[原创]系统服务安全设置

[watermark]系统服务选项允许配置所有系统服务的启动类型以及访问控制列表，可配置的选项包括对网络、文件和打印等服务的启动类型（自动，手动，禁用），同时还可以对服务的权限进行安全设置，例如用户和/或用户组对服务的读和执行，写，删除，启动，暂停和停止。
说到危害，服务可以提供对系统资源的直接访问，这可能会导致缓冲区溢出或者拒绝服务攻击，因此对服务的恰当配置也是保证安全的重要手段。因为根据实际环境和所使用的应用程序的不同，因此本文不会具体针对一个服务进行配置，但是关于配置还是有一些安全指导方针：只运行需要的服务。举例来说，如果你的系统中运行了telnet和FTP服务但你从不需要它们，那就应当禁用它们。确保只有少数用户和用户组具有启动、停止和修改服务的权限。如果系统中有一些不需要的服务，那么最好把它们的启动类型由手动改为禁用，这样就能禁止一些非授权用户或者恶意用户重新把服务启动起来。同时，如果一个服务当前被禁用并且会一直保持禁用状态，建议直接把它设置为禁用而不是"未指定"。
当配置一个服务的启动类型或者访问控制列表时，你必须同时配置它们。当一个服务被设置为禁用，它的默认ACL也应当由原来的Everyone具有Full Control权限设置为Administrators组和SYSTEM具有Full Control权限，被认证的用户仅具有读取的权限，这样的设置更加安全。用最小的特权运行服务。如果普通用户的权限已经足够，那就不要用域管理员的账户运行服务。
用户可以点击“开始”->“设置”->“控制面板 ->“管理工具”->“服务”来打开系统服务设置窗口,如下图所示: