系统服务选项允许配置所有系统服务的启动类型以及访问控制列表，可配置的选项包括对网络、文件和打印等服务的启动类型（自动、手动、禁用），同时还可以平日至服务的设置，例如用户和/或用户组对服务的读和执行、写、删除、启动、暂停和停止。
　　
　　使用模板组件修改系统服务
　　因为这部分的范围十分广阔，系统服务的配置是跟具体环境相关的。这里没有列出的服务都可以通过编辑安全模板的"Service General Setting"字段来添加，格式是这样的：
　　
　　服务名称,状态,sddl string specifying ACL
　　状态可以是以下几个值：2 自动，3 手动， 4 禁用
　　
　　举例来说，要禁用IISADMIN这个服务并且禁止所有人访问它（删除所有的ACL），可以使用以下命令：IISADMIN,4,"D:ARS:AR"
　　
　　通过这个区域添加的服务也可以象其它系统自带服务一样配置，除此之外，administrators组成员还可以使用安全配置附件来配置特定的服务设置，例如由dll文件组成的附件，扩展组件以及安装包等。关于创建安全配置附件的更多信息，请参阅Security Configuration Toolset白皮书：
　　
　　要查看系统模板中的系统服务设置，在MMC中依次双击：
　　
　　■ 安全模板
　　■ 默认配置文件目录（%SystemRoot%\Security\Templates）
　　■ 特定的安全配置文件
　　■ 系统服务
　　
　　注意：在对一个配置文件进行了任何修改之后，请记得保存修改，然后在正式使用之前一定要先测试好。
　　
　　以下步骤描述了如何配置系统服务设置：
　　
　　■ 双击要配置的服务
　　■ 选中在模板中定义这个策略配置复选框
　　■ 如果这个策略之前没有被配置过，安全对话框就会自动出现，否则，点击编辑安全设置
　　■ 点击添加（添加组和/或用户到访问列表）
　　■ 双击每个要添加的组或者用户然后点击确定
　　■ 确保每个需要的用户和组队那个服务都有了相应的权限
　　■ 点击删除（丛访问列表中删除用户和/或组）
　　■ 权限编辑完成后点击确定
　　■ 在选择服务启动模式下，选择自动、手动或已停用
　　
　　图1 显示了安全模板组件中的系统服务设置界面
　　系统服务安全
　　说到危害，服务可以提供对系统资源的直接访问，这可能会导致缓冲区溢出或者拒绝服务攻击，因此对服务的恰当配置也是保证安全的重要手段。因为根据实际环境和所使用的应用程序的不同，因此本文不会具体针对一个服务进行配置，但是关于配置还是有一些安全指导方针：
　　
　　只运行需要的服务。举例来说，如果你的系统中运行了telnet和FTP服务但你从不需要它们，那就应当禁用它们。
　　
　　确保只有少数用户和用户组具有启动、停止和修改服务的权限。
　　
　　如果系统中有一些不需要的服务，那么最好把它们的启动类型由手动改为禁用，这样就能禁止一些非授权用户或者恶意用户重新把服务启动起来。同时，如果一个服务当前被禁用并且会一直保持禁用状态，建议直接把它设置为禁用而不是"未指定"。
　　
　　当配置一个服务的启动类型或者访问控制列表时，你必须同时配置它们。当一个服务被设置为禁用，它的默认ACL也应当由原来的Everyone具有Full Control权限设置为Administrators组和SYSTEM具有Full Control权限，被认证的用户仅具有读取的权限，这样的设置更加安全。
　　
　　用最小的特权运行服务。如果普通用户的权限已经足够，那就不要用域管理员的账户运行服务。
--------------------next---------------------