??? 任何網(wǎng)絡(luò)服務(wù)的安裝的提供都是建立在系統(tǒng)服務(wù)的基礎(chǔ)上的，因此做好系統(tǒng)服務(wù)安全是系統(tǒng)安全和網(wǎng)絡(luò)安全的重要環(huán)節(jié)。任何服務(wù)都可能存在漏洞，但乜可能“因噎廢食”，最佳方案就是通過一切可行方法，確保系統(tǒng)服務(wù)的安全．如禁用非必要服務(wù)、設(shè)置服務(wù)訪問權(quán)限等。

一、系統(tǒng)服務(wù)配置注意事項(xiàng)
配置系統(tǒng)服務(wù)時(shí)應(yīng)注意以下事項(xiàng)：
1、根據(jù)服務(wù)的描述以及業(yè)務(wù)的需求，確定是否使用此服務(wù)；
2、具體每個(gè)服務(wù)的內(nèi)容和功能，請參考微軟的說明和咨詢業(yè)內(nèi)安全專家；
3、禁止或者設(shè)置成手動(dòng)啟動(dòng)的方式處理系統(tǒng)非必須的服務(wù)；
4、如對系統(tǒng)可能適成的影響不了解，在測試環(huán)境中測試驗(yàn)證通過以后，再在應(yīng)用環(huán)境中部署；
5、對于安裝應(yīng)用程序同步安裝的服務(wù)，如無必要，應(yīng)將其關(guān)閉。

依次選擇“開始--管理工具--服務(wù)”命令，打開“服務(wù)”控制臺窗口，顯示本地計(jì)算機(jī)中所有的服務(wù)。

??? 系統(tǒng)服務(wù)的處理不同于其他設(shè)置，因?yàn)樗蟹?wù)的漏洞、對策及潛在影響在本質(zhì)上都一樣。安裝Windows Server 2008操作系統(tǒng)時(shí)，系統(tǒng)將在啟動(dòng)時(shí)創(chuàng)建并配置默認(rèn)服務(wù)。有些服務(wù)在組織環(huán)境中并不需要，但仍在Windows中被啟用，來確保應(yīng)用程序或客戶端兼容或輔助進(jìn)行系統(tǒng)管理。

二、服務(wù)
服務(wù)僅在登錄到某一賬戶的情況下才能訪問操作系統(tǒng)中的資源和對象，大多數(shù)的服務(wù)都不更改默認(rèn)的登錄賬戶，更改默認(rèn)賬戶可能導(dǎo)致服務(wù)失敗，如果選定賬戶沒有登錄計(jì)算機(jī)服務(wù)的權(quán)限，Microsoft 管理控制臺的服務(wù)管理單元將自動(dòng)為該賬戶授予登錄服務(wù)的用戶權(quán)限，但并不一定會啟動(dòng)服務(wù)。Windows Server 2008與Windows Server 2003 相同，系統(tǒng)包括3個(gè)內(nèi)置的本地賬戶，分別用作各系統(tǒng)服務(wù)的登錄賬戶。

?? （1）本地系統(tǒng)賬戶
本地系統(tǒng)賬戶功能強(qiáng)大，它可對本地系統(tǒng)進(jìn)行完全訪問，并為網(wǎng)絡(luò)中的計(jì)算機(jī)提供服務(wù)。有些服務(wù)的默認(rèn)配置實(shí)用的是“本地系統(tǒng)”賬戶，則不需要更改默認(rèn)服務(wù)設(shè)置。本地系統(tǒng)賬戶名稱是LocalSystem，沒有密碼設(shè)置。

?? （2）本地服務(wù)賬戶
本地服務(wù)賬戶是一種特殊的內(nèi)置賬戶，類似于經(jīng)過身份驗(yàn)證的用戶賬號。就訪問的資源的對象而言，“本地服務(wù)”賬戶與“Users”組成員權(quán)限等同。這種權(quán)限性訪問有助于在個(gè)別服務(wù)或進(jìn)程受損時(shí)保障系統(tǒng)安全，以“本地服務(wù)”賬戶運(yùn)行的服務(wù)使用有匿名憑據(jù)的空會話來訪問網(wǎng)絡(luò)資源，賬戶名稱為NTAUTHORIT/LocalService，該賬戶沒有密碼。

?? （3）網(wǎng)絡(luò)服務(wù)賬戶
網(wǎng)絡(luò)服務(wù)賬戶也是一種特殊的內(nèi)置賬戶，類似于經(jīng)身份驗(yàn)證的用戶賬戶，就訪問的資源的對象而言，“網(wǎng)絡(luò)服務(wù)”賬戶與“Users”組成員權(quán)限等同。這種限制性訪問有助于個(gè)別服務(wù)或進(jìn)程受損時(shí)保障系統(tǒng)安全，以“網(wǎng)絡(luò)服務(wù)”賬戶運(yùn)行的服務(wù)可使用計(jì)算機(jī)賬戶的憑據(jù)來訪問網(wǎng)絡(luò)資源。賬戶名稱為NTAUTHORIT/LocalService，該賬戶沒有密碼。
注意：如果更改默認(rèn)服務(wù)設(shè)置，重要的服務(wù)可能無法正常運(yùn)行。最重要的是，更改啟動(dòng)類型一定要謹(jǐn)慎，要使用配置了自動(dòng)啟動(dòng)服務(wù)的設(shè)置來登錄。

三、漏洞
任何服務(wù)或應(yīng)用程序都是潛在的攻擊點(diǎn)，因此，必須禁用或刪除系統(tǒng)環(huán)境中不需要的服務(wù)或可執(zhí)行文件，或者直接刪除閑置的網(wǎng)絡(luò)服務(wù)。
注意：如果啟用附加服務(wù)，則會因依賴關(guān)系而要求用時(shí)啟動(dòng)其他服務(wù)。首先明確在組織中執(zhí)行任何的服務(wù)器角色，然后將特定服務(wù)器角色所必需的所有服務(wù)添加到策略中。

四、對策
系統(tǒng)服務(wù)中的“策略”可以有以下4種設(shè)置方式：
1、自動(dòng)??? 2、手動(dòng)?? 3、禁用?? 4、未定義
對于所有不必要的服務(wù)應(yīng)當(dāng)禁用。此外，還可以通過配置用戶定義賬戶列表的訪問控制列表（ACL），編輯服務(wù)安全性。

五、潛在影響
雖然禁用不必要的服務(wù)可以減少系統(tǒng)資源的占用以及系統(tǒng)漏洞，但有些服務(wù)（如 Security Accounts Manager）禁用后將導(dǎo)致系統(tǒng)無法引導(dǎo)，禁用一些關(guān)鍵服務(wù)可能使計(jì)算機(jī)無法通過域控制器的身份驗(yàn)證。因此，為安全起見，在禁用系統(tǒng)服務(wù)前應(yīng)先在測試環(huán)境中測試。
注意：管理員還可以選擇“計(jì)算機(jī)配置--windows設(shè)置--安全設(shè)置--系統(tǒng)服務(wù)”選項(xiàng)，在打開的“組策略對象編輯器”中配置“系統(tǒng)服務(wù)”設(shè)置。