黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]系统服务安全设置 [打印本页]

作者: 青蛙 时间: 2005-12-26 15:09 标题: [原创]系统服务安全设置

[watermark]系统服务选项允许配置所有系统服务的启动类型以及访问控制列表，可配置的选项包括对网络、文件和打印等服务的启动类型（自动，手动，禁用），同时还可以对服务的权限进行安全设置，例如用户和/或用户组对服务的读和执行，写，删除，启动，暂停和停止。
说到危害，服务可以提供对系统资源的直接访问，这可能会导致缓冲区溢出或者拒绝服务攻击，因此对服务的恰当配置也是保证安全的重要手段。因为根据实际环境和所使用的应用程序的不同，因此本文不会具体针对一个服务进行配置，但是关于配置还是有一些安全指导方针：只运行需要的服务。举例来说，如果你的系统中运行了telnet和FTP服务但你从不需要它们，那就应当禁用它们。确保只有少数用户和用户组具有启动、停止和修改服务的权限。如果系统中有一些不需要的服务，那么最好把它们的启动类型由手动改为禁用，这样就能禁止一些非授权用户或者恶意用户重新把服务启动起来。同时，如果一个服务当前被禁用并且会一直保持禁用状态，建议直接把它设置为禁用而不是"未指定"。
当配置一个服务的启动类型或者访问控制列表时，你必须同时配置它们。当一个服务被设置为禁用，它的默认ACL也应当由原来的Everyone具有Full Control权限设置为Administrators组和SYSTEM具有Full Control权限，被认证的用户仅具有读取的权限，这样的设置更加安全。用最小的特权运行服务。如果普通用户的权限已经足够，那就不要用域管理员的账户运行服务。
用户可以点击“开始”->“设置”->“控制面板 ->“管理工具”->“服务”来打开系统服务设置窗口,如下图所示:

作者: 坏的刚刚好 时间: 2005-12-26 16:58 标题: [原创]系统服务安全设置

防范大于事后补救；

作者: 风三 时间: 2005-12-27 13:17 标题: [原创]系统服务安全设置

。。。。。。。。。。。。。。。。。。。

作者: 黑色叶子 时间: 2005-12-27 17:10 标题: [原创]系统服务安全设置

直接停止workstation就可以防止IIS参与的很多查询,比如用户列表
•远程注册表服务DN
严格的说是不安全的
但是一些软件注册需要,注册完了就关了
因为获得了用户名和密码就可以远程操作注册表,很危险的

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)