本章集中討論了在企業(yè)環(huán)境中強(qiáng)化堡壘主機(jī)的問(wèn)題。堡壘主機(jī)是一臺(tái)既安全但是又允許公眾訪問(wèn)的計(jì)算機(jī)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)(也就是大家熟知的DMZ、非軍事化區(qū)域或者受屏蔽子網(wǎng))面向公眾的一側(cè)。堡壘主機(jī)不受防火墻或過(guò)濾路由器的保護(hù),因此它被完全暴露在攻擊中。因此,我們必須花大力氣來(lái)設(shè)計(jì)和配置堡壘主機(jī),將其可能遭受攻擊的機(jī)會(huì)減至最少。
堡壘主機(jī)通常被用作Web服務(wù)器、域名系統(tǒng)(DNS)服務(wù)器、文件傳輸協(xié)議(FTP)服務(wù)器、簡(jiǎn)單郵件傳輸協(xié)議(SMTP)服務(wù)器及網(wǎng)絡(luò)新聞傳輸協(xié)議(NNTP)服務(wù)器等。理想情況下,堡壘主機(jī)應(yīng)該只執(zhí)行這些服務(wù)中的某一個(gè)功能,因?yàn)樗缪莸慕巧蕉啵霈F(xiàn)安全漏洞的可能性就越大。而在一臺(tái)堡壘主機(jī)上只對(duì)一個(gè)服務(wù)的安全進(jìn)行維護(hù)則較為容易一些。能夠在多項(xiàng)堡壘主機(jī)業(yè)務(wù)上投入資金的企業(yè)必將從此類(lèi)網(wǎng)絡(luò)體系中獲益匪淺。
安全的堡壘主機(jī)的配置與一般主機(jī)有很大區(qū)別。所有不必要的服務(wù)、協(xié)議、程序和網(wǎng)絡(luò)接口都應(yīng)該被禁用或刪除,而且,每個(gè)堡壘主機(jī)通常被配置成只承擔(dān)一個(gè)角色。按照此方式經(jīng)過(guò)加強(qiáng)的堡壘主機(jī)可以免遭某些類(lèi)型攻擊的威脅。
本章下面部分將詳細(xì)敘述可以在不同環(huán)境中最有效保護(hù)堡壘主機(jī)的各種安全加固設(shè)置
堡壘主機(jī)本地策略
與本指南前面所述的應(yīng)用組策略的其它服務(wù)器不同,組策略不能應(yīng)用到堡壘主機(jī)服務(wù)器,這是因?yàn)樗鼈儽慌渲脼楠?dú)立主機(jī),不屬于Microsoft? Active Directory? 域。由于它們高度暴露給外界,所以在本指南所定義的三個(gè)環(huán)境中,只為堡壘主機(jī)服務(wù)器提供了一些基本的指導(dǎo)。下面所描述的安全設(shè)置建立在第3章“創(chuàng)建成員服務(wù)器基線(xiàn)”為高安全性環(huán)境提供的成員服務(wù)器基線(xiàn)策略(MSBP)基礎(chǔ)之上。這些設(shè)置包含在一個(gè)安全模板中,此模板必須應(yīng)用到每個(gè)堡壘主機(jī)的“堡壘主機(jī)本地策略(BHLP)”。
應(yīng)用堡壘主機(jī)本地策略
本指南提供的High Security – Bastion Host.inf文件可以用來(lái)配置BHLP。它能夠啟用一臺(tái)SMTP堡壘主機(jī)正常工作所需的服務(wù)。應(yīng)用High Security – Bastion Host.inf可以增強(qiáng)服務(wù)器的安全性,因?yàn)樗鼫p少了堡壘主機(jī)的攻擊表面,但是您將無(wú)法對(duì)堡壘主機(jī)進(jìn)行遠(yuǎn)程管理。您必須對(duì)BHLP進(jìn)行一些修改才能實(shí)現(xiàn)更多的功能或增加堡壘主機(jī)的可管理性。
為了應(yīng)用安全模板中的所有安全設(shè)置,必須使用“安全配置和分析”管理單元,而不是“本地計(jì)算機(jī)策略”管理單元。使用“本地計(jì)算機(jī)策略”管理單元導(dǎo)入安全模板是不可能的,這是因?yàn)橛糜谙到y(tǒng)服務(wù)的安全設(shè)置無(wú)法在此管理單元中應(yīng)用。
下面的步驟描述了使用“安全配置和分析”管理單元來(lái)導(dǎo)入并應(yīng)用BHLP安全模板的過(guò)程。
警告:Microsoft強(qiáng)烈推薦在應(yīng)用High Security – Bastion Host.inf前,對(duì)堡壘主機(jī)服務(wù)器進(jìn)行一次完全備份。以便在應(yīng)用High Security – Bastion Host.inf安全模板后如果出現(xiàn)了問(wèn)題,可將堡壘主機(jī)恢復(fù)到其初始配置。請(qǐng)確信您已經(jīng)對(duì)安全模板進(jìn)行了配置,以啟用您所在環(huán)境需要的堡壘主機(jī)功能。
導(dǎo)入安全模板:
1. 運(yùn)行“安全配置和分析”管理單元。
2. 右健單擊“安全配置和分析”的范圍項(xiàng)目。
3. 單擊“打開(kāi)數(shù)據(jù)庫(kù)”。
4. 輸入一個(gè)新的數(shù)據(jù)庫(kù)名,然后單擊“打開(kāi)”。
5. 選擇“High Security – Bastion Host.inf”安全模板,然后單擊“打開(kāi)”。
這樣,所有堡壘主機(jī)的設(shè)置就將被導(dǎo)入,然后您可以審查和應(yīng)用這些設(shè)置。
應(yīng)用安全設(shè)置
1. 右健單擊“安全配置和分析”的范圍項(xiàng)目。
2. 選擇“現(xiàn)在配置計(jì)算機(jī)”。
3. 在“現(xiàn)在配置計(jì)算機(jī)”對(duì)話(huà)框中輸入希望查看的日志文件名稱(chēng),然后單擊“確定”。
完成這些步驟后,所有相關(guān)安全模板設(shè)置將全部應(yīng)用于環(huán)境中堡壘主機(jī)的本地策略。您必須重新啟動(dòng)堡壘主機(jī)才能使這些設(shè)置生效。
下面部分描述了使用BHLP實(shí)施的安全設(shè)置 。在本章中只論述那些與在MSBP中不同的設(shè)置。
審核策略設(shè)置
用于堡壘主機(jī)的BHLP審核策略的設(shè)置與在High Security – Member Server Baseline.inf文件中所指定的設(shè)置是相同的,詳情請(qǐng)看第三章 “創(chuàng)建成員服務(wù)器基線(xiàn)。”BHLP設(shè)置確保了所有相關(guān)的安全審核信息都被記錄到所有的堡壘主機(jī)服務(wù)器上。
用戶(hù)權(quán)限分配
用于堡壘主機(jī)的BHLP用戶(hù)權(quán)限分配基于High Security – Member Server Baseline.inf文件所指定的設(shè)置。詳情請(qǐng)看第三章“創(chuàng)建成員服務(wù)器基線(xiàn)。”下面描述了BHLP和MSBP間的差別。
允許本地登錄
“允許本地登錄”用戶(hù)權(quán)限允許用戶(hù)在計(jì)算機(jī)上啟動(dòng)一個(gè)交互會(huì)話(huà)。對(duì)那些能登錄到堡壘主機(jī)服務(wù)器控制臺(tái)的賬號(hào)做出限制,將有助于阻止未經(jīng)授權(quán)的用戶(hù)訪問(wèn)服務(wù)器上的文件系統(tǒng)和系統(tǒng)服務(wù)。
默認(rèn)情況下,Account Operators、Backup Operators、Print Operators及Power Users組被授予了本地登錄的權(quán)限。應(yīng)該將該權(quán)限僅授予Administrators組,以便只有高度信任的用戶(hù)才擁有對(duì)堡壘服務(wù)器的管理訪問(wèn)權(quán)限,而且能夠提供更高水平的安全性。
拒絕從網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)
注意:在安全模板中并不包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務(wù)的賬號(hào)。這些賬號(hào)和組都有唯一的安全標(biāo)識(shí)符(SID)。因此,必須用手工方式將它們加入到BHLP中。
“拒絕從網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)”用戶(hù)權(quán)限規(guī)定了哪些用戶(hù)不能通過(guò)網(wǎng)絡(luò)訪問(wèn)一臺(tái)計(jì)算機(jī)。此設(shè)置將會(huì)拒絕一些網(wǎng)絡(luò)協(xié)議,包括:基于服務(wù)器消息塊(SMB)的協(xié)議、網(wǎng)絡(luò)基礎(chǔ)輸入/輸出系統(tǒng)(NetBIOS)、公共Internet文件系統(tǒng)(CIFS)、超文本傳輸協(xié)議(HTTP)及COM+(Component Object Model Plus)。當(dāng)一個(gè)用戶(hù)賬號(hào)從屬于兩個(gè)策略時(shí),該設(shè)置將忽略“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”的設(shè)置。在企業(yè)環(huán)境中為其它組配置此用戶(hù)權(quán)限可以限制用戶(hù)的訪問(wèn)能力,讓他們只能執(zhí)行委派的管理任務(wù)。
在第三章“創(chuàng)建成員服務(wù)器基線(xiàn)”中,本指南建議將Guests 組加入到已經(jīng)分配了該權(quán)限的用戶(hù)和組中,以提供最高級(jí)別的安全性。然而,用來(lái)匿名訪問(wèn)IIS的IUSR賬號(hào)默認(rèn)情況下是Guests組的成員。因此,在本指南定義的高安全性環(huán)境中,堡壘主機(jī)的“拒絕從網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)”的設(shè)置被配置為包括ANONOYMOUS LOGON、內(nèi)置Administrator、Support_388945a0、Guest及所有非操作系統(tǒng)服務(wù)的賬號(hào)。
安全選項(xiàng)
用于堡壘主機(jī)的BHLP安全選項(xiàng)設(shè)置與在第三章“創(chuàng)建成員服務(wù)器基線(xiàn)”的High Security – Member Server Baseline.inf文件中所指定的設(shè)置是相同的。這些BHLP設(shè)置確保了所有相應(yīng)的安全選項(xiàng)都可以統(tǒng)一配置到全部堡壘主機(jī)服務(wù)器上。
事件日志設(shè)置
用于堡壘主機(jī)的BHLP事件日志設(shè)置與在第三章“創(chuàng)建成員服務(wù)器基線(xiàn)”中的High Security – Member Server Baseline.inf文件中指定的設(shè)置是相同的。這些BHLP設(shè)置確保了所有相應(yīng)的事件日志都可以統(tǒng)一配置到全部堡壘主機(jī)服務(wù)器上。
系統(tǒng)服務(wù)
堡壘主機(jī)服務(wù)器的工作性質(zhì)決定了它將暴露在外界的攻擊之中。因此,每臺(tái)堡壘主機(jī)的攻擊表面積必須要降至最小。為了提高堡壘主機(jī)服務(wù)器的安全性,所有不需要的操作系統(tǒng)服務(wù),以及對(duì)堡壘主機(jī)正常運(yùn)行沒(méi)有必要的角色都應(yīng)該禁用。本指南包括的High Security – Bastion Host.inf 安全模板可以對(duì)BHLP進(jìn)行配置,以啟用一臺(tái)SMTP堡壘主機(jī)服務(wù)器所需要的全部功能。BHLP啟動(dòng)了Internet信息服務(wù)管理器服務(wù)、HTTP SSL 服務(wù)和SMTP服務(wù)。但是,如果需要啟用其它功能,您必須對(duì)BHLP加以修改。
眾多被禁用的服務(wù)將會(huì)產(chǎn)生大量的事件日志警告,您可以忽略這些警告。有些時(shí)候,啟用這些服務(wù)將會(huì)減少事件日志警告和錯(cuò)誤消息以及增加堡壘主機(jī)的可管理性。然而,這樣做也會(huì)增加每臺(tái)堡壘主機(jī)的攻擊表面。
以下小節(jié)論述了在堡壘主機(jī)服務(wù)器上應(yīng)該被禁用的服務(wù),以在降低堡壘主機(jī)攻擊表面的同時(shí)保持其功能。這些小節(jié)只涉及了High Security – Member Server Baseline.inf 文件中未被禁用的服務(wù)。
自動(dòng)更新
“自動(dòng)更新”服務(wù)可以讓堡壘主機(jī)下載并安裝重要的Microsoft Windows? 升級(jí)。該服務(wù)為堡壘主機(jī)自動(dòng)提供最新的升級(jí)、驅(qū)動(dòng)程序和增強(qiáng)組件。您將不再需要手工搜索這些重要的升級(jí)和信息;操作系統(tǒng)會(huì)將它們直接發(fā)送給堡壘主機(jī)。當(dāng)您在線(xiàn)并使用Internet連接從Windows 升級(jí)服務(wù)中搜索可用的更新時(shí),操作系統(tǒng)會(huì)做出識(shí)別。根據(jù)您所做出的設(shè)置,該服務(wù)將會(huì)在下載和安裝前向您發(fā)出通知,或者為您自動(dòng)安裝升級(jí)文件。
停止或禁用“自動(dòng)更新”服務(wù)將會(huì)阻止重要更新自動(dòng)下載到計(jì)算機(jī)上。有些時(shí)候,您可能不得不直接連到Windows Update Web站點(diǎn)http://www.windowsupdate.microsoft.com上,以搜索、下載和安裝任何可用的重要修補(bǔ)程序。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用本地策略將服務(wù)的啟動(dòng)模式設(shè)置為只允許管理員訪問(wèn)服務(wù)器,以阻止了未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,請(qǐng)?jiān)贐HLP中將“自動(dòng)更新”設(shè)置被配置為“禁用”。
后臺(tái)智能傳輸服務(wù)
“后臺(tái)智能傳輸服務(wù)”(BITS)是一個(gè)后臺(tái)的文件傳輸機(jī)制和隊(duì)列管理程序。BITS在客戶(hù)端和HTTP服務(wù)器間異步傳輸文件。BITS接受傳遞文件的請(qǐng)求并使用空閑的網(wǎng)絡(luò)帶寬,因此其它相關(guān)的網(wǎng)絡(luò)活動(dòng)(例如瀏覽等)不會(huì)受到影響。
停止該服務(wù)將會(huì)導(dǎo)致諸如“自動(dòng)更新”這樣的特性無(wú)法自動(dòng)下載程序和其它信息,直到服務(wù)再次運(yùn)行為止。這意味著如果該服務(wù)沒(méi)有通過(guò)組策略進(jìn)行配置,那么計(jì)算機(jī)將不會(huì)從“軟件更新服務(wù)”(SUS)收到自動(dòng)更新。禁用該服務(wù)還導(dǎo)致任何明顯依賴(lài)它的服務(wù)無(wú)法傳輸文件,除非使用了一個(gè)可以避免失敗的機(jī)制通過(guò)其它方法直接傳輸文件,如Internet Explorer。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置配置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,在BHLP中該服務(wù)被禁用。
計(jì)算機(jī)瀏覽器
“計(jì)算機(jī)瀏覽器”服務(wù)在網(wǎng)絡(luò)上維護(hù)一個(gè)當(dāng)前計(jì)算機(jī)的列表,并將列表提供給需要它的程序。“計(jì)算機(jī)瀏覽器” 服務(wù)由需要查看網(wǎng)絡(luò)域和資源的 Windows 計(jì)算機(jī)所使用。被指定為瀏覽器的計(jì)算機(jī)對(duì)瀏覽列表進(jìn)行維護(hù),該列表包括了網(wǎng)絡(luò)上使用的所有共享資源。Windows應(yīng)用程序的較早版本,如“我的網(wǎng)絡(luò)位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer,都需要瀏覽功能。例如,在運(yùn)行Windows 95的計(jì)算機(jī)上打開(kāi)“我的網(wǎng)絡(luò)位置”,就會(huì)顯示一個(gè)域和計(jì)算機(jī)的列表,這個(gè)列表就是該計(jì)算機(jī)從一臺(tái)被指定為瀏覽器的計(jì)算機(jī)瀏覽列表中獲得的一個(gè)副本。
禁用“計(jì)算機(jī)瀏覽器”服務(wù)將會(huì)導(dǎo)致無(wú)法更新和維護(hù)瀏覽器列表。禁用該服務(wù)還導(dǎo)致任何明顯依賴(lài)它的服務(wù)不能運(yùn)行。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,在BHLP中的“計(jì)算機(jī)瀏覽器”設(shè)置被配置為“禁用”。
DHCP客戶(hù)
“DHCP客戶(hù)”服務(wù)通過(guò)登記和更新計(jì)算機(jī)的 IP 地址和DNS名稱(chēng)來(lái)管理網(wǎng)絡(luò)配置。當(dāng)一個(gè)客戶(hù),例如一個(gè)漫游用戶(hù),在網(wǎng)絡(luò)上無(wú)目的游蕩時(shí),該服務(wù)將會(huì)阻止用戶(hù)手工更改IP設(shè)置。客戶(hù)會(huì)被自動(dòng)分配一個(gè)新的IP地址,而不考慮它所連接的子網(wǎng)——只要?jiǎng)討B(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器對(duì)于每個(gè)子網(wǎng)來(lái)說(shuō)都是可訪問(wèn)的。沒(méi)有必要對(duì)DNS或Windows Internet名稱(chēng)系統(tǒng)(WINS)的設(shè)置進(jìn)行手工配置。DHCP服務(wù)器會(huì)將這些服務(wù)設(shè)置強(qiáng)加給客戶(hù),只要DHCP服務(wù)器已經(jīng)做好配置并且可以發(fā)出此類(lèi)信息即可。 若要在客戶(hù)端激活該選項(xiàng),只需選擇“自動(dòng)獲得DNS服務(wù)器地址”單選按鈕。激活該選項(xiàng)將避免因IP地址重復(fù)帶來(lái)的沖突。
停止“DHCP客戶(hù)”服務(wù)將導(dǎo)致您的計(jì)算機(jī)無(wú)法接收到動(dòng)態(tài)的IP地址,動(dòng)態(tài)DNS更新功能也不會(huì)在DNS服務(wù)器上自動(dòng)更新IP地址。禁用該服務(wù)還導(dǎo)致任何明顯依賴(lài)它的服務(wù)失敗。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,因此,BHLP中的“DHCP客戶(hù)”設(shè)置被配置為“禁用”。
網(wǎng)絡(luò)位置感知(NLA)
“網(wǎng)絡(luò)位置感知(NLA)”服務(wù)控制和存儲(chǔ)網(wǎng)絡(luò)配置信息,如IP地址和域名變化等等,還有一些位置變化的信息,然后在這些信息發(fā)生變化時(shí)通知應(yīng)用程序。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,因此,BHLP中的“網(wǎng)絡(luò)位置感知(NLA)”設(shè)置被配置為“禁用”。
NTLM安全支持提供者
“NTLM安全支持提供者”服務(wù)為遠(yuǎn)程過(guò)程調(diào)用(RPC)程序提供了安全保障,這些程序使用傳輸,而不是使用命名管道,該服務(wù)能讓用戶(hù)使用NTLM驗(yàn)證協(xié)議登錄到網(wǎng)絡(luò)上。NTLM協(xié)議對(duì)不使用Kerberos V5驗(yàn)證的客戶(hù)進(jìn)行身份驗(yàn)證。
如果停止或禁用“NTLM安全支持提供者”服務(wù),您將無(wú)法登錄到使用NTLM驗(yàn)證協(xié)議的客戶(hù)端或者訪問(wèn)網(wǎng)絡(luò)資源。Microsoft 操作管理器(MOM)和Telnet都依賴(lài)于該服務(wù)。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,在BHLP中“NTLM安全支持提供者”設(shè)置被配置為“禁用”。
性能日志和警報(bào)
“性能日志和警報(bào)”服務(wù)基于預(yù)先配置的時(shí)間表從本地或遠(yuǎn)程計(jì)算機(jī)上采集性能數(shù)據(jù),然后將數(shù)據(jù)寫(xiě)入一個(gè)日志或觸發(fā)一個(gè)警報(bào)。根據(jù)包含在指定日志采集設(shè)置中的信息,該服務(wù)將啟動(dòng)和停止每個(gè)指定的性能數(shù)據(jù)集合。至少有一個(gè)采集計(jì)劃,該服務(wù)才能運(yùn)行。
停止并禁用“性能日志和警報(bào)”服務(wù)將會(huì)導(dǎo)致性能信息未被搜集,當(dāng)前運(yùn)行的數(shù)據(jù)采集也將會(huì)終止,并且預(yù)定的未來(lái)采集計(jì)劃也將不會(huì)發(fā)生。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,在BHLP中“性能日志和警報(bào)”設(shè)置被配置為“禁用”。
遠(yuǎn)程管理服務(wù)
當(dāng)服務(wù)器重啟動(dòng)時(shí),“遠(yuǎn)程管理服務(wù)”運(yùn)行下列遠(yuǎn)程管理任務(wù):
增加服務(wù)器重啟動(dòng)次數(shù)的計(jì)數(shù)。
生成一個(gè)自我簽署的證書(shū)。
如果未在服務(wù)器上設(shè)置數(shù)據(jù)和時(shí)間,則產(chǎn)生一個(gè)警報(bào)。
如果沒(méi)有配置電子郵件報(bào)警功能,則產(chǎn)生一個(gè)警報(bào)。
停止“遠(yuǎn)程管理服務(wù)”可能會(huì)導(dǎo)致遠(yuǎn)程服務(wù)器管理工具的一些特性不能正常工作,例如,用于遠(yuǎn)程管理的Web界面程序。禁用該服務(wù)還導(dǎo)致任何明顯依賴(lài)它的服務(wù)失敗。
對(duì)于堡壘主機(jī)的正常操作來(lái)說(shuō),該服務(wù)不是必需的。您可以使用組策略將服務(wù)的開(kāi)始模式設(shè)置為僅僅允許服務(wù)器管理員進(jìn)行訪問(wèn),以阻止未經(jīng)授權(quán)或懷有惡意的用戶(hù)對(duì)服務(wù)進(jìn)行配置和操作。此外,禁用該服務(wù)能有效地降低一臺(tái)堡壘主機(jī)服務(wù)器的攻擊表面。因此,在BHLP中“遠(yuǎn)程管理服務(wù)”設(shè)置被配置為“禁用”。
| 共2頁(yè): 1 [2] 下一頁(yè) | ||
|
