打造Windows Server 2003堡垒主机(3)

№ Ⅳ-016

自动关闭停止回应的程式

打开注册表 HKEY_CURRENT_USER\\Control Panel\\Desktop 键，将 AutoEndTasks 值设为 1。 ( 原设定值：0 )

№ Ⅳ-017

禁用系统服务Qos

开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 \管理模板”→“网络” ， 展开 \数据包调度程序\，

限制可保留带宽\，在属性中的“设置”中有“限制可保留带宽\，选择“已禁用”，确定即可。

当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到\Packet Scheduler（QoS 数据

改成功，否则说明修改失败。

№ Ⅳ-018

启动声音

2003默认是禁止声音的。

点击->控制面板->声音 开启就行了。

有些应用程序要用到声音，如报警音。

№ Ⅳ-019

启用硬件和DirectX加速

硬件加速：桌面点击右键－属性 －设置－高级－疑难解答。把该页面的硬件加速滚动条拉到“完全”，最好点击“确定”保存

一瞬的黑屏是完全正常。

加速：打开“开始” -> “运行”，键入“dxdiag”并回车打开“DirectX 诊断工具”，在“显示”页面，点击DirectDraw, Direct3D an

按钮启用加速。把“声音的硬件加速级别”滚动条拉到“完全加速”。

№ Ⅳ-020

禁用关机事件跟踪

每次关闭系统的时候，WIN2003的事件跟踪程序总在问我们为什么关机器，说实话，每次都问真烦！但做为堡垒主机，不建议禁

开始 -> 运行 -> gpedit.msc->计算机配置 -> 管理模板 -> 系统 -> 显示关机事件跟踪 -> 禁用。

此项不做硬性要求。

№ Ⅳ-021

减少开机磁盘扫描等待时间

开始→运行，键入“chkntfs/t:0”

Ⅴ.系统安全设置 项目编号 № Ⅴ-001 项目名称 NTFS磁盘权限设置 项目描述

操作步骤 1、点C盘右键“属性”中的“安全”选项卡：(如左下图) C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

2、Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。（如右下图）

备 注 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All

Users\\Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可

以跳转到这个目录，写入脚本或文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法。在用做web\\ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给Adinistrators权限。

项目编号 № Ⅴ-002

项目名称 配置操作系统提供的服务 (详解)

项目描述 禁用操作系统提供的不必要的服务。本部分的内容将作详细解释。 操作步骤

格式： 服务名----显示名称〖进程名〗 说明

【 可设置为自动启动的服务 】

◇ AeLookupSvc----Application Experience Lookup Service〖svchost.exe〗是应用程序兼容性管理器的一部分。它在应用程序启动时为应用程序处理应用程序兼容性查找

请求，为域中的 Windows Server 2003 计算机提供支持，报告兼容性问题，并将软件更新自动应用到程序。它必须处于活动状态才能应用应用程序兼容性软件更新。不能自定义此项服务，操作系统内部使用它。此服务不使用任何网络、Internet 或 Active Directory® 目录服务资源。

◇ ALG---- Application Layer Gateway Service〖alg.exe〗为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。应用程序层网关 (ALG) 插件可以打开端口并更改数据包中嵌入的数据，如端口和 IP 地址。文件传输协议 (FTP) 是唯一的网络协议，它在 Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中有相应的插件。ALG FTP 插件经设计，可以通过 Windows 中包含的网址转换 (NAT) 引擎来支持活动的 FTP 会话。要达到此目的，ALG FTP 插件将穿过 NAT 的、目标为端口 21 的所有通信重定向到环回适配器上范围为 3000-5000 的专有侦听端口。然后 ALG FTP 插件监视/更新 FTP 控制通道上的通信，以便 FTP 插件可以通过此 FTP 数据通道的 NAT 来探测到端口映射。FTP 插件还会更新 FTP 控制通道流中的端口。如果停止 Application Layer Gateway Service，所引用的协议的网络连接将不可用，而且会对网络产生反面影响。例如，如果禁用此服务，Windows Messenger 和 MSN® Messenger 即时消息应用程序将失败。

◇ CryptSvc----Cryptographic Services〖svchost.exe〗提供三种管理服务: 编录数据库服务，它确定 Windows 文件的签名；受保护的根服务，它从此计算机添加和删除受信根证书颁发机构的证书；和密钥(Key)服务，它帮助注册此计算机获取证书。Cryptographic Services 实际上由三种不同的管理服务组成：编录数据库服务。此服务添加、删除和查找目录文件，这些文件用于对操作系统中的所有文件进行签名。Windows 文件保护 (WFP)、驱动程序签名和安装都使用此服务来验证签名文件。在安装期间无法停止此服务。如果服务在安装之后停止，它将根据需要再启动。受保护的根服务。此服务添加和删除受信根证书颁发机构的证书。该服务可在显示的服务消息框中提供证书名称和指纹。如果单击“确定”，证书将添加至或从受信任的根颁发机构的当前列表中删除。只有“本地系统”帐户有列表的写入权限。如果此服务停止，当前用户将无法添加或删除受信任的根证书颁发机构证书。密钥服务。此服务允许管理员以本地计算机帐户的名义注册证书。该服务提供注册所需的若干功能：枚举可用证书颁发机构、枚举可用计算机模板，在本地计算机上下文中创建并提交证书请求的能力，等等。只有管理员可使用本地计算机帐户身份进行注册。密钥服务还允许管理员为计算机远程安装个人信息交换 (PFX) 文件。 如果此服务停止，自动注册将无法自动获取默认的计算机证书集。如果此服务被终止，你会经常遇到报告驱动程序未被微软鉴定的警告框。同时这个服务也是windows Update手动或自动更新所需要的。另处，在升级补丁或DirectX必须要这个服务处于运行状态。而Windows Media Player和一些NET程序也需要该服务。如果此服务被禁用，任何依赖它的服务将无法启动。

◇ dcomLaunch----DCOM Server Process Launcher〖svchost.exe〗为 DCOM 服务提供

启动功能。在早期版本的 Windows 中，Remote Procedure Call (RPC) 服务 (RPCSS) 作为本地系统运行。为缩小 Windows 受攻击面并提供深层防御，在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中 RPC 服务功能被分成了两项服务。 RPCSS 服务保留了不需要“本地系统”特权的所有原始功能，现在它在“网络服务”帐户下运行。DCOM Server Process Launcher (DCOMLaunch) 服务合并了要求“本地系统”特权的旧 RPC 服务的功能；它在“本地系统”帐户下运行。默认情况下启用并已启动此服务。 如果 DCOM Server Process Launcher 服务停止，远程过程调用和本地计算机上的 DCOM 请求将不能正常运行。如果此服务停止，尤其是 Windows 防火墙服务也将失败。

◇ Dnscache----DNS Client〖svchost.exe〗为此计算机解析和缓冲域名系统(DNS)名称。DNS Client 服务必须在所有执行 DNS 名称解析的计算机中运行。DNS 名称解析需用于定位 Active Directory 域中的域控制器。DNS Client 服务还需要用于定位通过 DNS 名称解析识别的设备。

在 Windows Server 2003 上运行的 DNS Client 服务可实施以下功能：①系统范围缓存。在应用程序查询 DNS 服务器时，来自查询响应的资源记录 (RR) 被添加至客户端缓存。此信息之后被缓存特定的生存时间 (TTL) 并可再次用于回答后续查询。②兼容 RFC 的负缓存支持。除了来自 DNS 服务器的正查询响应（在答复中包含资源记录信息），DNS Client 服务还将缓存负查询响应。如果被查询名称的 RR 不存在，则产生负响应。负缓存将阻止其他重复查询不存在的名称的操作，重复查询对客户端计算机性能有不良影响。所有缓存的负查询信息的保留时间都短于正查询信息的保留时间；在默认情况下，不超过 5 分钟。如果记录后来又变得可用，此配置将避免不断缓存负状态查询信息。③避免 DNS 服务器不响应。DNS Client 服务使用按优先顺序排列的服务器搜索列表。此列表包含了为计算机上每个活动的网络连接配置的所有首选和备用 DNS 服务器。 Windows Server 2003 根据下列标准重新排列这些列表：①首选 DNS 服务器优先级第一。②如果没有可用的首选 DNS 服务器，则使用备用 DNS 服务器。③不响应的服务器临时从这些列表中删除。

如果此服务被停止，计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用，任何明确依赖它的服务将不能启动。

◇ EventLog---- Event Log〖services.exe〗启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。这些事件日志消息包含有助于诊断应用程序、服务和操作系统问题的信息。日志可通过事件日志 API 或通过 MMC 事件查看器管理单元查看。 在默认情况下，运行 Windows Server 2003 系列操作系统的计算机使用三种不同日志记录事件： ①“应用程序”日志。此日志记录应用程序事件。例如，数据库程序可能在“应用程序”日志中记录文件错误。程序开发人员可确定记录哪些事件。②“安全性”日志。此日志记录如有效和无效登录尝试等事件，以及与资源相关的事件（如创建、打开或删除文件或其他对象）。例如，如果启用登录审核，则登

录计算机的尝试将记录在“安全性”日志中。③“系统”日志。此日志记录与 Windows 组件相关的事件。例如，“系统”日志会记录启动过程中驱动程序或其他组件加载失败。Windows 组件记录的事件类型由服务器预先确定。

配置为域控制器、基于 Windows Server 2003 的计算机还在另外两个日志中记录事件：①“目录服务”日志。此日志记录与 Active Directory 相关的事件。例如，服务器和全局编录之间的连接故障记录在“目录服务”日志中。②“文件复制服务”日志。此日志记录 Windows 文件复制服务事件。例如，文件复制故障和域控制器更新系统卷变更信息时发生的事件都记录在“文件复制”日志中。

配置为 DNS 服务器并运行 Windows 的计算机还在另一日志中记录事件：“DNS 服务器”日志。此日志包含 Windows DNS 服务记录的事件。

该服务能记录程序和系统发送的出错消息。日志包含了对诊断问题有帮助的信息。有时禁用这个服务重启系统后，会导致了与几个网络有关的服务无法启动。并出现无法拨号上网的现象。

◇ PlugPlay----Plug and Play〖services.exe〗即插即用功能。使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。 ◇ ProtectedStorage----Protected Storage〖lsass.exe〗该服务主要用来保存本地密码或网络站点用户名、密码等信息（IE的自动完成需要它的支持）。保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。该服务提供一组软件库，允许应用程序从个人存储位置检索安全信息和其他信息，因其隐藏了存储本身的实现方式和细节。此服务提供的存储位置受到保护，不会被修改。Protected Storage 服务使用基于哈希值的消息验证代码 (HMAC) 和安全哈希算法 1 (SHA1) 加密哈希功能来对用户主密钥进行加密。此组件无需配置。Protected Storage 服务最初引入 Windows 2000。在 Windows XP 和 Windows Server 2003 中，此服务被数据保护 API (DPAPI) 替代，当前它是受保护存储的首选服务。与 DPAPI 不同，Protected Storage 服务的接口不公开。如果 Protected Storage 服务停止，系统将无法访问私钥，Windows Certificate Services 服务将无法运行，安全多用途 Internet 邮件扩展 (S/MIME) 和 SSL 将无法工作，智能卡登录将失败。

◇ RpcSc----Remote Procedure Call (RPC)〖svchost.exe〗作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。是一种安全的进程间通信 (IPC) 机制，它允许数据交换以及对驻留在另一进程中的功能的调用。不同进程可以在同一台计算机上、局域网内或整个 Internet 中。Remote Procedure Call (RPC) 服务充当 RPC 终结点映射程序和 COM 服务控制管理器 (SCM)。超过 50 种服务都依赖于 RPC 服务才可以成功启动。 无法停止或禁用 Remote Procedure Call (RPC) 服务。如果此服务不可用，操作系统将不会加载。

◇ SamSs----Security Accounts Manager〖lsass.exe〗此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。Security Accounts Manager (SAM) 服务是一种

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库打造Windows Server 2003堡垒主机(3)在线全文阅读。