微軟官方服務詳解卷(doc 70頁)

微軟官方服務詳解卷內容提要：
服務概述
服務必須登錄才能訪問操作係統中的資源和對象，並且大多數服務都沒有被設計為更改其默認登錄帳戶。如果更改默認帳戶，該服務很可能將失敗。如果選定帳戶沒有作為服務登錄的權限，Microsoft 管理控製台 (MMC) 服務管理單元將自動為該帳戶授予在計算機上作為服務登錄的能力。但是，此自動配置並不能保證啟動服務。Windows Server 2003 包括三個內置的本地帳戶，分別用作各係統服務的登錄帳戶：
?
本地係統帳戶。本地係統帳戶功能強大，它可對計算機進行完全訪問，並作為網絡中的計算機工作。如果某項服務使用本地係統帳戶登錄到域控製器，則該服務可訪問整個域。某些服務被默認配置為使用本地係統帳戶，不應更改。本地係統帳戶沒有用戶訪問密碼。
?
本地服務帳戶。本地服務帳戶是一種特殊的內置帳戶，類似於經身份驗證的用戶帳戶。它與 Users 組的成員具有相同級別的資源和對象訪問權限。這種限製性訪問有助於在個別服務或進程受損時保障計算機安全。使用本地服務帳戶的服務使用有匿名憑據的空會話來訪問網絡資源。此帳戶的名稱為 NT AUTHORITY\Local Service，它沒有用戶訪問密碼。
?
網絡服務帳戶。網絡服務帳戶也是一種特殊的內置帳戶，類似於經身份驗證的用戶帳戶。類似於本地服務帳戶，它與 Users 組的成員也具有相同級別的資源和對象訪問權限，能夠幫助保障計算機安全。使用網絡服務帳戶的服務使用計算機帳戶的憑據來訪問網絡資源。此帳戶的名稱為 NT AUTHORITY\Network Service，它沒有用戶訪問密碼。
重要：如果更改默認的服務設置，重要服務可能不能正常運行。如果更改配置為自動啟動的服務的“啟動類型”和“登錄為”設置，務必要小心謹慎，這一點特別重要。
您可以在組策略對象編輯器的下列位置配置係統服務設置：
計算機配置\Windows 設置\安全設置\係統服務\
漏洞
任何服務或應用程序都是潛在的攻擊點。因此，應該禁用或刪除環境中任何不需要的服務或可執行文件。Windows Server 2003 有一些附加可選服務（如 Certificate Services），它們不在操作係統的默認安裝過程中安裝。
這些可選服務可通過控製麵板中的添加/刪除程序或 Windows Server 2003 配置服務器向導添加到現有計算機。還可以創建自定義的 Windows Server 2003 自動化安裝。在（網址為 http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx）內介紹的成員服務器基準策略 (MSBP) 中，這些可選服務和所有不必要的服務已被禁用。
重要：如果啟用附加服務，它們可能依賴於其他服務。將特定服務器角色所需的所有服務添加到該角色在組織中執行的服務器角色策略中。

..............................