系统服务
　

　　一个基本原则告诉我们，在系统上运行的代码越多，包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。

　　在Windows 2000中，缺省运行的服务有很多，但是有很大一部分服务在大多数环境中并派不上用场。事实上，Windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中，微软关闭了大多数不是绝对必要的服务。即使如此，还是有一些有争议的服务缺省运行。

　　其中一个服务是分布式文件系统（DFS）服务。DFS服务起初被设计简化用户的工作。DFS允许管理员创建一个逻辑的区域，包含多个服务器或分区的资源。对于用户，所有这些分布式的资源存在于一个单一的文件夹中。

我个人很喜欢DFS，尤其因为它的容错和可伸缩特性。然而，如果你不准备使用DFS，你需要让用户了解文件的确切路径。在某些环境下，这可能意味着更强的安全性。在我看来，DFS的利大于弊。

　　另一个这样的服务是文件复制服务（FRS）。FRS被用来在服务器之间复制数据。它在域控制器上是强制的服务，因为它能够保持SYSVOL文件夹的同步。对于成员服务器来说，这个服务不是必须的，除非运行DFS。

如果你的文件服务器既不是域控制器，也不使用DFS，我建议你禁用FRS服务。这么做会减少黑客在多个服务器间复制恶意文件的可能性。

　　另一个需要注意的服务是Print Spooler服务（PSS）。该服务管理所有的本地和网络打印请求，并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务，它也是缺省被启用的。

　　不是每个服务器都需要打印功能。除非服务器的角色是打印服务器，你应该禁用这个服务。毕竟，专用文件服务器要打印服务有什么用呢？通常地，没有人会在服务器控制台工作，因此应该没有必要开启本地或网络打印。

我相信通常在灾难恢复操作过程中，打印错误消息或是事件日志都是十分必要的。然而，我依然建议在非打印服务器上简单的关闭这一服务。

　　信不信由你，PSS是最危险的Windows组件之一。有不计其数的木马更换其可执行文件。这类攻击的动机是因为它是统级的服务，因此拥有很高的特权。因此任何侵入它的木马能够获得这些高级别的特权。为了防止此类攻击，还是关掉这个服务吧!

　　最后提醒大家，经常到各大网络安全站点看其最新公告，并急时为系统打上补丁，这样你的系统会安全许多。