华南俳烁实业有限公司

　　系統(tǒng)服務(wù)
　

　　一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

　　在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，Windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭(zhēng)議的服務(wù)缺省運(yùn)行。

　　其中一個(gè)服務(wù)是分布式文件系統(tǒng)（DFS）服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡(jiǎn)化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

我個(gè)人很喜歡DFS，尤其因?yàn)樗�的容錯(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來(lái)，DFS的利大于弊。

　　另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)（FRS）。FRS被用來(lái)在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗�能夠保持SYSVOL文件夾的同步。對(duì)于成員服務(wù)器來(lái)說(shuō)，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

　　另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)（PSS）。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

　　不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢？通常地，沒(méi)有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒(méi)有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過(guò)程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡(jiǎn)單的關(guān)閉這一服務(wù)。

　　信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗�是統(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧!

　　最后提醒大家，經(jīng)常到各大網(wǎng)絡(luò)安全站點(diǎn)看其最新公告，并急時(shí)為系統(tǒng)打上補(bǔ)丁，這樣你的系統(tǒng)會(huì)安全許多。