本文详细介绍了Windows Server 2003和XP中的系统服务,强调了服务的重要性以及改动可能带来的风险。系统服务涉及如DHCP、DNS、IIS、远程访问等多个关键功能,每个服务都有其特定的角色和潜在影响。服务的配置需谨慎,以防止对系统稳定性造成影响。同时,文章提到了如.NET Framework支持服务、ASP.NET状态服务、COM+事件服务等服务的工作原理和功能,以及如何管理和配置这些服务以提升系统安全性。
简介
系统服务的处理不同于其他设置,因为所有服务的漏洞、对策及潜在影响在本质上都一样。第一次安装
Microsoft Windows Server 2003
时,系统将在启动时创建并配置默认服务。有些服务在组织环境中并不需要,但仍在
Windows Server 2003
中被启用来确保应用程序或客户端兼容或辅助进行系统管理。
服务概述
服务仅在登录到某一帐户的情况下才能访问操作系统中的资源和对象。大多数的服务都不更改默认的登录帐户。更改默认帐户可能导致服务失败。如果选定帐户没有登录服务的权限,
Microsoft
管理控制台
(MMC)
的服务管理单元将自动为该帐户授予登录所管理计算机中服务的用户权限。但这并不保证启动服务。
Windows Server 2003
包括三个内置的本地帐户,分别用作各系统服务的登录帐户:
•
本地系统帐户:
本地系统帐户功能强大,它可对系统进行完全访问,并作为网络中的计算机工作。如果某服务登录到域控制器的
“
本地系统
”
帐户,则该服务可访问整个域。有些服务的默认配置是登录到
“
本地系统
”
帐户。不要更改默认服务设置。帐户名称是
LocalSystem
。该帐户没有密码。
•
本地服务帐户:
本地服务帐户是一种特殊的内置帐户,类似于经身份验证的用户帐户。就访问的资源的对象而言,
“
本地服务
”
帐户与
“Users”
(用户)组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以
“
本地服务
”
帐户运行的服务使用有匿名凭据的空会话来访问网络资源。帐户名称是
NT AUTHORITY/LocalService
。该帐户没有密码。
•
网络服务帐户:
网络服务帐户也是一种特殊的内置帐户,类似于经身份验证的用户帐户。就访问的资源的对象而言,
“
网络服务
”
帐户与
“Users”
(用户)组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全。以
“
网络服务
”
帐户运行的服务可使用计算机帐户的凭据来访问网络资源。帐户名称是
NT AUTHORITY/NetworkService
。该帐户没有密码。
要点:
如果更改默认服务设置,重要的服务可能无法正常运行。最重要的是,更改启动类型一定要谨慎,要使用配置了自动启动服务的设置来登录。
漏洞
任何服务或应用程序都是潜在的攻击点。因此,必须禁用或删除系统环境中不需要的服务或可执行文件。
Windows Server 2003
的一些附加可选服务(如证书服务)在
Windows Server 2003
默认安装中不安装。
可将这些可选服务添加至现有系统,方法是使用
“
控制面版
”
中的
“
添加
/
删除程序
”
、
“Windows Server 2003
配置服务器向导
”
或创建
Windows Server 2003
的自定义自动安装。在
“
成员服务器基准策略
”(MSBP)
中,这些可选服务以及所有不必要的服务都被禁用。
要点:
如果启用附加服务,它们反过来会因依赖关系而要求提供其他服务。首先明确在组织中执行任务的服务器角色,然后将特定服务器角色所必需的所有服务添加到策略中。
对策
禁用所有不必要的服务。
这些
“
组策略
”
设置的可能值是:
•
自动
•
手动
•
禁用
•
未定义
此外,还可通过配置用户定义帐户列表的访问控制列表
(ACL)
来编辑服务安全性。
潜在影响
禁用某些服务(如
Security Accounts Manager
)将导致系统无法引导。禁用其他关键服务可能使计算机无法通过域控制器的身份验证。如果要禁用系统的服务,请先在非生产系统中测试。
您可在
“
组策略对象编辑器
”
的下列位置配置
“
系统服务
”
设置:
计算机配置
/Windows
设置
/
安全设置
/
系统服务
/
服务说明
本节按字母顺序描述了
Windows Server 2003
服务。内容包括默认安装的服务和可添加到系统中的附加服务。
.NET Framework
支持服务
如果特定进程要初始化客户端运行时服务,
.NET Framework
支持服务将通知订阅客户端。
.NET Framework
支持服务可提供运行时环境(称作
“
公共语言运行库
”(CLR)
),它负责管理代码的执行并提供使开发过程更简化的服务。编译程序和工具可展示运行时的功能,您可编写受益于这种托管执行环境的代码。
CLR
允许您设计组件和应用程序,其中的对象可跨语言交互。使用其他语言编写的对象可相互通信,它们的操作行为可紧密集成。
如果停止或禁用该服务,客户端将无法接收
CLR
启动的通知。
ASP .NET
状态服务
ASP .NET
状态服务
为
ASP.NET
提供了进程外会话状态的支持。
ASP.NET
有所谓的会话状态概念,会话状态是一组与客户端会话相关联的值列表,它可通过
Session
变量从
ASP.NET
页中获取。有三种提供程序可存储会话数据:进程内,
Microsoft SQL Server
数据库、进程外会话状态服务器。
ASP.NET
状态服务可存储进程外会话数据。该服务通过套接字与运行于
Web
服务器的
ASP.NET Web
应用程序和
Web Service
通信。如果
Web
应用程序或
Web Service
不使用会话状态,或使用其他会话状态提供程序中的一种,请禁用该服务。
COM+
事件服务
COM+
事件服务可提供自动事件分发来订阅
COM
组件。
COM+
事件扩展了
COM+
编程模型,它支持在发布服务器或订阅服务器与事件系统之间使用后期绑定事件或调用方法。事件系统将在信息可用时通知您,而不是反复轮询服务器。
COM+
事件服务可处理发布服务器和订阅服务器的大部分事件语义。发布服务器提供发布事件类型,订阅服务器则请求特定发布服务器的事件类型。订阅在发布服务器和订阅服务器外维护,且在需要时才检索。这简化了两者的编程模型。订阅服务器无需包含构建订阅的逻辑(构建订阅服务器与创建
COM
组件一样简单)。订阅的生命周期独立于发布服务器或订阅服务器的生命周期。订阅可在订阅服务器或发布服务器激活之前构建。
如果停止
COM+
事件服务,系统事件通知服务将关闭,且无法提供登录或注销通知。如果禁用该服务,所有明显依赖于该服务的其他服务都将无法启动。
COM+
系统应用程序
COM+
系统应用程序系统服务可管理基于
COM+
的组件的配置和跟踪。如果停止该服务,大部分基于
COM+
的组件都无法正常工作。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
DHCP
服务器
借助
DHCP
,
DHCP
服务器服务可自动为
DHCP
客户端分配
IP
地址并启用网络设置的高级配置,例如
DNS
服务器、
WINS
服务器。
DHCP
使用的是客户端
/
服务器模型。网络管理员可构建一个或多个
DHCP
服务器来维护
TCP/IP
配置信息,并将信息提供给客户端。服务器数据库包含以下内容:
•
网络中所有客户端的有效配置参数。
•
在池中维护且可分配给客户端的有效
IP
地址,以及手动分配时保留的地址。
•
服务器提供的租约持续时间。租约定义了已分配的
IP
地址的有效时间。
DHCP
是一种
IP
标准,它可借助服务器计算机集中管理
IP
地址和网络中使用的其他相关配置细节信息,从而降低管理地址配置的复杂程度。
Windows Server 2003
家族提供了
DHCP
服务,它可在服务器计算机中执行
DHCP
服务器的功能,并按照当前
DHCP
草案标准征求意见文档
(RFC) 2131
中的描述,然后对网络中启用
DHCP
的客户计算机进行配置。
DHCP
包括了多播地址动态客户端分配协议
(MADCAP)
,其作用是执行多播地址分配。如果系统通过
MADCAP
向注册客户端动态分配
IP
地址,客户端可有效参与数据流进程(如实时视频或音频网络传输)。
通过在网络中安装并配置
DHCP
服务器,启用
DHCP
的客户端可在每次启动并加入网络时自动获取
IP
地址和相关配置参数。
DHCP
服务器使用一种地址租约的形式向请求的客户端提供此配置。
如果停止
DHCP
服务器服务,您将无法再自动接收
IP
地址。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
DHCP
客户端
动态主机配置协议
(DHCP)
客户端可通过注册和更新计算机的
IP
地址和域名服务器
(DNS)
名称来管理网络配置。当客户端(如漫游用户)在整个网络中漫游时,您不必手动更改
IP
设置。只要能在子网中访问
DHCP
服务器,无论客户端重新连接的是哪个子网,系统都将自动为客户端分配新的
IP
地址。您无需手动配置
DNS
或
Windows Internet
名称服务
(WINS)
的设置。
DHCP
服务器可将这些设置赋予客户端,条件是
DHCP
服务器的配置允许发出此类信息。要在客户端启用该选项,只需单击
“
自动获得
DNS
服务器地址
”
选项。重复的
IP
地址不会带来冲突。
如果停止
DHCP
客户端服务,计算机将不接收动态
IP
地址,而动态
DNS
的自动更新也将停止在
DNS
服务器中注册。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
DNS
服务器
DNS
服务器系统服务可通过应答
DNS
名称查询并更新
DNS
名称请求来启用
DNS
名称解析。对于查找使用
DNS
名称来标识的设备和
Active Directory
中的域控制器来说,
DNS
服务器的存在至关重要。
如果停止或禁用
DNS
服务器系统服务,则不会发生
DNS
更新。
DNS
服务器服务不必在每台计算机中运行;但如果
DNS
命名空间的特定部分没有权威的
DNS
服务器,则在该部分使用
DNS
名称来定位设备将失败。如果命名
Active Directory
域的
DNS
命名空间没有权威的
DNS
服务器,系统将无法查找该域的域控制器。
DNS
客户端
DNS
客户端系统服务可解析和缓存计算机的
DNS
名称。
DNS
客户端服务必须在所有执行
DNS
名称解析的计算机中运行。解析
DNS
名称是在
Active Directory
域中查找域控制器所必需的。如果要对使用
DNS
名称解析来标识的设备进行定位,运行
DNS
客户端服务也是很关键的。
在
Windows Server 2003
中运行的
DNS
客户端服务实现了下列功能:
•
系统范围缓存:
在应用程序查询
DNS
服务器时,来自查询响应的资源记录
(RR)
被添至客户端缓存。该信息之后被缓存固定的生存时间
(TTL)
并可再次用于回答后续查询。
•
兼容
RFC
的负缓存支持:
除了缓存来自
DNS
服务器的正查询响应(在答复中包含资源记录信息),
DNS Client
服务还将缓存负查询响应。
如果查询名称的
RR
不存在,则产生负响应。负缓存将阻止其他重复查询不存在的名称的操作,重复查询对客户端系统性能有不良影响。所有负缓存查询信息的保留时间都短于正查询响应的保留时间;在默认情况下,不超过
5
分钟。如果后来的记录又可用,这将避免持续负缓存旧信息。
•
避免
DNS
服务器不响应:
DNS Client
服务可按优先顺序使用服务器搜索列表。该列表包含了为系统每个活动的网络连接配置的所有首选和备用
DNS
服务器。
Windows Server 2003
根据下列标准重新排列这些列表:
•
首选
DNS
服务器优先级第一。
•
如果没有可用的首选
DNS
服务器,则使用备用
DNS
服务器。
•
不响应的服务器临时从列表中删除。
如果
DNS
客户端系统服务停止,计算机无法解析
DNS
名称,无法查找
Active Directory
域控制器。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
FTP
发布服务
FTP
发布服务可通过
Microsoft Internet
信息服务器
(IIS)
管理单元提供
FTP
连接和管理。功能包括:带宽限制、安全帐户和可扩展日志。这包括了新的
“FTP
用户隔离
”
功能,它使用户只能访问
FTP
站点中自己的文件。此外,功能中还增强了国际化支持。
如果停止
FTP
发布服务,服务器将无法作为
FTP
服务器工作。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
HTTP SSL
HTTP SSL
系统服务允许由
IIS
执行安全套接字层
(SSL)
功能。
SSL
是一种建立安全信道的开放标准,它可防止其他用户截获像信用卡号这样关键的信息。最重要的是,
SSL
使万维网中实现安全电子金融事务成为可能,当然也可实现其他
Internet
服务。
如果停止
HTTP SSL
系统服务,
IIS
将无法执行
SSL
功能。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
IAS Jet
数据库访问
IAS Jet
数据库访问系统服务使用
“
远程身份验证拨入用户服务
”(RADIUS)
协议来提供身份验证、授权和记帐服务。它只在
64
位版本的
Windows
系统中可用。使用
Internet
验证服务
(IAS)
可集中管理用户的身份验证、授权和记帐。此外,您还可使用
IAS
在运行
Windows NT 4.0
、
Windows 2000
或
Windows Server 2003
操作系统的域控制器的数据库中验证用户的身份。
IAS
在运行
Windows Server 2003
操作系统的同类和异类网络中的工作性能相同。
IAS
可用作
RADIUS
代理来路由
RADIUS
客户端(访问服务器)与
RADIUS
服务器(为连接尝试执行用户身份验证、授权和记帐)之间的
RADIUS
消息。如果用作
RADIUS
代理,
IAS
是
RADIUS
访问和记帐消息流的中央交换或路由点。
IAS
可在记帐日志中记录有关转发消息的信息。
RADIUS
的身份验证、授权和记帐基础结构包括下列组件:
访问客户端
访问客户端是一种设备,它要求对更大的网络进行某种级别的访问。访问客户端的例子有连接交换机的拨号或虚拟专用网
(VPN)
客户端,无线客户端或局域网
(LAN)
客户端。
RADIUS
客户端(访问服务器)
访问服务器是一种提供对更大网络的某种级别访问的设备。使用
RADIUS
基础结构的访问服务器也是
RADIUS
客户端,它向
RADIUS
服务器发送连接请求和记帐消息。访问服务器的例子有:
•
网络访问服务器
(NAS)
:
向组织网络或
Internet
提供远程访问连接。例如,运行路由和远程访问服务并提供传统拨号
VPN
或组织内部网络的远程访问服务的
Windows 2000
计算机。
•
无线访问点:
使用无线传输和接收技术来提供组织网络的物理层访问。
•
交换机:
使用传统
LAN
技术(如以太网)提供组织网络的物理层访问。
RADIUS
代理
RADIUS
代理是一种设备,它可转发或路由
RADIUS
客户端、
RADIUS
代理和
RADIUS
服务器或
RADIUS
代理之间的
RADIUS
连接请求和记帐消息。
RADIUS
代理使用
RADIUS
消息中的信息(如
User-Name
或
Called-Station-ID RADIUS
属性),然后将
RADIUS
消息路由至合适的
RADIUS
服务器。
如果要在不同组织的多个
RADIUS
服务器中进行身份验证、授权、记帐,
RADIUS
代理可用作
RADIUS
消息的转发点。
RADIUS
服务器
RADIUS
服务器设备可接收并处理
RADIUS
客户端或
RADIUS
代理发送的连接请求或记帐消息。对于连接请求而言,
RADIUS
服务器可处理连接请求中的
RADIUS
属性列表。根据相应的一组规则和用户帐户数据库中的信息,
RADIUS
服务器要么进行身份验证和连接授权,然后返回
“
访问
-
接受
”
消息,要么返回
“
访问
-
拒绝
”
消息。
“
访问
-
接受
”
消息可包含一定的连接限制,访问服务器则在连接期间实现这些限制。
用户帐户数据库
用户帐户数据库是一组用户帐户及属性列表,
RADIUS
服务器可检查这些内容来检查身份验证凭据和包含授权及连接参数信息的用户帐户属性。
IAS
使用的用户帐户数据库可以是本地
SAM
、
Windows NT 4.0
域或
Active Directory
服务。对于
Active Directory
而言,
IAS
可为下列内容提供身份验证和授权:
• IAS
服务器所属域中的用户或计算机帐户
•
运行
Windows .NET Standard Server
的域控制器的双向信任域和信任林;
• Windows Server 2003 Enterprise Edition
• Windows Server 2003 Datacenter Edition
• Windows Server 2003 Web Server Edition
如果用户的身份验证帐户驻留于非默认的
IAS
数据库中,可配置
IAS
作为
RADIUS
代理来将身份验证请求转发至
RADIUS
服务器,该服务器有对用户帐户数据库的访问权限。
Active Directory
的各种数据库包括:
•
不信任林
•
不信任域
•
单向信任域
IAS Jet
数据库有两种:
Ias.mdb
用于配置
IAS
;
Dnary.mdb
对
IAS
跟踪
RADIUS
兼容网络访问服务器的供应商特定属性时使用的字典进行验证。不要修改
Jet
数据库。
如果停止
IAS Jet
数据库访问系统服务,要求验证用户身份的远程网络访问将不可用。例如,远程访问拨号、
VPN
、无线
LAN (802.1x)
和以太网
802.1x LAN
访问将无法工作。如果禁用该服务,路由、远程访问服务
(RRAS)
以及
IAS
都无法启动。此外,您也无法在本地或远程管理
RRAS
或
IAS
。而且,所有明显依赖于该服务的服务都将无法启动。
IIS
管理服务
IIS
管理服务允许对
IIS
组件进行管理。这些组件有
FTP
、应用程序池、
Web
站点、
Web
服务扩展以及网络新闻传输协议
(NNTP)
和简单邮件传输协议
(SMTP)
虚拟服务器。如果停止或禁用该服务,系统将无法运行
Web
、
FTP
、
NNTP
或
SMTP
站点。在
Windows 2000
中,
IIS
管理服务和相关服务在默认情况下安装。在
Windows Server 2003
家族中,安装
IIS
组件必须使用
“
添加
/
删除
Windows
组件
”
或
“
配置服务器
”
。
IMAPI CD
刻录
COM
服务
IMAPI CD
刻录
COM
服务可通过
Image Mastering Applications Programming Interface (IMAPI) COM
接口管理
CD
刻录,并可在用户通过
Windows
资源管理器、
Windows Media® Player (WMP)
或使用此
API
的第三方应用程序发出请求时执行
CD-R
写操作。
IMAPI
允许应用程序暂存并将简单的音频或数据映像刻录到
CD-R
和
CD
可重写
(CD-RW)
设备。
API
支持如下格式:遵循
Joliet
和
ISO 9660
标准的
Redbook
音频和数据磁盘。该标准的体系结构考虑了将来对所支持格式集的扩展。
如果停止或禁用
IMAPI CD
刻录
COM
服务,计算机将无法使用
Windows Server 2003
的内置功能来刻录
CD
。如果使用第三方
CD-RW
应用程序,只要第三方软件不依赖于该服务,关闭该服务便不会影响
CD-R
的刻录。如果在登录后启动该服务,必须注销计算机才能使用
Windows
资源管理器的
CD-R
设备向
CD-R
媒体写数据。
Internet
连接防火墙
(ICF)/Internet
连接共享
Internet
连接防火墙
(ICF)/Internet
连接共享系统服务可为家用或小型办公网络中拨号连接或宽带连接的所有计算机提供网络地址转换
(NAT)
、寻址、名称解析和
/
或入侵防范服务。
如果启用该服务,计算机将成为网络中的
Internet
网关,其他客户计算机可共享一个
Internet
连接、共享文件并共同使用打印机。该服务有相应的位置组策略。
该服务以前在
Windows 2000
中称作
Internet
连接共享。
如果停止
Internet
连接防火墙
(ICF)/Internet
连接共享系统服务,像
Internet
共享、名称解析、寻址和
/
或入侵防范等网络服务将不可用。网络中的客户端可能无法访问
Internet
,它们的
IP
地址将过期,结果一些客户端使用自动专用
IP
寻址
(APIPA)
来进行对等网络连接。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
Internet
验证服务
Internet
验证服务可使用
VPN
设备、远程访问设备
(RAS)
或
802.1x
无线和以太网
/
交换机访问点来对连接网络(
LAN
或远程网络)的用户执行集中式身份验证、审核和记帐。
IAS
实现了
Internet
工程任务组
(IETF)
标准
RADIUS
协议,该协议启用了异构网络访问设备。如果禁用或停止
IAS
,身份验证请求会将故障切换到可用的备份
IAS
服务器中。如果没有可用的备份
IAS
服务器,用户将无法连接网络。如果禁用,所有明显依赖于该服务的其他服务都将无法启动。
IPSec
策略代理
(IPSec
服务
)
IPSec
策略代理
(IPSec
服务
)
服务为
TCP/IP
网络中的客户端和服务器提供了端到端的安全设置,并可管理
IPSec
策略、启动
Internet
密钥交换
(IKE)
并协调
IPSec
策略设置和
IP
安全驱动程序。服务由
NET START
或
NET STOP
命令控制。
IPSec
在
IP
层工作,它对于其他操作系统服务和应用程序而言是透明的。服务提供了数据包筛选,并可在
IP
网络的接收和发送计算机间进行安全协商。您可通过配置
IPSec
来提供:
•
具许可、阻塞或协商安全性等操作的数据包筛选。
•
协商信任和安全
IP
通信。
IKE
协议可基于策略设置来手动验证
IP
数据包发送者和接收者的身份。验证可使用
Kerberos
验证协议、数字证书或共享密钥(密码)。
IKE
自动生成加密密钥和
IPSec
安全关联。
•
具
IPSec
安全格式的
IP
数据包的保护:提供加密完整性、身份验证以及可选的
IP
数据包的加密。
•
使用
IPSec
传输模式进行安全的端到端连接。
•
使用
IPSec
隧道模式的安全
IP
隧道。
此外,
IPSec
还为第
2
层隧道协议
(L2TP) VPN
连接提供安全性。如果停止
IPSec
最低0.47元/天 解锁文章
322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
