Windows 2003安全之强化堡垒主机(4)

　　自动更新

　　表11.3：设置

　　“自动更新”服务可以让堡垒主机下载并安装重要的Microsoft Windows? 升级。该服务为堡垒主机自动提供最新的升级、驱动程序和增强组件。您将不再需要手工搜索这些重要的升级和信息；操作系统会将它们直接发送给堡垒主机。当您在线并使用Internet连接从Windows 升级服务中搜索可用的更新时，操作系统会做出识别。根据您所做出的设置，该服务将会在下载和安装前向您发出通知，或者为您自动安装升级文件。

　　停止或禁用“自动更新”服务将会阻止重要更新自动下载到计算机上。有些时候，您可能不得不直接连到Windows Update Web站点http://www.windowsupdate.microsoft.com上，以搜索、下载和安装任何可用的重要修补程序。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器，以阻止了未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效地降低一台堡垒主机服务器的攻击表面。因此，请在BHLP中将“自动更新”设置被配置为“禁用”。

　　后台智能传输服务

　　表11.4：设置

　　“后台智能传输服务”（BITS）是一个后台的文件传输机制和队列管理程序。BITS在客户端和HTTP服务器间异步传输文件。BITS接受传递文件的请求并使用空闲的网络带宽，因此其它相关的网络活动（例如浏览等）不会受到影响。

　　停止该服务将会导致诸如“自动更新”这样的特性无法自动下载程序和其它信息，直到服务再次运行为止。这意味着如果该服务没有通过组策略进行配置，那么计算机将不会从“软件更新服务”（SUS）收到自动更新。禁用该服务还导致任何明显依赖它的服务无法传输文件，除非使用了一个可以避免失败的机制通过其它方法直接传输文件，如Internet Explorer。

　　对于堡垒主机的正常操作来说，该服务不是必需的。您可以使用组策略将服务的开始模式设置配置为仅仅允许服务器管理员进行访问，以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外，禁用该服务能有效降低一台堡垒主机服务器的攻击表面。因此，在BHLP中该服务被禁用。