Chinaunix首页 | 论坛 | 博客
  • 博客访问: 456387
  • 博文数量: 750
  • 博客积分: 40000
  • 博客等级: 大将
  • 技术积分: 4970
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 12:36
文章分类

全部博文(750)

文章存档

2011年(1)

2008年(749)

我的朋友
最近访客

分类:

2008-09-09 15:22:16


  系统服务选项允许配置所有系统服务的启动类型以及访问控制列表,可配置的选项包括对网络、文件和打印等服务的启动类型(自动、手动、禁用),同时还可以平日至服务的设置,例如用户和/或用户组对服务的读和执行、写、删除、启动、暂停和停止。
  
  使用模板组件修改系统服务
  因为这部分的范围十分广阔,系统服务的配置是跟具体环境相关的。这里没有列出的服务都可以通过编辑安全模板的"Service General Setting"字段来添加,格式是这样的:
  
  服务名称,状态,sddl string specifying ACL
  状态可以是以下几个值:2 自动,3 手动, 4 禁用
  
  举例来说,要禁用IISADMIN这个服务并且禁止所有人访问它(删除所有的ACL),可以使用以下命令:IISADMIN,4,"D:ARS:AR"
  
  通过这个区域添加的服务也可以象其它系统自带服务一样配置,除此之外,administrators组成员还可以使用安全配置附件来配置特定的服务设置,例如由dll文件组成的附件,扩展组件以及安装包等。关于创建安全配置附件的更多信息,请参阅Security Configuration Toolset白皮书:
  
  要查看系统模板中的系统服务设置,在MMC中依次双击:
  
  ■ 安全模板
  ■ 默认配置文件目录(%SystemRoot%\Security\Templates)
  ■ 特定的安全配置文件
  ■ 系统服务
  
  注意:在对一个配置文件进行了任何修改之后,请记得保存修改,然后在正式使用之前一定要先测试好。
  
  以下步骤描述了如何配置系统服务设置:
  
  ■ 双击要配置的服务
  ■ 选中在模板中定义这个策略配置复选框
  ■ 如果这个策略之前没有被配置过,安全对话框就会自动出现,否则,点击编辑安全设置
  ■ 点击添加(添加组和/或用户到访问列表)
  ■ 双击每个要添加的组或者用户然后点击确定
  ■ 确保每个需要的用户和组队那个服务都有了相应的权限
  ■ 点击删除(丛访问列表中删除用户和/或组)
  ■ 权限编辑完成后点击确定
  ■ 在选择服务启动模式下,选择自动、手动或已停用
  

  
图1 显示了安全模板组件中的系统服务设置界面

  系统服务安全
  说到危害,服务可以提供对系统资源的直接访问,这可能会导致缓冲区溢出或者拒绝服务攻击,因此对服务的恰当配置也是保证安全的重要手段。因为根据实际环境和所使用的应用程序的不同,因此本文不会具体针对一个服务进行配置,但是关于配置还是有一些安全指导方针:
  
  只运行需要的服务。举例来说,如果你的系统中运行了telnet和FTP服务但你从不需要它们,那就应当禁用它们。
  
  确保只有少数用户和用户组具有启动、停止和修改服务的权限。
  
  如果系统中有一些不需要的服务,那么最好把它们的启动类型由手动改为禁用,这样就能禁止一些非授权用户或者恶意用户重新把服务启动起来。同时,如果一个服务当前被禁用并且会一直保持禁用状态,建议直接把它设置为禁用而不是"未指定"。
  
  当配置一个服务的启动类型或者访问控制列表时,你必须同时配置它们。当一个服务被设置为禁用,它的默认ACL也应当由原来的Everyone具有Full Control权限设置为Administrators组和SYSTEM具有Full Control权限,被认证的用户仅具有读取的权限,这样的设置更加安全。
  
  用最小的特权运行服务。如果普通用户的权限已经足够,那就不要用域管理员的账户运行服务。
【责编:admin】

--------------------next---------------------

阅读(271) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~