文档文库
手机版
投诉建议
热门搜索: 心得体会 演讲稿 思想汇报
首页 > windows2003系统安全配置

windows2003系统安全配置

发布时间:   来源:文档文库   
字号:
手机查看
系统安全设置
·服务器安全设置
一.帐号设置、口令
1.帐号设置
对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号;
aspnet用户的设置为隶属于guests禁用IUSR_xxx
禁用SUPPORT_388945a0
2.口令设置
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”“密码必须符合复杂性要求”选择“已启动”
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”“密码最长存留期”设置为“90天”
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”“强制密码历史”设置为“记住5个密码”
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”“账户锁定阀值”设置为6
二.授权和日志
1.授权
进入“控制面板->管理工具->本地安全策略”“本地策略->用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组”


进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:
“关闭系统”设置为“只指派给Administrators组”
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“取得文件或其它对象的所有权”设置为“只指派给Administrators组”进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“从本地登陆此计算机”设置为“指定授权用户”
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”“从网络访问此计算机”设置为“指定授权用户”
2.日志配置操作
1.审核:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”

全部设置为成功和失败都审核2.事件查看器,日志设置:



进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
日志大小设置为“8192KB,设置当达到最大的日志尺寸时,“按需要改写事件
三.IIS安全设置
1.删除目录、映射
删掉c:/inetpub目录,删除iis不必要的映射,在"应用程序配置"里,我们只给必要的脚本,例如:ASPX,2.分目录权限
首先是每一个web站点使用单独的IIS用户,例如,www.iow.cn限为guest的。在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows用户帐户"的用户名密码都使用www.iow.cn这个用户的信息.在这个站点相对应的web目录文件,默认web目录只给IIS用户的读取权限,3.读写权限分离
日志和上传图片目录给读写权限,并且在IIS里给这个目录无脚本运行权限。
4.关闭web木马利用的组件
禁止使用FileSystemObject组件,RegSrv32/uC:\WINDOWS\SYSTEM32\scrrun.dll



使

WScript.Shell


regsvr32/u
C:\WINDOWS\SYSTEM32\WSHom.Ocx

禁止使用Shell.Application组件regsvr32/uC:\WINDOWS\SYSTEM32\shell32.dll

四.盘符权限设置

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹:C:\D:\E:\F:\类推主要权限部分:
Administrators完全控制
其他权限部分:

该文件夹,子文件夹及文如果安装了其他运行环境,比如PHP等,根据PHP的环境功能要求来设置硬盘权限,<不是继承的>
CREATOR完全控制
一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限

OWNER

只有子文件夹及文件<不是继承的>
SYSTEM完全控制

继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行//权限,IIS用户则相同,这个IIS用户就只
<不是继承的>
用在winwebmailWEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器
硬盘权限设置后面举例
该文件夹,子文件夹及文全,下面会有介绍。如果是winwebmail,则


硬盘或文件夹:C:\DocumentsandSettings主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文


硬盘或文件夹:C:\DocumentsandSettings\AllUsers主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文USERS组的权限仅仅限制于读取和运行,


<不是继承的>
绝对不能加上写入权限

其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>



<不是继承的>

其他权限部分:


硬盘或文件夹:C:\DocumentsandSettings\AllUsers\「开始」菜单主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文


<不是继承的>

其他权限部分:

硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文


<不是继承的>
此文件夹包含Microsoft应用程序状态数据
其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>

硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\HTMLHelp主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文


<不是继承的>

其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>


硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Network\Downloader主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文


硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\MediaIndex主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>

其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<继承于上一级文件夹>创建文件/写入数据创建文件夹/附加数据
SYSTEM完全控制
Users写入属性
写入扩展属性读取权限
该文件夹,子文件夹及文


<不是继承的>

Users
只有该文件夹<不是继承的>创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性

只有该子文件夹和文件




<不是继承的>

其他权限部分:



<不是继承的>
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\DRM主要权限部分:
其他权限部分:
Users读取和运行
该文件夹,子文件夹及文


<不是继承的>
Guests拒绝所有
这里需要把GUEST用户组和IIS访问用
户组全部禁止
Everyone的权限比较特殊,默认安装后
已经带了
主要是要把IIS访问的用户组加上所有权
限都禁止

IUSR_XXX或某个虚拟主机
用户组

硬盘或文件夹:C:\DocumentsandSettings\AllUsers\Documents(共享文档主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\ProgramFiles
该文件夹,子文件夹及文
<不是继承的>

其他权限部分:
该文件夹,子文件夹及文
<不是继承的>Guest拒绝所有
该文件夹,子文件夹及文
<不是继承的>拒绝所有
该文件夹,子文件夹及文
<不是继承的>

主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文
<不是继承的>
其他权限部分:




硬盘或文件夹:C:\ProgramFiles\CommonFiles主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制


读取和运行
Users该文件夹,子文件夹及文

<不是继承的>
其他权限部分:

只有子文件夹及文件<不是继承的>
SYSTEM完全控制

该文件夹,子文件夹及文
<不是继承的>

硬盘或文件夹:C:\ProgramFiles\CommonFiles\MicrosoftShared\webserverextensions主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>
CREATOR完全控制

其他权限部分:

OWNER

只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\ProgramFiles\InternetExplorer\iexplore.exe主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

硬盘或文件夹:C:\ProgramFiles\Serv-U(如果装了Serv-U服务器的话主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>

完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\WINDOWS\repair
该文件夹,子文件夹及文
<不是继承的>
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\ProgramFiles\RhinoSoft.com\Serv-U其他权限部分:

<不是继承的>

其他权限部分:
该文件夹,子文件夹及文
<不是继承的>

主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文
<不是继承的>
其他权限部分:


硬盘或文件夹:C:\WINDOWS\system32主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\WINDOWS\system32\config主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER

<不是继承的>完全控制

其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>
该文件夹,子文件夹及文
<不是继承的>


其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>


只有子文件夹及文件<不是继承的>
SYSTEM完全控制


该文件夹,子文件夹及文
<不是继承的>

硬盘或文件夹:C:\WINDOWS\system32\inetsrv\主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\ASPCompiledTemplates主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

硬盘或文件夹:C:\WINDOWS\system32\inetsrv\iisadmpwd主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文


<不是继承的>

其他权限部分:

<不是继承的>



其他权限部分:
IIS_WPG完全控制
该文件夹,子文件夹及文
<不是继承的>
该文件夹,子文件夹及文
<不是继承的>


其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>

CREATOROWNER

完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\MetaBack主要权限部分:
Administrators完全控制
该文件夹,子文件夹及文

CREATOROWNER


<不是继承的>完全控制
只有子文件夹及文件<不是继承的>
SYSTEM完全控制
该文件夹,子文件夹及文
<不是继承的>


其他权限部分:
Users读取和运行
该文件夹,子文件夹及文
<不是继承的>
该文件夹,子文件夹及文
<不是继承的>

五.注册表安全修改

1.启用SYN攻击保护
在“开始->运行->键入regedit
启用SYN攻击保护的命名值位于注册表项找到注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect

点击右键修改SynAttackProtect键值的属性。
在弹出的“编辑DWORD值”对话框数值数据栏中输入“2”。单击“确定”,继续在注册表中添加下列键值,防范SYN洪水攻击。

EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0
指定必须在触发SYNflood保护之前超过的TCP连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5
启用SynAttackProtect后,该值指定SYN_RCVD状态中的TCP连接阈值,超过SynAttackProtect时,触发SYNflood保护。值名称:TcpMaxHalfOpen推荐值数据:500
启用SynAttackProtect后,指定至少发送了一次重传的SYN_RCVD状态中的TCP连接阈值。超过SynAttackProtect时,触发SYNflood保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400
2.关闭Windows硬盘默认共享



进入“开始->运行->Regedit,进入注册表编辑器,
更改注册表键值:在HKLM\System\CurrentControlSet\
Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AutoShareServer键,值为0;增加REG_DWORD类型的AutoShareWks键,值为03.关闭IPC$默认共享

进入“开始->运行->Regedit,进入注册表编辑器,
展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”注册表项双击“restrictanonymous”,将其键值设为“1”即可
六.其他配置操作
1.屏幕保护
进入“控制面板->显示->屏幕保护程序”
用屏幕保护程序,设置等待时间为“5分钟”,启用“在恢复时使用密码保护”
2.关闭自动播放
点击开始运行输入gpedit.msc,打开组策略编辑器,浏览到计算机配置管理模板系统,在右边窗格中双击关闭自动播放,对话框中选择所有驱动器,确定即可。
3.启动项
“开始->运行->MSconfig”启动菜单中,取消不必要的启动项。
七.补丁和防病毒、防火墙管理









1.补丁管理安装操作系统后,安装最新的ServicePack补丁集sp2
执行“开始windowsupdate”打完补丁并重启;
“控制面板自动更新”设置“下载更新,但是由我决定什么时候安装”。2.防病毒安装ESETSmartSecurityBE,并升级到最新。
3.防火墙
对外只开放80端口(按程序要求是不是需要开放其他端口)
八.数据库安全设置1.帐号


删除不需要帐号,修改弱口令,空密码为复杂密码,设置启用强制密码策略2.删除危险的系统存储过程
执行以下语句进行删除
DropPROCEDUREsp_makewebtask
execmaster..sp_dropextendedprocxp_cmdshell/*命令行*/
execmaster..sp_dropextendedprocxp_dirtree/*可以展开你需要了解的目录,获得所有目录深*/
execmaster..sp_dropextendedprocxp_fileexist/*用来确定一个文件是否存在*/execmaster..sp_dropextendedprocxp_getnetname/*可以获得服务器名称*/execmaster..sp_dropextendedprocxp_terminate_processexecmaster..sp_dropextendedprocsp_oamethodexecmaster..sp_dropextendedprocsp_oacreate
execmaster..sp_dropextendedprocxp_regaddmultistringexecmaster..sp_dropextendedprocxp_regdeletekeyexecmaster..sp_dropextendedprocxp_regdeletevalueexecmaster..sp_dropextendedprocxp_regenumkeysexecmaster..sp_dropextendedprocxp_regenumvaluesexecmaster..sp_dropextendedprocsp_add_jobexecmaster..sp_dropextendedprocsp_addtaskexecmaster..sp_dropextendedprocxp_regreadexecmaster..sp_dropextendedprocxp_regwriteexecmaster..sp_dropextendedprocxp_readwebtaskexecmaster..sp_dropextendedprocxp_makewebtask
execmaster..sp_dropextendedprocxp_regremovemultistringexecmaster..sp_dropextendedprocsp_OACreateDropPROCEDUREsp_addextendedproc
重命名C:\ProgramFiles\MicrosoftSQLServer\MSSQL.1\MSSQL\Binn\xplog70.dll

九.Windows服务禁用不不要的服务


Alerter
微软:通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。
(AdministrativeAlerts,除非你的计算机用在局域网络上依存:Workstation建议:已停用
ApplicationLayerGatewayService
微软:提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持
补充:如果你不使用因特网联机共享(ICS提供多台计算机的因特网存取和因特网联机防火(ICF软件你可以关掉
依存:InterntConnectionFirewall(ICF/InternetConnectionSharing(ICS建议:已停用
ApplicationManagement(应用程序管理
微软:提供指派、发行、以及移除的软件安装服务。补充:如上说的软件安装变更的服务建议:手动
BackgroundIntelligentTransferService
微软:使用闲置的网络频宽来传输数据。
补充:经由ViaHTTP1.1在背景传输资料的?#124;西,例如WindowsUpdate就是以此为工作之一
依存:RemoteProcedureCall(RPCWorkstation建议:已停用
ClipBook(剪贴簿
微软:启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充:把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到依存:NetworkDDE
建议:已停用[page][/page]
ComputerBrowser(计算机浏览器
微软:维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。
补充:一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗?依存:ServerWorkstation建议:已停用


DHCPClient(DHCP客户端
微软:透过登录及更新IP地址和DNS名称来管理网络设定。
补充:使用DSL/CableICSIPSEC的人都需要这个来指定动态IP
依存:AFD网络支持环境、NetBTSYMTDITCP/IPProtocolDriverNetBiosoverTCP/IP建议:手动
DistributedLinkTrackingClient(分布式连结追踪客户端
微软:维护计算机中或网络网域不同计算机中NTFS档案间的连结。补充:维护区网内不同计算机之间的档案连结依存:RemoteProcedureCall(RPC建议:已停用[page][/page]
DistributedTransactionCoordinator(分布式交易协调器
微软:协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。补充:如上所说的,一般家庭用计算机用不太到,除非你启用的MessageQueuing依存:RemoteProcedureCall(RPCSecurityAccountsManager建议:已停用
DNSClient(DNS客户端
微软:解析并快取这台计算机的网域名称系统(DNS名称。如果停止这个服务,这台计算机将无法解析DNS名称并寻找ActiveDirectory网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。
补充:如上所说的,另外IPSEC需要用到依存:TCP/IPProtocolDriver建议:手动
ErrorReportingService
微软:允许对执行于非标准环境中的服务和应用程序的错误报告。补充:微软的应用程序错误报告依存:RemoteProcedureCall(RPC建议:已停用
HelpandSupport
微软:让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。补充:如果不使用就关了吧
依存:RemoteProcedureCall(RPC建议:已停用[page][/page]HumanInterfaceDeviceAccess
软:启用对人性化接口装置(HID的通用输入存取,HID装置启动并维护对这个键盘、程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。

补充:如上所提到的
依存:RemoteProcedureCall(RPC建议:已停用
IMAPICD-BurningCOMService
微软:使用ImageMasteringApplicationsProgrammingInterface(IMAPI来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。
补充:XP整合的CD-RCD-RW光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快Nero的开启速度建议:已停用
IndexingService(索引服务
微软:本机和远程计算机的索引内容和档案属性;透过弹性的查询语言提供快速档案存取。补充:简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧依存:RemoteProcedureCall(RPC建议:已停用
InternetConnectionFirewall(ICF/InternetConnectionSharing(ICS
微软:为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充:如果你不使用因特网联机共享(ICS或是XP内含的因特网联机防火墙(ICF你可以关掉ApplicationLayerGatewayServiceNetworkConnectionsNetworkLocationAwareness(NLARemoteAccessConnectionManager建议:已停用
HumanInterfaceDeviceAccess
软:启用对人性化接口装置(HID的通用输入存取,HID装置启动并维护对这个键盘、程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充:如上所提到的
依存:RemoteProcedureCall(RPC建议:已停用
IMAPICD-BurningCOMService
微软:使用ImageMasteringApplicationsProgrammingInterface(IMAPI来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。
补充:XP整合的CD-RCD-RW光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快Nero的开启速度建议:已停用
IndexingService(索引服务

微软:本机和远程计算机的索引内容和档案属性;透过弹性的查询语言提供快速档案存取。补充:简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧依存:RemoteProcedureCall(RPC建议:已停用
InternetConnectionFirewall(ICF/InternetConnectionSharing(ICS
微软:为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充:如果你不使用因特网联机共享(ICS或是XP内含的因特网联机防火墙(ICF你可以关掉ApplicationLayerGatewayServiceNetworkConnectionsNetworkLocationAwareness(NLARemoteAccessConnectionManager建议:已停用
NetMeetingRemoteDesktopSharing(NetMeeting远程桌面共享
微软:让经过授权的使用者可以使用NetMeeting透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。
补充:如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧建议:已停用
NetworkDDE(网络DDE
微软:为动态数据交换(DDE对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE传输和安全性将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。补充:一般人好像用不到
依存:NetworkDDEDSDMClipBook建议:已停用
NetworkDDEDSDM(网络DDEDSDM微软:讯息动态数据交换(DDE网络共享。如果这个服务被停止,DDE网络共享将无法使用。如果这个服务被停用,任何明确依存于它的服务将无法启动。补充:一般人好像用不到依存:NetworkDDE建议:已停用
NetworkLocationAwareness(NLA
微软:收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。补充:如果不使用ICFICS可以关了它AFDTCP/IPProcotolDriverInternetConnectionFirewall(ICF/InternetConnectionSharing(ICS建议:已停用

NTLMSecuritySupportProvider(NTLM安全性支持提供者
微软:为没有使用命名管道传输的远程过程调用(RPC程序提供安全性。补充:如果不使用MessageQueuing或是TelnetServer那就关了它依存:Telnet建议:已停用
PerformanceLogsandAlerts(效能记录文件及警示
微软:基于事先设定的排程参数,从本机或远程计算机收集效能数据,然后将数据写入记录或?#124;发警讯。如果这个服务被停止,将不会收集效能信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。补充:没什么价值的服务建议:已停用[page][/page]
PortableMediaSerialNumber
微软:Retrievestheserialnumberofanyportablemusicplayerconnectedtoyourcomputer补充:透过联机计算机重新取得任何音乐拨放序号?没什么价值的服务建议:已停用
PrintSpooler(打印多任务缓冲处理器
微软:将档案加载内存中以待稍后打印。补充:如果没有打印机,可以关了依存:RemoteProcedureCall(RPC建议:已停用
QoSRSVP(QoS许可控制,RSVP
微软:提供网络讯号及区域流量控制安装功能给可识别QoS的程序和控制小程序项。补充:用来保留20%频宽的服务,如果你的网络卡不支持802.1p或在你计算机的网域上没ACSserver,那么不用多说,关了它
依存:AFD网络支持环境、TCP/IPProcotolDriverRemoteProcedureCall(RPC建议:已停用
RemoteDesktopHelpSessionManager
微软:管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的[依存性]标签。
补充:如上说的管理和控制远程协助,如果不使用可以关了依存:RemoteProcedureCall(RPC建议:Disable
RemoteProcedureCall(RPCLocator(远程过程调用定位程序微软:管理RPC名称服务数据库。
补充:如上说的,一般计算机上很少用到,可以尝试关了

依存:Workstation建议:Disable
RemoteRegistry(远程登录服务
微软:启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止,登录只能由这个计算机上的使用者修改。如果这个服务被停用,何明确依存于它的服务将无法启动。补充:基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定
依存:RemoteProcedureCall(RPC建议:已停用
RemovableStorage(卸除式存放装置微软:None
补充:除非你有Zip磁盘驱动器或是USB之类可携式的硬件或是Tape备份装置,不然可以尝试关了
依存:RemoteProcedureCall(RPC建议:Disable
RoutingandRemoteAccess(路由和远程访问
微软:提供连到局域网络及广域网络的公司的路由服务。
补充:如上说的,提供拨号联机到区网或是VPN服务,一般用户用不到依存:RemoteProcedureCall(RPCNetBIOSGroup建议:已停用
Server(服务器
微软:透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。如果停用这个服务,所有依存于它的服务将无法启动。补充:简单的说就是档案和打印的分享,除非你有和其它计算机分享,不然就关了依存:ComputerBrowser建议:已停用
ShellHardwareDetection
微软:为自动播放硬件事件提供通知。
补充:一般使用在记忆卡或是CD装置、DVD装置上依存:RemoteProcedureCall(RPC建议:自动
SmartCard(智慧卡
微软:管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。如果这个服务被停用,任何明确依存于它的服务将无法启动。补充:如果你不使用SmartCard,那就可以关了依存:PlugandPlay建议:已停用


SmartCardHelper(智能卡协助程序
微软:启用对这个计算机使用的旧版非随插即用智能卡读取头的支持。如果这个服务被停止,这个计算机将不支持旧版读取头。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充:如果你不使用SmartCard,那就可以关了建议:已停用
SSDPDiscoveryService
微软:在您的家用网络上启用通用随插即用装置的搜索。
充:如上说的,通用随插即用服务(UniversalPlugandPlay,UPnP让计算机可以找到并使用网络上的装置,经由网络联机透过TCP/IP来搜索装置,像网络上的扫瞄器、数字相机或是打印机,亦即使用UPnP的功能,基于安全性没用到的大可关了依存:UniversalPlugandPlayDeviceHost建议:已停用
SystemRestoreService
微软:执行系统还原功能。若要停止服务,从我的计算机->内容,[系统还原]中关闭系统还
补充:将计算机回复至先前的状态,不使用就关了依存:RemoteProcedureCall(RPC建议:已停用
TCP/IPNetBIOSHelper(TCP/IPNetBIOS协助程序
微软:启用[NetBIOSoverTCP/IP(NetBT]服务及NetBIOS名称解析的支持。补充:如果你的网络不使用NetBios或是WINS,你大可关闭依存:AFD网络支持环境、NetBt建议:已停用
Telephony(电话语音
微软:为本机计算机上及经由局域网络连接到正在执行此服务的服务器上,控制电话语音装置和IP为主语音联机的程序,提供电话语音API(TAPI支持。补充:一般的拨号调制解调器或是一些DSL/Cable可能用到
PlugandPlayRemoteProcedureCall(RPCRemoteAccessConnectionManagerRemoteAccessAutoConnectionManager建议:已停用
Telnet
使TCP/IPTelnet客户端,包含以UNIX为基本和Windows为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。如果服务停用了,任何明确地依存于这项服务的其它服务将会启失败。
补充:允许远程使用者用Telnet登入本计算机,一般人会误解关了就无法使用BBS这其实

BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了
依存:NTLMSecuritySupportProviderRemoteProcedureCall(RPCTCP/IPProtocolDriver建议:已停用
TerminalServices(终端机服务
微软:允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强(包含系统管理员的RD快速切换使用者、远程协助和终端机服务器。补充:远程桌面或是远程协助的功能,不需要就关了
依存:RemoteProcedureCall(RPCFastUserSwitchingCompatibilityInteractiveLogon建议:启用
Themes
微软:提供使用者经验主题管理。
补充:很多人使用布景主题,不过如果没有使用的人,那就可以关闭建议:自动[page][/page]
UniversalPlugandPlayDeviceHost
微软:提供主机通用随插即用装置的支持。补充:用来侦测安装通用随插即用服务(UniversalPlugandPlay,UPnP装置,像是数字相机或打印机
依存:SSDPDiscoveryService建议:已停用
VolumeShadowCopy
微软:管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止,卷影复制将无法用于备份,备份可能会失败。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充:如上所说的,用来备份的?#124;西,如MSBackup程序就需要这个服务依存:RemoteProcedureCall(RPC建议:已停用
WebClient
微软:启用Windows为主的程序来建立、存取,以及修改因特网为主的档案。如果停止这个服务,这些功能将无法使用。如果停用这个服务,任何明确依存于它的服务将无法启动。补充:使用WebDAV将档案或数据夹上载到所有的Web服务,基于安全性的理由,你可以尝试关闭
依存:WebDavClientRedirector建议:禁用
WindowsAudio
微软:管理用于Windows为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常?#092;作。如果这个服务被停用,任何明确依存于它的服务将无法启动。补充:如果你没有声卡可以关了他
依存:PlugandPlayRemoteProcedureCall(RPC

建议:禁用
WindowsImageAcquisition(WIA(Windows影像取得程序微软:为扫描仪和数字相机提供影像撷取服务。
补充:如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了依存:RemoteProcedureCall(RPC建议:已停用
WindowsTime(Windows时间设定
微软:维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。如果这个服务被停用,所有依存的服务都会停止。补充:网络对时校准用的,没必要就关了建议:已停用
WirelessZeroConfiguration
微软:802.11适配卡提供自动设定
补充:自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络适配卡装置,那么你才有必要使用这个网络零管理服务
依存:NDISUsermodeI/OProtocolRemoteProcedureCall(RPC建议:已停用
WMIPerformanceAdapter
微软:提供来自WMIHiPerf提供者的效能链接库信息。补充:如上所提
依存:RemoteProcedureCall(RPC建议:已停用l


本文来源:https://www.2haoxitong.net/k/doc/42b1950f6c85ec3a87c2c587.html

《windows2003系统安全配置.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式

相关推荐

推荐内容

宿舍卫生检讨书13篇 广东龙光集团简介 寸戚风蛋糕的做法 女生抽烟检讨书800字 英美文学重点整理 超市理货员应知应会技能比赛复习题及参考答案 与女友分手后得不到复合的原因 人民币汇率与价格问题的探讨 家委会主任发言稿 健全政府部门间协调机制初论
网站内容来自网络,如有侵权请联系我们,立即删除! Copyright © 范文写作网京ICP备16605803号