Windows 2003安全之强化堡垒主机(5)

　　计算机浏览器

　　表11.5：设置

　　“计算机浏览器”服务在网络上维护一个当前计算机的列表，并将列表提供给需要它的程序。“计算机浏览器” 服务由需要查看网络域和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护，该列表包括了网络上使用的所有共享资源。Windows应用程序的较早版本，如“我的网络位置”、“NET VIEW”命令和Microsoft Windows NT? Explorer，都需要浏览功能。例如，在运行Windows 95的计算机上打开“我的网络位置”，就会显示一个域和计算机的列表，这个列表就是该计算机从一台被指定为浏览器的计算机浏览列表中获得的一个副本。

　　禁用“计算机浏览器”服务将会导致无法更新和维护浏览器列表。禁用该服务还导致任何明显依赖它的服务不能运行。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，在BHLP中的“计算机浏览器”设置被配置为“禁用”。

　　DHCP客户

　　表11.6：设置

　　“DHCP客户”服务通过登记和更新计算机的 IP 地址和DNS名称来管理网络配置。当一个客户，例如一个漫游用户，在网络上无目的游荡时，该服务将会阻止用户手工更改IP设置。客户会被自动分配一个新的IP地址，而不考虑它所连接的子网——只要动态主机配置协议（DHCP）服务器对于每个子网来说都是可访问的。没有必要对DNS或Windows　Internet名称系统（WINS）的设置进行手工配置。DHCP服务器会将这些服务设置强加给客户，只要DHCP服务器已经做好配置并且可以发出此类信息即可。 若要在客户端激活该选项，只需选择“自动获得DNS服务器地址”单选按钮。激活该选项将避免因IP地址重复带来的冲突。

　　停止“DHCP客户”服务将导致您的计算机无法接收到动态的IP地址，动态DNS更新功能也不会在DNS服务器上自动更新IP地址。禁用该服务还导致任何明显依赖它的服务失败。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，因此，BHLP中的“DHCP客户”设置被配置为“禁用”。