官方首页 - 域名服务 - 深圳服务器 - H5建站系统 - 服务器租用
互联时空Whois
 
带有桌面体验的 Windows Server 2016中禁用系统服务的指南-深圳市互联时空

适用于:Windows Server 2016

Windows 操作系统包含许多提供重要功能的系统服务。 不同的服务具有不同的默认启动策略:有些服务默认会自动启动,有些服务按需启动(手动),还有一些服务默认已禁用,只有在显式启用之后才能运行。 这些默认设置是为每个服务精心选择的,目的是为典型的客户找到性能、功能与安全性之间的平衡。

但是,某些企业客户可能偏向于对其 Windows 电脑和服务器采用注重于安全的配置,这种配置可将受攻击面减至绝对最小。因此,这些客户可能想要完全禁用其特定环境中不需要的所有服务。 对于这些客户,Microsoft® 将提供随附的指南,说明可以出于此目的安全禁用哪些服务。

本指南仅适用于带有桌面体验的 Windows Server 2016(除非用作最终用户的桌面替代版本)。 从 Windows Server 2019 开始,默认会配置这些指导原则。 系统上每个服务的分类如下:

  • 应该禁用: 注重于安全的企业很可能想要禁用此服务并放弃其功能(请参阅下面的附加详细信息)。
  • 可以禁用: 此服务提供的功能对某些(但不是所有)企业有用,如果企业不使用此服务且注重安全,可以安全禁用它。
  • 不要禁用: 禁用此服务会影响基本功能,或导致特定的角色或功能无法正常运行。 因此不应禁用它。
  • (无指导): 尚未完全评估禁用这些服务的影响。 因此,不应更改这些服务的默认配置。

客户可以使用其组策略中的安全模板或使用 PowerShell 自动化将其 Windows 电脑和服务器配置为禁用所选的服务。在某些情况下,指南中包含用于直接禁用服务功能的特定组策略设置,作为禁用服务本身的替代方法。

Microsoft 建议客户在带有桌面体验的 Windows Server 2016 中禁用以下服务及其相应的计划任务:

服务:

  1. Xbox Live 身份验证管理器
  2. Xbox Live 游戏保存

计划的任务:

  1. \Microsoft\XblGameSave\XblGameSaveTask
  2. \Microsoft\XblGameSave\XblGameSaveTaskLogon

(还可以通过查看附加的 Microsoft Excel 电子表格,来访问有关本文中详述的所有服务的信息:有关在带有桌面体验的 Windows Server 2016 中禁用系统服务的指南

禁用非默认安装的服务

Microsoft 建议不要应用策略来禁用非默认安装的服务。

  • 如果安装了相应的功能,则通常需要这些服务。 安装服务或功能需要管理权限。 禁止安装功能,但不要禁止启动服务。
  • 阻止 Microsoft Windows 服务不会阻止管理员(在某些情况下为非管理员)安装类似的第三方服务(可能是安全风险更高的服务)。
  • 禁用非默认 Windows 服务(例如 W3SVC)的基线或基准会给某些审核员带来这样一种错觉:该技术(例如 IIS)在本质上就是不安全的,永远不可使用它。
  • 如果永远不安装该功能(和服务),只会不必要地增大基线测试和验证的工作量。

发布时间:2020/3/24 17:54:47