系统服务选项允许配置所有系统服务的启动类型以及访问控制列表,可配置的选项包括对网络、文件和打印等服务的启动类型(自动、手动、禁用),同时还可以平日至服务的安全设置,例如用户和/或用户组对服务的读和执行、写、删除、启动、暂停和停止。
使用安全模板组件修改系统服务
因为这部分的范围十分广阔,系统服务的配置是跟具体环境相关的。这里没有列出的服务都可以通过编辑安全模板的"Service General Setting"字段来添加,格式是这样的:
服务名称,状态,sddl string specifying ACL
状态可以是以下几个值:2 自动,3 手动, 4 禁用
举例来说,要禁用IISADMIN这个服务并且禁止所有人访问它(删除所有的ACL),可以使用以下命令:IISADMIN,4,"D:ARS:AR"
通过这个区域添加的服务也可以象其它系统自带服务一样配置,除此之外,administrators组成员还可以使用安全配置附件来配置特定的服务设置,例如由dll文件组成的附件,扩展组件以及安装包等。关于创建安全配置附件的更多信息,请参阅Security Configuration Toolset白皮书:
要查看系统模板中的系统服务设置,在MMC中依次双击:
■ 安全模板
■ 默认配置文件目录(%SystemRoot%SecurityTemplates)
■ 特定的安全配置文件
■ 系统服务
注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好。
以下步骤描述了如何配置系统服务设置:
■ 双击要配置的服务
■ 选中在模板中定义这个策略配置复选框
■ 如果这个策略之前没有被配置过,安全对话框就会自动出现,否则,点击编辑安全设置
■ 点击添加(添加组和/或用户到访问列表)
■ 双击每个要添加的组或者用户然后点击确定
■ 确保每个需要的用户和组队那个服务都有了相应的权限
■ 点击删除(丛访问列表中删除用户和/或组)
■ 权限编辑完成后点击确定
■ 在选择服务启动模式下,选择自动、手动或已停用
图1 显示了安全模板组件中的系统服务设置界面
系统服务安全
说到危害,服务可以提供对系统资源的直接访问,这可能会导致缓冲区溢出或者拒绝服务攻击,因此对服务的恰当配置也是保证安全的重要手段。因为根据实际环境和所使用的应用程序的不同,因此本文不会具体针对一个服务进行配置,但是关于配置还是有一些安全指导方针:
只运行需要的服务。举例来说,如果你的系统中运行了telnet和FTP服务但你从不需要它们,那就应当禁用它们。
确保只有少数用户和用户组具有启动、停止和修改服务的权限。
如果系统中有一些不需要的服务,那么最好把它们的启动类型由手动改为禁用,这样就能禁止一些非授权用户或者恶意用户重新把服务启动起来。同时,如果一个服务当前被禁用并且会一直保持禁用状态,建议直接把它设置为禁用而不是"未指定"。
当配置一个服务的启动类型或者访问控制列表时,你必须同时配置它们。当一个服务被设置为禁用,它的默认ACL也应当由原来的Everyone具有Full Control权限设置为Administrators组和SYSTEM具有Full Control权限,被认证的用户仅具有读取的权限,这样的设置更加安全。
用最小的特权运行服务。如果普通用户的权限已经足够,那就不要用域管理员的账户运行服务。