Windows 2003安全之强化堡垒主机(8)

　　服务器

　　表 11.12：设置

　　“服务器”服务通过网络提供RPC支持、文件、打印和命名管道共享。该服务允许本地资源共享，如磁盘和打印机，以便网络上的其他用户访问这些资源。它还允许运行在其它计算机上的应用程序和您的计算机展开命名管道通讯，通信过程使用了RPC。命名管道通讯为一个进程的输出保留了一块内存，并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。

　　停止“服务器”服务将会阻止该计算机和网络上其它计算机间的文件和打印机共享，还会放弃RPC请求。禁用该服务还将导致任何明显依赖它的服务失败。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“服务器”设置被配置为“禁用”。

　　TCP/IP NetBIOS助手服务

　　表 11.13：设置

　　“TCP/IP NetBIOS助手服务”为NetBIOS over TCP/IP（TCP/IP上的NetBIOS，NetBT）和网络上客户端的NetBIOS名称解析提供支持，因此，它允许用户共享文件、打印和登录到网络。“TCP/IP NetBIOS 助手”服务通过执行DNS名称解析，为NetBT服务提供支持。

　　停止“TCP/IP NetBIOS助手服务”可能导致NetBT、重定向器（RDR）、服务器（SRV）、 Netlogon和Messenger服务的客户端无法共享文件和打印机，并且阻止用户登录计算机。例如，基于域的组策略将不再起作用。禁用该服务还导致任何明显依赖它的服务失败。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中“TCP/IP NetBIOS助手服务”设置被配置为“禁用”。