本單元記載所有使用 Windows Server 2003 的伺服器在管理基準線安全性範本時的設定需求。本單元也會提供管理上的指示,說明如何在三種企業環境中設定安裝安全的 Windows Server 2003 系統。本單元內所述的設定需求即為其他強化流程的基準線,而這些強化流程能用於本指南後面會探討的伺服器角色。
本單元建議的設定適用於大多數的企業,也可部署在其他使用 Windows Server 2003 的現有系統或新裝的系統。Windows Server 2003 的安全性預設設定已歷經多次的評估與測試。有關本節中所討論的預設設定及每一設定的詳細說明等資訊,請參閱同系列指南《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:https://go.microsoft.com/fwlink/?LinkId=15159。不過,下列所建議的設定中,大多是用於比預設安全層級還高的層級。
下列基準線安全性設定是針對本單元討論的企業環境其中的所有 Windows Server 2003 系統,與以下定義的三個環境有關。這些環境分別是:
傳統用戶端 — 提供充分的安全性,不會限制混合狀態的環境。傳統用戶端層級只用於擁有傳統用戶端的環境。這個環境是本指南定義的最低鎖定層級。為了進一步保護環境,組織可選擇遷移到下一個鎖定層級,即「企業用戶端」層級。如果沒有傳統用戶端要保護,就直接從「企業用戶端」層級開始。這個商業環境包含 Microsoft Windows® 98 作業系統、Microsoft Window® 4.0 Workstation 作業系統、Window 2000 Professional 和 Window XP Professional 工作站。此環境只包含 Windows 2000 或更新版的網域控制站;其中沒有 Windows NT 4.0 網域控制器,但可以有 Windows NT 成員伺服器。
企業用戶端 — 提供專為新系統環境設計的強固安全性。這個商業環境包含使用 Windows 2000 Professional 和 Windows XP Professional 的用戶端。從舊環境移到企業環境所需的大多數工作牽涉到傳統用戶端的升級,例如從 Windows 98 和 Windows NT 4.0 Workstation 升級到 Windows 2000 或 Windows XP。這個環境內的網域控制站都是 Windows 2000 Server 或更新版,。而成員伺服器則是 Windows 2000 Server 或更新版。
高安全性 — 根據先前企業用戶端等級提供強化安全性。從「企業環境」移到「高安全性環境」時,需要符合用戶端和伺服器緊迫的安全性原則。這個環境包含使用 Windows 2000 Professional 及 Windows XP Professional 的用戶端,還有使用 Windows 2000 Server 或更新版的網域控制器。在「高安全性」環境中相當重視安全性,因而可折衷接受功能與管理的巨大損失,以便達成最高層級的安全性。所有在這個環境的成員伺服器是 Windows 2000 Server 或更新版。
Windows Server 2003 出廠時已設定為安全狀態的預設值。在許多例子中,本單元訂定預設值與其他設定,也為本指南所定義的三個環境強制設定某些的預設值。有關所有預設設定值的詳細資訊,請參閱同系列指南《Thrests and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:https://go.microsoft.com/fwlink/?LinkId=15159。
[圖 2]
安全性範本 Enterprise Client – Member Server Baseline.inf 會被匯入到 MSBP,然後再連結到成員伺服器的組織單元 (OU)
本指南後面的單元會定義某些伺服器角色的強化步驟,指南中主要的伺服器角色如下:
網域控制器,其中包含網域名系統 (DNS) 服務。
基礎結構伺服器角色,其中包括:
Windows 網際網路名稱服務 (WINS)
動態主機設定通訊協定 (DHCP)
檔案
列印
網際網路資訊服務 (Internet Information Services,IIS)
Microsoft 網路驗證伺服器 (Internet Authentication Services,IAS )
驗證服務伺服器 (CA)
堡壘主機
很多出現在企業用戶端 MSBP 的設定,遵循也適用於本指南定義的三個環境中的伺服器角色。這些安全性範本特別設計來處理每一個特定環境的安全性需求。下表顯示基準線安全性範本與三個環境的關係。「企業用戶端」,即「高安全性層級」,與建議的基準線原則相關的安全性範本包含辨別正確範本的層級識別。以「企業用戶端」為例,在「企業用戶端」環境中建議使用 Member Server Baseline.inf 檔為安全範本。
[表 1]:三個環境的基準線安全性範本
傳統用戶端
企業用戶端
高安全性
Legacy Client – Member Server Baseline.inf
Enterprise Client – Member Server Baseline.inf
High Security – Member Server Baseline.inf
下面<Windows Server 2003 基準線原則>段落中會闡述 Member Server Baseline.inf 安全性範本中所有環境的共同安全設定。這些基準線安全性範本,也是<[強化 Windows Server 2003 網域控制器](https://technet.microsoft.com/zh-tw/library/b9a5013f-d0be-4788-813a-cad583bc461a(v=TechNet.10))>單元所定義的網域控制器安全性範本的啟動點。
Enterprise Client – Domain Controllers Role.inf 範本會提供「網域控制器群組原則」的群組原則物件 (GPO) 基準線,然後連結到三個環境中的「網域控制器」的組織單元 (OU)。有關建立 OU 和群組原則,然後再將適當的安全性範本匯入到每個 GPO 的逐步說明,請參閱<[在 Windows Server 2003 環境中設立網域基礎結構](https://technet.microsoft.com/zh-tw/library/7063c20d-8726-451f-8d8a-0e90302546b1(v=TechNet.10))>單元。
**注意:**使用群組原則時,有一些強化程序不會自動執行,詳情請見本單元的<額外的成員伺服器強化程序>。
[](#mainsection)[回到頁首](#mainsection)
### Windows Server 2003 基準線原則
「成員伺服器層級」OU 層級的設定會決定網域內所有成員伺服器的共同設定;只要建立一個 GPO,連結到成員伺服器 OU,即基準線原則,此設定就可完成。GPO 之後會自動啟動程序,設定每個伺服器的某些安全性設定。由於下列設定會出現在安全性設定編輯器 (SCE) 嵌入式管理單元的使用者介面 (UI) 上,故在此予以說明。
[](#mainsection)[回到頁首](#mainsection)
### 稽核原則
系統管理員應設定一個稽核原則。稽核原則會決定要向系統管理員報告哪些安全性事件,如此方可記錄指定事件類別中的使用者或系統活動。系統管理員可監視安全性相關的活動,例如存取物件的人員、使用者是否從某台電腦上登入或登出,或稽核原則設定是否受到變更等。
在執行稽核原則前,您必須決定您的公司環境中需要稽核哪些事件類別。系統管理員為事件類別所選擇的稽核設定即會定義公司的稽核原則。對特定事件類別定義稽核設定後,系統管理員就能夠建立一套適合您組織安全性需求的稽核原則。
如果沒有設定稽核設定,就很難,甚至不可能確定安全性事件中究竟發生了什麼事。不過如果已設定稽核,但有過多的授權活動產生事件的話,安全性事件日誌內則會具有許多無用的資料。因此在此提供一些建議,以協助您決定該監視哪些事件,收集真正有用的資訊。
下表即建議本指南內所定義的三個環境應採用的稽核原則設定。您可能會注意到,三個環境中大多數的設定值彼此相似。
下列值可在下列位置的 Windows Server 2003 的「網域群組原則」部分來設定。
電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性設定
如需本節推薦的設定摘要,請參閱「Windows Server 2003 安全性指南設定」的 Microsoft Excel 試算表。有關所有預設值的詳細資訊,請參閱同系列指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,網址為:[https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 稽核帳戶登入事件
**\[表 2\]:設定**
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
成功
成功、失敗
成功、失敗
成功、失敗
\[稽核帳戶登入事件\] 設定決定是否稽核使用者每次登入或登出另一個驗證此帳戶的電腦。驗證網域控制器的網域使用者帳戶會產生一個帳戶登入事件,這個事件會記錄在網域控制器的安全性記錄中。在本機電腦上驗證本機使用者,會產生一個登入事件,此事件會記錄在本機安全性記錄裡。但帳戶登出事件並不會被記載。
如需這些設定記錄的資訊,請參閱<[Windows Server 2003 安全性事件](https://technet.microsoft.com/zh-tw/library/5d277bbc-416e-4789-955d-282abb4cc22d(v=TechNet.10))>。
#### 稽核帳戶管理
**\[表 3\]:設定**
「調整處理序的記憶體配額」使用者權限允許使用者調整處理序可獲取的記憶體上限。這項特殊權限對系統調整很有用,但是也可能被濫用。不肖人士手中就可能用這項使用者權限來啟動對 DOS 的攻擊。這項使用者權限的預設安全性群組對「傳統用戶端」和「企業用戶端」環境已足夠。不過,這項使用者權限是用來強化在「高安全性」環境中的才有的 Administrators, NETWORK SERVICE, LOCAL SERVICE 值。
#### 允許本機登入
**\[表 15\]:設定**
「變更系統時間」使用者權限決定哪個使用者和群組能再電腦內不時鐘更改時間和日期。有這項權限的使用者能影響事件日制的外觀,因為事件日誌會反映新時間,而不是事件發生的實際的時間。要限制「變更系統時間」的特殊權限,只讓有合法需求去變更系統時間的使用者使用,例如 IT 部門的人員。在本機電腦上與網域控制站上之間的時間不一致,可能會造成 Kerberos 驗證通訊協定發生問題,這可能會讓使用者無法登入網域,或無法在登入後取得驗證以存取網域資源。
#### 偵錯程式
**\[表 18\]:設定**
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
Administrators
撤銷所有安全性群組及帳戶
撤銷所有安全性群組及帳戶
撤銷所有安全性群組及帳戶
「偵錯程式」使用者權限決定哪些使用者能將偵錯程式附加在任何處理序或核心。此使用者權限提供對機密和重要的作業系統元件完整的存取權。除了在極端狀況下,例如在測試環境無法有效評估關鍵商業應用程式的疑難排解,程式偵錯不應該發生在生產環境。
**注意:**在 Windows Server 2003,移除偵錯程式權限會造成無法使用 Windows Update 服務。不過仍可透過其他方式手動下載、安裝或應用修補程式。
#### 此電腦拒絕來自網路的存取
**\[表 19\]:設定**
「取得檔案或其他物件擁有權」使用者權限允許使用者取得系統任何安全物件擁有權,包括 Active Directory 物件、NTFS 系統 (NTFS) 檔案和資料夾、印表機、登錄機碼、服務、處理序和執行緒。請確保只有本機 **Administrator** 群組有「取得檔案或其他物件」使用權限。
[](#mainsection)[回到頁首](#mainsection)
### 安全性選項
「群組原則」的「安全性選項」部分被用來為像是資料的數位簽章、系統管理員及 Guest 帳戶名稱、磁碟驅動程式和 CD-ROM 存取、驅動程式安裝操作和登入提示等等設定安全性設定。
安全性選項設定可在 Windows Server 2003 的下列位置、使用「群組原則物件編輯器」進行設定:
電腦設定\\Windows 設定\\安全性設定\\本機原則\\安全性選項
並不是所有安全性群組都存在所有類型的系統裡。還有,很多安全性群組的 SID 在您企業的網域中是獨特的。因此「群組物件」的「安全性選項」部分可能需要在目標群組的系統裡手動修改。本節針對在本MSBP指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱《Windows Server 2003 Security Guide (英文)》設定 Excel 試算表。有關所有預設設定值的詳細資訊,請參閱同系列指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,位於:[https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 帳戶:Guest 帳戶狀態
**\[表 41\]:設定**
\[稽核:稽核通用系統物件的存取\] 安全性選項在有效時稽核通用系統物件的存取。如果啟用 \[稽核:稽核通用系統物件的存取\] 和 \[稽核物件存取稽核原則\] 兩者設定,就會產生大量稽核事件。在本指南定義的所有三個環境中,這項設定設在預設值。
**注意:**重新啟動 Windows Server 2003之後,這項安全性選項設定的更改才會生效。
#### 稽核:稽核備份與還原特殊權限的使用
**\[表 44\]:設定**
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
停用
停用
停用
停用
\[稽核:稽核備份及還原特殊權限的使用\] 安全性選項設定會在「稽核特殊權限使用」原則設定生效時,決定是否稽核所有使用者特殊權限的使用,包括「備份與還原」。啟用這項原則可能產生大量的安全性事件,造成伺服器反應減慢且迫使安全性事件日誌記錄無數鮮少意義的事件。因此在所有三個環境中這項設定設在預設值。
**注意:**重新啟動 Windows Server 2003之後,這項安全性選項設定的更改才會生效。
#### 稽核:如果無法記錄安全性稽核,立即關閉系統
**\[表 45\]:設定**
針對網域帳戶,\[互動式登入:要求網域控制站驗證以解除鎖定工作站\] 設定決定是否必須聯絡網域控制站來解除鎖定電腦。這項設定處理的漏洞類似 \[互動式登入:先前網域控制站無法使用時的登入快取次數\] 設定。使用者可中斷伺服器的網路纜線,以及使用舊密碼解除鎖定伺服器而不須認證解除鎖定伺服器。為了防止這種情況,在本指南定義的三種環境中,這項設定均設為 \[啟用\]。
**重要事項:**這項設定套用在執行 Windows 2000 或更新版,但是無法透過執行 Windows 2000 專用的 Windows Server 2003 的電腦的「安全性設定管理員」工具取得。
#### 互動式登入:智慧卡移除操作
**\[表 68\]:設定**
\[系統設定:選擇性的子系統\] 設定決定哪些子系統用來支援您環境中的應用程式。Windows Server 2003 中預設為 \[POSIX\]。若要停用 POSIX 子系統,這項設定在本指南定義的三種環境中設為 \[無\]。
[](#mainsection)[回到頁首](#mainsection)
### 事件日誌
事件日誌記錄系統的事件。安全性記錄記錄稽核事件。「群組原則」的事件日誌容器用來定義應用程式、安全性和系統事件日誌的屬性,例如記錄大小的最大值、每個記錄的存取權限和保留設定方法。應用程式、安全性與系統事件日誌的設定是設為 MSBP,也可應用在網域的所有成員伺服器。
「事件日誌」可在 Windows Server 2003 的下列位置於「群組原則物件編輯器」中設定:
電腦設定\\Windows 設定\\安全性設定\\事件日誌
本節針對在本 MSBP 指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱「Windows Server 2003 安全性指南」設定 Excel 試算表。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures:Windows Server 2003 和 Windows XP 中的安全性設定 (Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 應用程式記錄檔大小最大值
**\[表 101\]:設定**
\[系統記錄保持方法\] 設定決定系統記錄的「包裝」方式。如果需要舊事件來協助討論或排解疑難,就必須定期保存記錄。視需要覆寫事件可確保記錄永遠儲存最近的事件,雖然這可能導致舊事件的遺失。
[](#mainsection)[回到頁首](#mainsection)
### 系統服務
首次安裝 Windows Server 2003 時,即會建立預設系統服務並在設定在系統啟動時執行。這些系統服務很多不需要在本指南定義的三種環境中執行。
Windows Server 2003 有額外的選擇性服務可用,例如在預設安裝 Windows 2003 時未安裝的「驗證服務」。這些選擇性服務可藉由「新增/移除程式」或「Windows Server 2003 設定您的服務精靈」在現有系統新增,或藉由設立自訂的自動安裝 Windows Server 2003。
任何服務或應用都可能受到攻擊。因此目標環境中任何不需要的服務或執行檔都要停用或移除。MSBP 只啟用Windows Server 2003 成員伺服器需要的服務來加入 Windows Server 2003 網域,提供基本服務。每個伺服器角色需要的特定服務也要啟用。特定群組原則將會在本指南其他單元講述,並會詳述加強每個伺服器角色所需要的特定步驟。
每個伺服器角色需要的特定服務啟用在每個伺服器角色基礎,這些伺服器角色的特定「群組原則」在下一個單元中講述。假如本指南詳述的環境需要額外伺服器角色,以前就需要啟用額外伺服器了。舉例來說,假設 Microsoft SQL 伺服器需要用來在網路應用程式儲存客戶資料,在過去就會需要安裝 SQL 伺服器。在這個例子,運用在新伺服器角色的「群組原則」也需要設定,並將「SQL 服務」設為 \[自動\]。
**注意:**如果啟用額外伺服器,接著就會有依賴者需要進一步服務。所有特定伺服器角色需要的服務可在它在您組織中執行的伺服器角色原則新增。
系統服務設定可在 Windows Server 2003「群組原則物件編輯器」的下列位置設定:
電腦設定\\Windows 設定\\安全性設定\\系統服務\\
本節針對在本 MSBP 指南定義的三種環境提供推薦的安全性選項詳細資料。如需有關本單元推薦的設定摘要,請參閱「Windows Server 2003 安全性指南」設定 Excel 試算表。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures:Windows Server 2003 和 Windows XP 中的安全性設定 (Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 警訊器
**\[表 110\]:設定**
「憑證服務」系統服務是核心作業系統的的一部份,可讓業務具有自己憑證授權單位 (CA) 的功能,以發行和管理數位憑證。這是特定伺服器角色用的服務。因此,請對本指南中定義的三個環境在基礎伺服器原則中停用這個設定。
#### MS 軟體陰影複製提供者
**\[表 117\]:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
SwPrv
手動
手動
手動
手動
「MS 軟體陰影複製提供者」系統服務管理針對「媒體陰影複製」服務取得的檔案陰影複製進行軟體管理。陰影複製供您建立磁碟媒體的複本 (或無誤複本),該複本可以代表該媒體的前後一致及時唯讀點。這個及時點將保持不變,並允許應用程式,例如,Ntbackup,將資料從陰影複製複製到磁帶。如果停用這個服務,將無法管理以軟體為基礎的媒體陰影複製。
#### Client Service for Netware
**\[表 118\]:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
NWCWorkstation
未安裝
停用
停用
停用
「Client Service for Netware」系統服務可將 NetWare 網路上的檔案和列印資源存取權提供給互動方式登入已安裝此服務的伺服器的使用者。藉由 Client Service For NetWare,您可以從您的電腦存取執行 Novell Directory Services (NDS) 或裝訂安全性 (NetWare 3.x 或 4.x) 的 Netware Servers 上的檔案和列印資源。為了確保本指南中定義的三種環境具有更高的安全性,請停用這項服務。
#### 剪貼簿
**表 119:設定**
「DHCP 用戶端」系統服務管理網路設定,方式是登錄和更新 IP 位址以及對您具有 DNS 伺服器的電腦進行動態網域命名服務 (DDNS) 登錄的更新。當用戶端 (例如漫遊使用者),在網路中漫遊時,您不必手動變更 IP 設定。用戶端將自動被給予新的 IP 位址,並和重新連接的子網路無關,只要那些子網路每一個都能夠存取到 DHCP SERVER即可。為確保本指南定義的三個環境中更大的安全性,請將這個設定設成 \[自動\]。如果這個服務已經停止,您的電腦將不會收到動態 IP 位址和 DNS 更新。另外,也請注意,停用 DHCP 用戶端會阻止伺服器無法透過 DDNS 在 DNS 登錄。
#### DHCP SERVER
**表 126:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
DHCPServer
未安裝
停用
停用
停用
\[DHCP SERVER\] 系統服務配置 IP 位址,並將網路設定中的進階設定,例如 DNS 伺服器和 WINS 伺服器,啟用為自動 DHCP 用戶端。本指南中定義的三個環境中成員伺服器不需要 \[DHCP SERVER\]。不過,這個設定對所有三個環境中的 DHCP SERVER是必要的,而且設成 \[自動\]。
#### 分散式檔案系統
**表 127:設定**
「分散式異動協調器」系統服務負責對多個電腦系統、或資源管理員的異動進行協調,例如資料庫、訊息佇列、檔案系統或受保護的資源管理者之其他異動。在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### DNS 用戶端
**表 131:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
Dnscache
自動
自動
自動
自動
「DNS 用戶端」系統功能是用來解析和快取您電腦的 DNS 名稱。DNS 用戶端服務必須執行於每台電腦中,以解析 DSN 名稱。尋找 Active Directory 網域中的網域控制站,解析 DNS 名稱是必要的。對於找尋那些使用 DSN 名稱解析的裝置來說,執行 DSN 用戶端服務也是十分重要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### DNS 伺服器
**表 132:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
DNS
未安裝
停用
停用
停用
「DNS 伺服器」系統服務能透過回應查詢功能解析 DNS 名稱,並更新對 DNS 名稱的要求。要在 Active Directory 中尋找被識別為使用 DNS 名稱的裝置,就有必要使用 DNS 伺服器。在標準伺服器上,這些功能是不必要的;僅有網域控制站需要這項功能。因此,在本指南所定義的三個環境的基準原則中,這項設定是停用的。僅有三個環境中的 DNS 伺服器上,會把這項系統服務的設定值設定為 \[自動\]。
#### 錯誤報告服務
**表 133:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
ERSvc
自動
停用
停用
停用
「錯誤報告服務」系統服務能收集、儲存未預期的應用程式關閉,回報給 Microsoft,並授權在非標準環境上執行的服務及應用程式的錯誤報告。這項服務提供 Microsoft 產品群有用的資訊,來去除驅動程式及應用錯誤的錯誤。當顯示錯誤通知服務啟用,當問題發生時,使用者仍然會獲得訊息指示,不過不會回報這項資訊給 Microsoft 或本區網路錯誤報告伺服器。因此,在本指南所定義的三個環境中,這個服務被設定為停用。
#### 事件日誌
**表 134:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
Eventlog
自動
自動
自動
自動
「事件日誌」系統服務讓以 Windows 為基礎的程式及元件,能發出事件日誌訊息顯示在「事件檢視器」上。「事件日誌」報告內含的資訊,對問題的診斷很有用。若是「事件日誌」停用,您會無法追蹤事件,這會使得成功診斷系統問題的能力大幅降低。因此,在本指南所定義的三個環境中,這個服務的設定被設定為 \[自動\]。
#### 傳真服務
**表 135:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
傳真
未安裝
停用
停用
停用
「傳真服務」系統服務是個相容於電話語音 API (TAPI) 的服務,提供您的電腦發送傳真的功能。「傳真服務」允許使用者從他們的桌面應用程式使用本機傳真裝置或共用網路傳真裝置,來傳送及接收傳真。在基準的伺服器上,這項服務是被停用的,這時您的電腦就無法傳送或接受傳真。
#### 檔案複寫
**表 136:設定**
「IMAPI CD — Burning COM 服務」透過影像操控應用程式介面 (IMAPI) COM 介面管理 CD burning,並當使用者透過 Windows Explorer、Windows Media® Player (WMP) 或第三方使用這 API 的應用程式提出請求時,執行 CD-R 寫入。在標準伺服器環境中,這些功能並非必要。因此,這些服務會被設定為 \[停用\]。
#### 索引服務
**表 145:設定**
「紅外線監視器」系統服務使檔案及影像可以藉由紅外線分享。僅在安裝 Windows Server 2003 作業系統期間,有偵測到紅外線裝置時,這項服務才會預設安裝。Windows Server 2003 網站、企業或資料中心的伺服器並不提供這項服務。
若停用這項服務,檔案及影像就無法透過紅外線分享。在基礎伺服器上,這些功能並非必要的。因此,這些服務會被設定為 \[停用\]。
#### Internet Authentication Service
**表 147:設定**
「訊息佇列」系統服務是個訊息基礎及開發工具,用來建立 Windows 的訊息散布應用程式。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 訊息佇列下層用戶端
**表 157:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
mqds
未安裝
停用
停用
停用
「訊息佇列下層用戶端」系統服務 讓網域控制站上的訊息佇列用戶端 (Windows 9*x*、 Windows NT 4.0 和 Windows 2000) 能進入 Active Directory。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 訊息佇列觸發程式
**表 158:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
Mqtgsvc
未安裝
停用
停用
停用
「訊息佇列觸發程式」系統服務能採標準的規則方式,來監視訊息佇列行列中的傳入訊息,並在滿足這個規則時,會觸發一 COM 元件或是獨立的執行程式去執行這個訊息。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 信差
**表 159:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
信差
停用
停用
停用
停用
「信差」系統服務讓用戶端和伺服器間能互相傳送警示服務訊息。這項服務和 Windows Messenger 無關。這在標準伺服器環境上,並非必要的。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Microsoft POP3 服務
**表 160:設定**
「可攜式媒體序號」系統服務可以取回任何連入您的電腦的可攜式音樂播放器的序號。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 可列印 Macintosh 文件伺服器
**表 175:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
MacPrint
未安裝
停用
停用
停用
「可列印 Macintosh 文件伺服器」系統服務讓 Macintosh 用戶端能在 Windows Server 2003 企業伺服器上,路由到列印多工緩衝處理器進行列印。在標準伺服器環境中,這些功能並非必要。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 列印多工緩衝處理器
**表 176:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
多工緩衝處理器
自動
停用
停用
停用
「列印多工緩衝處理器」系統服務管理所有的本地及網路列印佇列,並控制所有的列印工作。在標準伺服器環境中,這些功能並非必要。因此,這項服務被設定為停用。然而,基於列印伺服器的角色,這些服務被設定為 \[自動\]。如需更多有關本伺服器角色的資訊,請參閱《[強化 Windows Server 2003 列印伺服器》](https://technet.microsoft.com/zh-tw/library/8f6db8a1-ca44-4385-8294-160133c6db15(v=TechNet.10))單元。
#### 受保護的儲存內容
**表 177:設定**
「原則結果組提供者」系統服務使您能連上一個 Windows Server 2003 網域控制站,進入這台電腦的 WMI 資料庫,並模擬原則結果組 (RSoP) 對群組原則的設定,這可以用來讓使用者或電腦定位於執行在 Windows 2000 上的 Active Directory 中,或是在 Windows 2000 的網域中。通常這稱作規劃模式。由於在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 路由和遠端存取
**表 192:設定**
「次要登錄」系統服務讓使用者能在不同安全性原則的脈絡下建立程序。權限受限的使用者通常使用這項服務,以較高的權限登入,暫時執行系統管理程式。這項服務可讓使用者使用其他的憑據來啟用程序。在標準伺服器環境中,這些功能並非必要的。儘管這項服務對用戶端電腦很有用,但並不適用於多數伺服器,因為以互動式登入使用伺服器的使用者,會成為 IT 團隊的一份子,執行一些通常要系統管理特權才能執行的維護工作。因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### 安全性帳戶管理員
**表 195:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
SAM Ss
自動
自動
自動
自動
「安全性帳戶管理員」(SAM) 系統服務是個受保護的子系統,負責管理使用者及群組的帳戶資訊。在 Windows 2000 和 Windows Server 2003 家族,本機電腦登錄內的 SAM 會儲存工作站安全性帳戶,而網域控制站帳戶則儲存在 Active Directory。這項服務不應停用。
#### 伺服器
**表 196:設定**
「終端機服務工作階段目錄」系統服務提供一多工作階段環境,讓用戶端裝置能連入虛擬的 Windows 桌面,以及 Windows Server 2003 上執行的 Windows 程式。對標準伺服器原則來說,這項服務並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### 主題
**表 215:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
主題
停用
停用
停用
停用
「主題」系統服務讓使用者體驗主題管理服務。「主題」服務支援新版 Windows XP Professional 圖形使用者介面 (GUI) 的轉換作業。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Trivial FTP Daemon
**表 216:設定**
「網站元素管理員」系統服務負責提供網站使用者介面元素,用於 port 8098 的系統管理網站。在標準伺服器環境中,這項功能並非必要的,因此,在本指南所定義的三個環境中,這個服務被 \[停用\]。
#### Windows 音效
**表 223:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
AudioSrv
停用
停用
停用
停用
「Windows 音效」系統服務支援聲音及相關的 Windows 音效事件功能。在標準伺服器環境中,這項功能並非必要的,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows 影像擷取 (WIA)
**表 224:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
StiSvc
停用
停用
停用
停用
「Windows 影像擷取 (WIA)」系統服務為掃描器及照相機提供影像擷取服務。對標準伺服器原則而言,這並非必要的服務,因此,在本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows Installer
**表 225:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
MSIServer
手動
自動
自動
自動
「Windows Installer」系統服務在安裝程序執行期間,套用一集中定義的設定規則組,來管理應用程式的安裝和移除。對標準伺服器環境而言,這項服務是必要的,因此在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### Windows 網際網路名稱服務 (WINS)
**表 226:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
WINS
未安裝
停用
停用
停用
「Windows 網際網路名稱服務 (WINS)」系統服務能夠解析 NetBIOS 名稱。要找出以 NetBIOS 命名的網路資源,WINS 伺服器是必要的。WINS 伺服器是是必要的,除非所有的網域已升級到 Active Directory,以及所有的網路元件都是執行 Windows Server 2003。在標準伺服器環境中,這些功能並非必要。基於這些原因,建議設定這項服務的作用值為 \[停用\]。在架構伺服器的角色原則中,這些服務也被設定為 \[自動\]。
#### Windows Management Instrumentation
**表 227:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
winmgmt
自動
自動
自動
自動
「Windows Management Instrumentation」系統服務提供一個共同的介面和物件模型,來存取作業系統、裝置、應用程式及服務等管理資訊。WMI 是個基礎結構,用來建立目前這代 Microsoft 作業系統附帶的管理應用程式及規範。若是這項功能被停用,多數的 Windows 基準程式將無法適當執行,且任何必須依賴它的服務也會無法啟用。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### Windows Management Instrumentation 驅動程式擴充
**表 228:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
Wmi
手動
手動
手動
手動
「Windows Management Instrumentation 驅動程式擴充」系統服務監控所有設定為發佈 WMI,或事件追蹤資訊的驅動程式和事件追蹤提供者。在本指南所定義的三個環境中,這個服務被設定為 \[手動\]。
#### Windows Media Services
**表 229:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
WMServer
未安裝
停用
停用
停用
「Windows Media Services」系統服務提供以 IP 為主的網路資料流媒體服務。這項服務取代了 4.0 版和 4.1 版 Windows Media Services 裡四項獨立的服務:Windows Media 監視服務、Windows Media 程式服務、Windows 工作站服務及 Windows Media 單點廣播服務。在標準伺服器環境中,這些功能並非必要的,因此,在本指南所定義的三個環境中,這個服務被設定為 \[停用\]。
#### Windows 系統資源管理員 (WSRM)
**表 230:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
WindowsSystemResourceManager
未安裝
停用
停用
停用
「Windows 系統資源管理員」(WSRM) 系統服務是個幫助客戶將應用程式部署於整合方案中的工具。在標準伺服器環境中,這項功能並非必要的,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
#### Windows 時間
**表 231:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
W32Time
自動
自動
自動
自動
「Windows 時間」系統服務能讓 Windows 網路中所有執行的電腦的日期和時間保持一致。它使用網路時間通訊協定 (NTP) 來同步化電腦時鐘,在網路確認及資源存取請求時會指派正確的時間值以及時間戳記。對於 Active Directory 網域中可靠的 Kerberos 驗證來說,這項服務十分重要,因此,在本指南所定義的三個環境中,這項服務設定為 \[自動\]。
#### WinHTTP 代理網站自動找尋服務
**表 232:設定**
「工作站」系統資源負責建立和維護用戶端網路連線及通訊。這項服務若停用,您就無法建立與遠端伺服器的連線,無法透過具命管道存取檔案。因此,在本指南所定義的三個環境中,這個服務被設定為 \[自動\]。
#### World Wide Web Publishing 服務
**表 236:設定**
服務名稱
成員伺服器預設值
傳統用戶端
企業用戶端
高安全性
W3SVC
未安裝
停用
停用
停用
「World Wide Web Publishing 服務」系統服務透過網際網路資訊服務嵌入式管理單元,提供網站連線及系統管理。在標準伺服器原則中,這項服務並非必要的,因此,本指南所定義的三個環境裡,這個服務被設定為 \[停用\]。
[](#mainsection)[回到頁首](#mainsection)
### 其他登錄設定
其他登錄值項目,是為本指南所提三個安全環境的系統管理範本 (.adm) 檔案內未定義的標準安全範本檔案,所建立的登錄項目。.adm 檔案定義 Windows Server 2003 的桌面、shell 及安全性等系統原則及限制。
這些設定嵌入於安全性範本內的安全選項中,能自動更改。若是原則被移除,這些設定不會跟著自動移除,必須透過登錄編輯工具,如 Regedt32.exe,才能手動進行更動。一樣的登錄值會套用到三個環境。
藉由再登錄 scecli.dll,與修改 sceregvl.inf 檔案,本指南和其他設定新增至安全性設定編輯器 (SCE),sceregvl.inf 檔案位於 %windir%\\inf 資料夾。原始的安全性設定和其他設定,一同位於本單元先前條列的嵌入式管理單元和工具集中的 \[本機原則\\安全性\] 中。當您要依照本指南提供的安全性範本及群組原則進行編輯前,你得先更新電腦中的 sceregvl.inf 檔案,並重登錄 scecli.dll,可參閱相關指南,《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
本節僅為其他登錄設定的摘要,相關指南會有詳細說明。若要取得預設設定的資訊或本節討論的各項設定的詳細說明,請參閱同系列指南的《Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP (英文)》,位於: [https://go.microsoft.com/fwlink/?LinkId=15159](https://go.microsoft.com/fwlink/?linkid=15159)。
#### 網路攻擊的安全性考量
**表 237:設定**
子機碼登錄值項目
格式
傳統用戶端
企業用戶端
高安全性
EnableICMPRedirect
DWORD
0
0
0
SynAttackProtect
DWORD
1
1
1
EnableDeadGWDetect
DWORD
0
0
0
EnablePMTUDiscovery
DWORD
0
0
0
KeepAliveTime
DWORD
300,000
300,000
300,000
DisableIPSourceRouting
DWORD
2
2
2
TcpMaxConnectResponseRetransmissions
DWORD
2
2
2
TcpMaxDataRetransmissions
DWORD
3
3
3
PerformRouterDiscovery
DWORD
0
0
0
TCPMaxPortsExhausted
DWORD
5
5
5
拒絕服務攻擊 (DoS) 的網路攻擊,意在讓某台電腦或某個特定服務無法讓網路使得者尋得。DoS 攻擊不易抵擋。要幫助防止這些攻擊,應該讓您的電腦更新到最新的安全性修正程式,並強化您 Windows Server 2003 電腦上 TCP/IP 通訊協定的堆疊,這些都曝露於潛在的攻擊者。預設的 TCP/IP 堆疊設定,是設定成處理標準內部網路流量。若是您的電腦直接連上網際網路,Microsoft 建議您強化 TCP/IP 堆疊以防步 DoS 攻擊。
下列登錄值項目,已被新增至位於 **HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\** 的範本檔案的登錄機碼中。
#### AFD.SYS 設定
**\[表 238\] 設定**
錯誤報告能幫助 Microsoft 追蹤與找出問題。您可以對作業系統錯誤、Windows 元件錯誤或程序錯誤產生的錯誤報告進行設定。啟用「錯誤報告」能將這些錯誤透過網際網路回報給 Microsoft,或是傳給公司內部網路的檔案共用。僅在 Windows XP Professional 和 Windows Server 2003 上提供有這項設定。
在群組原則編輯器設定這些設定的路徑是:
電腦設定\\系統管理員範本\\系統\\錯誤報告
錯誤報告可能包含潛在的敏感資料,或甚至機密的企業資料。Microsoft™ 隱私原則關於錯誤報告的部分,Microsoft Corporation 保證決不會不當使用這些資料。不過這些資料是以 clear-text HTTP 的格式傳遞,這有可能被第三方中途攔截或檢視。基於這些原因,本指南建議您停用「錯誤報告」。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本單元一開始說明了伺服器的強化程序,這程序可套用在本指南所定義的三個安全性環境中的所有伺服器。大部分的程序是透過對每一個安全性環境,建立一個唯一的安全範本,接著將範本匯入一個 GPO 連結,連往成員伺服器的父系 OU,以讓各伺服取得安全性的目標層級。
然而,有些強化程序無法以群組原則套用。對於這些案例,本指南指導您如何手動進行強化程序設定。也提及特定伺服器角色的其他的步驟,使他們在角色功能內還能確保某種程度的安全。
特定伺服器角色的步驟,包括兩個其他的強化程序,也在標準安全性原則上,減少了安全性設定的程序。這些變更在本指南的下列單元有詳細的討論。
#### 其他資訊
下列資訊來源是本指南公開發行當時,與 Windows Server 2003 相關的最新主題。
如需更多有關 Windows Server 2003 安全性設定的說明,請參閱: