx
《微软官方服务详解卷.docx》由会员分享,可在线阅读,更多相关《微软官方服务详解卷.docx(81页珍藏版)》请在冰豆网上搜索。
微软官方服务详解卷
系统服务
更新日期:
2006年07月17日
系统服务的介绍方式不同于本指南中的其他设置,因为所有服务的漏洞、对策及潜在影响的说明几乎都相同。
首次安装Microsoft®WindowsServer™2003或MicrosoftWindows®XP时,某些服务被安装和配置为在计算机启动时默认运行。
其默认服务与Windows2000Server中的相比要少一些,对于WindowsServer2003来说,某些特定服务将依照分配给每个服务器的角色而相应改变。
在您的环境中,可能并不需要所有的默认服务,应将任何不需要的服务禁用以增强安全性。
本章将帮助您了解每项服务的功能和目的,并解释了哪些服务在Windows Server 2003和Windows XP中保持启用,以确保应用程序兼容性、客户端兼容性,或者便于计算机系统的管理。
MicrosoftExcel®工作簿“Windows默认安全和服务配置”(本指南的可下载版本附带)说明了默认系统服务设置。
本页内容
服务概述
不要在服务对象上设置权限
系统服务描述
更多信息
服务概述
服务必须登录才能访问操作系统中的资源和对象,并且大多数服务都没有被设计为更改其默认登录帐户。
如果更改默认帐户,该服务很可能将失败。
如果选定帐户没有作为服务登录的权限,Microsoft管理控制台(MMC)服务管理单元将自动为该帐户授予在计算机上作为服务登录的能力。
但是,此自动配置并不能保证启动服务。
WindowsServer2003包括三个内置的本地帐户,分别用作各系统服务的登录帐户:
•
本地系统帐户。
本地系统帐户功能强大,它可对计算机进行完全访问,并作为网络中的计算机工作。
如果某项服务使用本地系统帐户登录到域控制器,则该服务可访问整个域。
某些服务被默认配置为使用本地系统帐户,不应更改。
本地系统帐户没有用户访问密码。
•
本地服务帐户。
本地服务帐户是一种特殊的内置帐户,类似于经身份验证的用户帐户。
它与Users组的成员具有相同级别的资源和对象访问权限。
这种限制性访问有助于在个别服务或进程受损时保障计算机安全。
使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。
此帐户的名称为NTAUTHORITY\LocalService,它没有用户访问密码。
•
网络服务帐户。
网络服务帐户也是一种特殊的内置帐户,类似于经身份验证的用户帐户。
类似于本地服务帐户,它与Users组的成员也具有相同级别的资源和对象访问权限,能够帮助保障计算机安全。
使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。
此帐户的名称为NTAUTHORITY\NetworkService,它没有用户访问密码。
重要:
如果更改默认的服务设置,重要服务可能不能正常运行。
如果更改配置为自动启动的服务的“启动类型”和“登录为”设置,务必要小心谨慎,这一点特别重要。
您可以在组策略对象编辑器的下列位置配置系统服务设置:
计算机配置\Windows设置\安全设置\系统服务\
漏洞
任何服务或应用程序都是潜在的攻击点。
因此,应该禁用或删除环境中任何不需要的服务或可执行文件。
WindowsServer2003有一些附加可选服务(如CertificateServices),它们不在操作系统的默认安装过程中安装。
这些可选服务可通过控制面板中的添加/删除程序或WindowsServer2003配置服务器向导添加到现有计算机。
还可以创建自定义的WindowsServer2003自动化安装。
在WindowsServer2003安全指南(网址为(MSBP)中,这些可选服务和所有不必要的服务已被禁用。
重要:
如果启用附加服务,它们可能依赖于其他服务。
将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。
对策
禁用所有不必要的服务。
对于每项系统服务,都可以通过组策略为其分配一种服务状态。
这些组策略设置的可能值为:
•
自动
•
手动
•
已禁用
•
没有定义
管理服务安全性的另一种方式是,配置一个每项服务都具有用户定义的帐户列表的访问控制列表(ACL)。
此方法提供了一种控制服务的启动和对正在运行的服务进行访问的方式。
潜在影响
如果某些服务(如安全帐户管理器)被禁用,将不能重新启动计算机。
如果其他关键服务被禁用,计算机可能不能向域控制器验证身份。
如果您想要禁用某些系统服务,应先在非生产计算机上测试该设置更改的影响,然后才在生产环境中进行更改。
返回页首
不要在服务对象上设置权限
有一些基于图形用户界面(GUI)的工具可用于编辑服务。
但是,Windows操作系统早期版本(WindowsServer2003之前)中包含的以前版本的这些工具可以在配置某项服务的任何属性时将权限自动应用于各项服务。
如组策略对象编辑器和MMC安全模板管理单元等工具均使用安全配置编辑器DLL来应用这些权限。
例如,当您使用MMC安全模板管理单元在WindowsXP中配置服务的启动状态时,系统将显示以下对话框:
图7.1服务安全性对话框
查看大图
不论是单击“确定”或是“取消”,权限都将应用到正被配置的服务。
很抱歉,此对话框中列出的权限与Windows中包含的大多数服务的默认权限不匹配。
事实上,这些权限会导致许多服务出现多种问题。
Microsoft建议不要更改WindowsXP或WindowsServer2003中包含的服务的权限,因为默认权限的限制性已非常严格。
此项功能在WindowsServer2003中已发生更改,且其安全配置编辑器DLL的版本不强制在编辑服务属性时必须配置权限。
针对这种富有挑战性的情况,可以有多种不同的处理选择:
•
使用安全配置向导,它是WindowsServer2003ServicePack1(SP1)中包括的一个可选Windows组件。
Microsoft建议您在需要针对多种WindowsServer2003服务器角色配置服务和网络端口筛选器时,使用此方法。
•
在运行WindowsServer2003SP1的服务器上运行MMC安全模板管理单元和组策略对象编辑器。
Microsoft建议当您需要为将应用于WindowsXP的安全模板或组策略配置服务时,使用此方法。
•
使用文本编辑器(如记事本)在运行WindowsXPProfessional的计算机上编辑安全模板或组策略。
此方法是最少用到的,但某些客户可能必要这样选择。
下面部分将详细说明。
手动编辑安全模板
尽管可使用文本编辑器(如记事本)来手动编辑它们,但安全模板是很复杂的文件。
如果未使用正确定义的模板规范来创建安全模板,可能会使计算机无法启动。
尽管大多数类型的错误不会导致这类严重问题,但是如果需要手动编辑安全模板则必须小心并注意细节。
当使用其中一种基于GUI的工具来配置安全模板时,配置信息存储在文件的“ServiceGeneralSetting”部分。
以下示例文本来自于某个安全模板,在此模板中Alerter、ClipBook和ComputerBrowser服务的启动状态都已配置为“已禁用”,而DHCP客户端服务的启动状态都已配置为“自动”。
[ServiceGeneralSetting]
Alerter,4,"D:
AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU)
S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:
AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU)
S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:
AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU)
S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,2,"D:
AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)
(A;;CCLCSWLOCRRC;;;IU)
S:
(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
每个条目的格式均包括以逗号分隔的三个字段。
•
第一个字段指示服务名称。
例如,ClipSrv表示ClipBook服务。
•
第二个字段定义启动状态:
•
4指定“已禁用”
•
3指定“手动”
•
2指定“自动”
•
第三个字段以安全描述符定义语言(SDDL)定义服务对象的权限。
使用安全配置向导并不必要理解SDDL的详细信息。
有关SDDL的详细信息,请参阅MSDN®上关于安全描述符定义语言的文章,网址为
security/security_descriptor_definition_language.asp。
要解决服务对象的潜在权限问题,可以删除第三个字段中的SDDL字符串,但保留一对双引号标记。
以下示例显示四项引用服务的正确文本:
[ServiceGeneralSetting]Alerter,4,""ClipSrv,4,""Browser,4,""Dhcp,2,""
在删除安全模板中所有服务的SDDL信息后,保存文件。
然后可以通过任何典型方法应用安全模板。
当然,在将安全模板应用到生产计算机之前,对其进行充分测试是极其重要的。
返回页首
系统服务描述
下面各小节介绍了WindowsServer2003和WindowsXP服务(按字母顺序)。
包括默认安装的服务以及可添加到计算机的附加服务。
注意:
如果某项服务没有启动,则依赖于该服务的其他服务也将无法启动。
因此,如果更改某项服务的状态,可能会影响其他看起来不相关的服务。
这种依存关系存在于本部分介绍的所有服务中。
要检查某项服务的依存关系,在MMC服务管理单元的服务属性对话框中单击“依存关系”选项卡。
Alerter
Alerter服务通知选定的用户和计算机管理警报。
可以使用此服务向连接在您的网络上的指定用户发送警报消息。
警报消息可提醒用户与安全、访问和用户会话等相关的故障。
警报消息从服务器发送到客户端计算机,Messenger服务必须在客户端计算机上运行,用户才能接收警报消息。
(默认情况下,WindowsXP和WindowsServer2003中的Messenger服务被禁用,以使恶意用户无法发送错误通知。
)
如果Alerter服务已关闭,使用NetAlertRaise或NetAlertRaiseEx应用程序编程接口(API)的应用程序将无法通过Messenger服务显示的消息框通知用户或计算机发生了管理警报。
例如,很多不间断电源(UPS)管理工具使用Alerter服务向管理员通知与UPS相关的重要事件。
如果要使用此服务,应将其启动状态配置为“自动”,以使外部组件在需要时可以使用它。
ApplicationExperienceLookupService
ApplicationExperienceLookupService(AELookupSvc)是应用程序兼容性管理器的一部分。
它在应用程序启动时为应用程序处理应用程序兼容性查找请求,为域中的WindowsServer2003计算机提供支持,报告兼容性问题,并将软件更新自动应用到程序。
ApplicationExperienceLookupService必须处于活动状态才能应用应用程序兼容性软件更新。
不能自定义此项服务,操作系统内部使用它。
此服务不使用任何网络、Internet或ActiveDirectory®目录服务资源。
如果禁用ApplicationExperienceLookupService,服务将继续运行但不会对服务进行调用。
您无法停止实际进程。
ApplicationLayerGatewayService
ApplicationLayerGatewayService是Windows网络子系统的子组件。
它为允许网络协议穿越防火墙并在Internet连接共享后面工作的插件提供支持。
应用程序层网关(ALG)插件可以打开端口并更改数据包中嵌入的数据,如端口和IP地址。
文件传输协议(FTP)是唯一的网络协议,它在WindowsServer2003StandardEdition和WindowsServer2003EnterpriseEdition中有相应的插件。
ALGFTP插件经设计,可以通过Windows中包含的网址转换(NAT)引擎来支持活动的FTP会话。
要达到此目的,ALGFTP插件将穿过NAT的、目标为端口21的所有通信重定向到环回适配器上范围为3000-5000的专有侦听端口。
然后ALGFTP插件监视/更新FTP控制通道上的通信,以便FTP插件可以通过此FTP数据通道的NAT来探测到端口映射。
FTP插件还会更新FTP控制通道流中的端口。
如果停止ApplicationLayerGatewayService,所引用的协议的网络连接将不可用,而且会对网络产生反面影响。
例如,如果禁用此服务,WindowsMessenger和MSN®Messenger即时消息应用程序将失败。
ApplicationManagement
ApplicationManagement服务提供各种软件安装服务,例如“分配”、“发布”和“删除”。
它处理枚举、安装和删除通过组织网络部署的应用程序的请求。
在加入域的计算机控制面板的“添加或删除程序”中单击“添加”时,程序将调用此服务来检索部署的应用程序列表。
使用“添加或删除程序”安装或删除应用程序时,也会调用该服务。
如果组件(如shell或COM)请求安装应用程序以处理文件扩展名、组件对象模型(COM)类或计算机中不存在的ProgID,系统同样要调用该服务。
服务在首次被调用时启动,启动后永不终止。
注意:
有关COM、COM类或ProgID的详细信息,请参阅软件开发工具包(SDK)信息,该信息位于MSDN库中的“Windows资源工具包-Web资源”页面上,网址为上(页面可能为英文)。
如果ApplicationManagement服务停止或被禁用,用户将无法安装、删除或枚举通过MicrosoftIntelliMirror®管理技术在ActiveDirectory中部署的应用程序。
如果禁用此服务,系统将无法检索已部署的应用程序信息,此信息也无法显示在控制面板“添加或删除程序”的“添加新程序”部分。
“从网络添加程序”对话框将显示下面的消息:
网络上没有可用的程序。
如果不重新启动计算机,则在此服务启动后无法停止它。
如果不需要此服务且不希望启动它,则必须禁用它。
ASP.NETStateService
ASP.NETStateService为ASP.NET的进程外会话状态提供支持。
ASP.NET有所谓的会话状态概念,会话状态是一组与客户端会话相关联的值列表,它可通过“会话”设置从ASP.NET页中获取。
有三个选项可用于存储会话数据:
进程内、MicrosoftSQLServer™数据库和进程外会话状态服务器。
ASP.NETStateService存储进程外会话数据。
此服务与运行在使用套接字的Web服务器上的ASP.NET进行通信。
如果此服务停止或者被禁用,将不会处理进程外请求。
此服务的可执行代码在默认情况下安装,但是服务本身被禁用,除非手动将其启动类型更改为“自动”或“手动”。
AutomaticUpdates
AutomaticUpdates服务允许下载并安装Windows和Office的安全更新。
它自动为Windows计算机提供最新的更新程序、驱动程序和增强功能。
您无需手动搜索安全更新和信息,操作系统可将它们直接传送到计算机中。
操作系统可识别您联机的时间,并使用Internet连接通过WindowsUpdate服务搜索可用的更新。
根据具体的配置设置,该服务或在下载前、安装前通知您,或服务将自动安装更新程序。
可以通过“控制面板”中的“系统”设置关闭“自动更新”功能。
或者,也可以右键单击“我的电脑”,然后单击“属性”。
也可以使用MMC组策略对象编辑器管理单元来配置Intranet服务器,该服务器使用WindowsServer更新服务配置为宿主MicrosoftUpdate站点中的更新内容。
此设置允许您指定网络上的一台服务器,使其充当内部更新服务提供者角色。
自动更新客户端将搜索此服务,以查找适用于您网络中的计算机的更新。
注意:
有关WindowsServer更新服务的详细信息,请参阅WindowsServer更新服务网站,网址为
如果AutomaticUpdates服务停止或者被禁用,更新将不会自动下载到计算机。
将需要通过WindowsUpdate网站(网址为:
)搜索、下载,并安装相应的修补程序。
BackgroundIntelligentTransferService(BITS)
BackgroundIntelligentTransferService是一种后台文件传输机制和队列管理器。
BITS可在客户端和HTTP服务器之间异步传输文件。
在默认情况下,提交了BITS请求后,文件将通过其他空闲网络带宽传输,因此其他与网络相关的活动(如浏览)不受影响。
如果连接丢失或用户注销,BITS将使传输挂起。
BITS连接是永久的,在用户注销、网络连接中断和计算机重新启动过程中,信息仍然传输。
一旦用户登录,BITS将恢复用户的传输作业。
BITS通过队列来管理文件传输。
您可对队列中的传输作业安排优先排序,并指定文件是在前台传输还是在后台传输。
后台传输由BITS进行优化,基于空闲网络带宽的可用量来提高和降低(或限制)传输速率。
如果网络应用程序开始消耗较多的带宽,BITS将降低传输速率来保证用户交互。
BITS提供了一个前台优先级和三个后台优先级,可以使用这些优先级来排定传输作业。
优先级较高的作业先于优先级较低的作业执行。
同等优先级的作业共享传输时间和轮转调度,这样可防止大型作业阻塞传输队列。
只有所有的高优先级作业都已完成或处于错误状态,低优先级作业才能接收传输时间。
BITS在WindowsServer2003和WindowsXP上均设置为手动启动。
在提交第一个作业时根据需要来启动。
当未完成的作业都已完成时,BITS停止。
如果BITS停止,一些功能(如“自动更新”)将无法自动下载程序和其他信息。
此功能意味着,计算机还将无法接收来自组织软件更新服务服务器(如果已通过组策略配置)的自动更新。
如果禁用此服务,所有明显依赖于此服务的其他服务都将无法传输文件,除非存在失败保护机制来直接通过其他方法(例如InternetExplorer)传输文件。
CertificateServices
CertificateServices是核心操作系统的一部分,它使公司可充当自己的证书颁发机构(CA),并为应用程序颁发和管理数字证书。
这些应用程序包括安全/多用途Internet邮件扩展(S/MIME)、安全套接字层(SSL)、加密文件系统(EFS)、IP安全(IPSec)和智能卡登录。
WindowsServer2003支持多级CA层次结构和交叉验证信任网络,包括脱机和联机CA。
默认情况下不会安装CertificateServices。
管理员必须通过控制面板中的“添加或删除程序”来安装它。
如果CertificateServices停止或在安装后被禁用,系统将无法接受证书请求,也无法发布证书吊销列表(CRL)和增量CRL。
如果该服务的停止时间超过CRL有效期,现有的证书将无法验证。
ClientServiceforNetWare
安装了ClientServiceforNetWare服务的服务器可为交互式登录用户提供访问NetWare网络中的文件和打印资源的权限。
使用ClientServiceforNetware,您可以访问Netware服务器中的文件和打印资源。
这些服务器在计算机中运行Novell目录服务(NDS)或二进制安全(NetWare版本3.x或4.x)。
ClientServiceforNetWare不支持IP协议,无法与仅支持IP环境的NetWare5.x交互操作。
要提供此能力,必须在NetWare5.x服务器中加载网间数据包交换(IPX)协议,或使用与NetwareCoreProtocol(NCP)兼容、并支持纯IP的重定向程序。
如果ClientServiceforNetWare服务停止或被禁用,您将失去访问NetWare网络中的文件和打印资源的权限,除非安装了NovellClientforNetWare。
默认情况下不安装和启用此服务。
ClipBook
ClipBook服务启用“剪贴簿查看器”创建并共享供远程用户查看的数据页。
此服务依赖于NetworkDynamicDataExchange(NetDDE)服务来创建其他计算机可以连接到的实际文件共享。
ClipBook应用程序和服务允许创建共享的数据页。
默认情况下安装ClipBook服务,但其启动状态被配置为“已禁用”。
如果此服务停止,“剪贴簿查看器”将无法与远程计算机共享信息。
Clipbrd.exe仍可用于查看本地剪贴簿。
如果用户突出显示文本,然后单击“编辑”菜单中的“复制”,或按键盘中的Ctrl+C,数据将被存储在剪贴簿中。
ClusterService
ClusterService控制服务器的群集操作并管理群集数据库。
群集是一起工作以提供负载平衡和故障转移支持的多台独立计算机的集合。
能
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 微软 官方 服务 详解