宣城职业技术学院毕业论文.doc

宣城职业技术学院毕业论文Windows server 2003 配置与安全作 者 王文强 班 级 09计算机网络 专 业 计算机网络 教 学 系 信息工程系 指导老师 张海民 完成时间 2011 年 10 月 1日至 2011 年 12 月10日目 录前言第一章 windows server 2003的配置一、DNS服务器配置与管理1.1 DNS的概念与原理1.2安装和添加DNS服务器1.3设置DNS服务器1.4 DNS服务器的动态更新二、DHCP服务器配置与管理2.2 DHCP服务及其工作原理2.4安装DHCP服务2.3 DHCP客户端可获得如下配置信息2.5创建并激活DHCP作用域三丶 IIS服务器的配置与管理3.1 安装IIS3.2 Windows Server 2003中的IIS 6.0提供的服务第二章 windows server 2003 的安全一、 windows server 2003 安全性简介1.1 2003安全措施概述1.2 主要特色安全技术二、Windows Server 2003 域控制器的安全特性2.1 从网络访问此计算机2.2 域中添加工作站三丶 Windows Server 2003几种服务器安全特性3.1 IIS 服务器安全特性3.2证书服务服务器安全特性结束语参考文献前言Microsoft公司于2003年4月正式推出了Windows Server 2003新一代网络操作系统，其目的是用于在网络上构建各种网络服务，Windows Server 2003的新特性：新的远程管理工具包括远程安装服务（RIS）、远程桌面、远程协助；“管理您的服务器”向导，增加了服务器角色的概念；新的Active Directory功能；可用性和可靠性的改进包括自动系统恢复（ASR）、程序兼容性、策略的结果集。由于计算机网络的高速发展，如何配置完整的操作系统可谓很需要，所以本文以配置完整的windows server2003操作系统为题展开讨论，从服务器、路由器等方面介绍了如何配置完整的windows server 2003 操作系统。在计算机技术和网络技术普遍应用的今天，人们已经不再用太多的脑子去记很多的东西了，主要记载在计算机上或与之相关机器上，只需记载一些密码便可，也方便查询。但是，由于连上了网，难免有些人有盗取的想法，因此，需要确保信息系统安全。以前，人们只要设些复杂的密码就可以，但是连上网后，骇客们就有盗窃，破坏的行动了，尤其是敏感信息。因此，不只要经常给系统打补丁，还要有一个好的防火墙。有防火墙可以更好的防范骇客攻击，它可以控制端口的连接，把一些危险的端口屏蔽掉，防止他人对的机子配置信息的扫描，可以防范一些有攻击性的病毒，因此，用防火墙是很有必要的。可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警，瑞星防火墙等。还有，安装防火墙，它的设置不能仅是默认设置，自己适当更改，以便更适合自己。由此引出的问题和解决办法就是这一课题的主要研究对象。第一章 windows server 2003的配置一、DNS服务器配置与管理1、DNS的基本概念与原理 DNS（Domain Name Service，域名系统）是一个分布式数据库系统，其作用将域名解析成IP地址。 域名系统允许用户使用友好的名字而不是难以记忆的数字IP地址来访问Internet上的主机。2、安装和添加DNS服务器 提示：DNS服务器必须拥有静态的IP地址。 安装方法： 1. 使用“配置服务器向导”安装DNS 该方法在安装DNS的过程中，向导会提示用户配置搜索区域、转发器等 2. 使用“添加Windows组件”的方式安装DNS 使用该方法安装完成后，必须到“DNS管理控制台”中配置搜索区域、转发器等3、设置DNS服务器 DNS服务器属性对话框中包含了“接口”、“转发器”、“高级”、“根提示”、“调试日志”、“事件日志”、“监视”、“安全”8个选项卡，通过对它们的设置，可实现对DNS服务器的有效管理。5、DNS服务器的动态更新1在DNS客户端和服务器之间实现DNS动态更新2DHCP服务器代理DNS动态更新为了配置动态更新,你必须做:1配置DNS服务器允许动态更新2配置 DHCP 服务器允许动态更新3配置基于Windows xp/2000/2003的客户机允许动态更新二、DHCP服务器配置与管理2、DHCP服务及其工作原理 DHCP全称是Dynamic Host Configuration Protocol（动态主机配置协议），该协议可以自动为局域网中的每一台计算机自动分配IP地址，并完成每台计算机的TCP/IP协议配置，包括IP地址、子网掩码、网关，以及DNS服务器等。 DHCP服务器能够从预先设置的IP地址池中自动给主机分配IP地址，它不仅能够解决IP地址冲突的问题，也能及时回收IP地址以提高IP地址的利用率。3、DHCP客户端可获得如下配置信息 一个IP地址、一个子网掩码、某些可选值，如默认的网关、DNS服务器的IP地址、WINS服务器的IP地址。4、安装DHCP服务 方法一：通过“配置您的服务器向导” 方法二：通过“添加删除应用程序” 注意：对于在Windows 2000/2003域中的DHCP服务器来说，只有经过活动目录授权后才能为网络中的计算机提供IP地址分配服务。如果没有经过活动目录授权，则不进行初始化并停止提供DHCP服务。授权DHCP服务器的方法：管理工具-DHCP-管理授权的服务器5、创建并激活DHCP作用域 作用域:一个合法的IP地址范围，用于将IP地址租用给客户机。 利用 “配置您的服务器向导”安装DHCP的过程中可以根据提示创建作用域，并能正常提供服务。 利用“添加删除应用程序”安装DHCP，必须通过“新作用域”向导创建作用域之后才能提供服务。 配置作用域参数 激活作用域：激活前要配置好所用的选项。三、IIS服务器的配置与管理 2、Windows Server 2003中的IIS 6.0提供的服务：1. 万维网发布服务 通过将客户端HTTP请求连接到在IIS中运行的网站上，向IIS最终用户提供Web发布。支持超文本传输协议2. 文件传输协议服务（FTP服务） 提供对管理和处理文件的完全支持。该服务使用传输控制协议（TCP），确保了文件传输的完成和数据传输的准确。支持文件传输协议（FTP）。3. 简单邮件传输协议服务（SMTP服务） 允许基于WEB的应用程序传送和接收邮件。支持简单邮件传输协议（SMTP）。4. 网络新闻传输协议服务（NNTP服务） 可以使用网络新闻传输协议（NNTP）服务主控单个计算机上的NNTP本地讨论组。5. 管理服务 该项功能管理IIS配置数据库，并为WWW服务、FTP服务、SMTP服务和NNTP服务更新Microsoft Windows操作系统注册表。3、安装IIS Windows Server 2003默认并不安装IIS，需要自行安装。安装注意事项：1、IIS计算机的IP地址最好使用静态1) 如果要用户使用域名来连接此网站，则需要在网络中配置一台DNS服务器，并且要将该网站的域名和IP地址注册到DNS服务器中2) 网页最好存储在NTFS分区内，以便通过NTFS权限增加网站的安全性方法一、配置您的服务器向导-应用程序服务器选项卡上都选择上依次选择“下一步”-完成方法二、windows组件向导应用程序服务器-确定第二章 windows server 2003 的安全一、 windows server 2003 安全性简介1.1 2003安全措施概述在 Windows Server 2003 环境中规划基本的域结构说明了如何构建基准域环境，以提供确保 Windows Server 2003 基础结构安全性的指南。介绍了域级别的安全设置和对策，同时还包括 Microsoft Active Directory 服务设计、组织单位 (OU) 设计和域策略的高级说明。然后，从确保域环境安全方面说明了本模块中涉及的旧客户端环境、企业客户端环境和高安全级环境。这提供了一个发展思路，指导组织在适合每个环境的域基础结构内构造一个更安全的环境。创建 Windows Server 2003 服务器的成员服务器基准说明了定义的三个环境所包括的服务器角色的安全模板设置和其他安全措施。主要介绍了如何建立成员服务器基准策略（MSBP），以实现指南中稍后讨论的服务器角色强化建议 。本模块中选择的建议可以推荐的 Windows Server 2003 系统设置配置，这些配置既适合于现有系统，也适合于新建系统。Windows Server 2003 系统中默认的安全配置已经经过了检查与测试。与默认操作系统设置相比，本模块中提供的建议可以提供更好的安全性。在某些情况下，为提供对旧客户端的支持，建议使用的设置配置没有 Windows Server 2003 的默认安装中提供的设置严格。强化 Windows Server 2003 域控制器在任何包括运行 Windows Server 2003 的计算机的 Active Directory 环境中，域控制器服务器都是需要确保其安全性的最重要角色之一。域控制器的任何损失或破坏都将破坏依赖域控制器进行身份验证、组策略和中央轻型目录访问协议 (LDAP) 目录的客户端、服务器和应用程序。本模块概述了始终将域控制器服务器存储在仅限定的管理人员可以访问的安全的物理地点的重要性。此外，本模块还说明了将域控制器存储于不安全位置（如分支办公室）的危险性并重点解释了建议的域控制器组策略涉及的安全考虑。强化 Windows Server 2003 基础结构服务器，基础结构服务器角色被定义为一个动态主机控制协议 (DHCP) 服务器或者 Windows Internet 名称服务 (WINS) 服务器。此外，本模块还详细说明了在您的环境中基础结构服务器可以受益于成员服务器基准策略没有应用的安全设置的领域。强化 Windows Server 2003 文件服务器文件服务器中的最基本服务需要与 Windows 网络基本输入/输出系统 （NetBIOS） 相关的协议。服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议可以向未进行身份验证的用户提供丰富的信息，但是，在高安全性 Windows 环境中通常建议禁用这些协议。此外，本模块还详细描述了在哪些方面，用户环境中的文件服务器可以受益于非 MSBP 策略的安全设置。强化 Windows Server 2003 打印服务器打印服务器中的最基本服务需要与 Windows NetBIOS 相关的协议。服务器消息块 (SMB) 和通用 Internet 文件系统 (CIFS) 协议可以向未进行身份验证的用户提供丰富的信息，但是，在高安全性 Windows 环境中通常建议禁用这些协议。此外，本模块还详细描述了在哪些方面，打印服务器的安全设置可以通过非 MSBP 的方式得以优化。强化 Windows Server 2003 IIS 服务器网站和应用程序的总体安全性依赖于整个 IIS 服务器（包括在 IIS 服务器上运行的各网站和应用程序）以避免来自环境中客户机的威胁。网站和应用程序还须防范来自同一 IIS 服务器上其他网站和应用程序的威胁。本模块中详细地说明了确保环境中的 IIS 服务器相互隔离的操作。在默认情况下，IIS 没有安装在 Windows 服务器系统家族的成员上。在初始安装 IIS 时，以高安全级别的“锁定”模式进行安装。例如，默认情况下，IIS 仅提供静态内容服务。其他功能（如 Asp、Asp.NET、服务器端包含、WebDAV 发布 和 Microsoft FrontPage Server Extensions）必须由管理员通过 Internet 信息服务管理器 (IIS Manager) 中的 Web 服务扩展节点才能启用。1.2 主要特色安全技术各个部分对为增强环境中 IIS 服务器安全性实施的各种安全强化设置进行了详细的说明。我们还强调安全监控、检测和响应的重要性以确保服务器保持安全。强化 Windows Server 2003 IAS 服务器用于验证远程登录用户的身份）。本模块详细说明了在哪些方面，用户环境中的 ISA 服务器可以受益于非 MSBP 策略的安全设置。强化 Windows Server 2003 证书服务器证书服务提供了在服务器环境中建立公钥基础结构 (PKI) 所需的加密服务和证书管理服务。本模块详细描述了在哪些方面，用户环境中的证书服务器可以受益于非 MSBP 策略的安全设置。强化 Windows Server 2003 堡垒主机客户端可以从 Internet 访问堡垒主机服务器。本模块对这些对外开放的堡垒服务器所面临的大量网络攻击进行了说明，在许多情况下，攻击者完全可以根据自己的意愿实施匿名攻击。多数组织不会将它们域基础结构扩展到网络中的对外开放部分。因此，本模块适用于独立计算机的安全性强化建议。此外，本模块还详细描述了在哪些方面，用户环境中的堡垒主机可以受益于非 MSBP 策略的安全设置。二、Windows Server 2003 域控制器的安全特性2.1 从网络访问此计算机“从网络访问此计算机”用户权限将确定哪些用户和组可以通过网络连接到此计算机。此用户权限是许多网络协议所必需的，这些协议包括基于服务器消息块 (SMB) 的协议、网络基本输入输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP)和组件对象模型 (COM+)。虽然授予“Everyone”安全组的权限不再向 Windows Server 2003 中的匿名用户授予访问权，但是仍然可以通过“Everyone”安全组向来宾组和帐户授予访问权。出于此原因，本指南推荐在高安全性环境中从“从网络访问此计算机”用户权限删除“Everyone”安全组，以进一步防止针对域来宾访问权的攻击。2.2 域中添加工作站“域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。一些组织想限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。出于这些原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。允许本地登录通过“允许本地登录”用户权限，用户可以在计算机上启动一个交互式会话。如果不具有此权限的用户具有“通过终端服务允许登录”权限，则其仍然可以在计算机上启动一个远程交互式会话。如果对某种环境中可以使用哪些帐户登录到域控制器控制台进行限制，将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。可以登录到域控制器控制台的用户可能会恶意利用此系统，并且可能威胁整个域或林的安全。默认情况下，向“Account Operators”、“Backup Operators”、“Print Operators”和“Server Operators” 组授予了从本地登录到域控制器的权限。这些组中的用户将不必登录到域控制器来执行其管理任务。这些组中的用户可从其他工作站正常执行其任务。只有“Administrators”组中的用户应该对域控制器执行维护任务。只向“Administrators”组授予此权限将域控制器的物理和交互式访问权限仅限制在高度信任用户，因此增强了安全性。出于此原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。通过终端服务允许登录通过“通过终端服务允许登录”用户权限，用户可以使用远程桌面连接登录到计算机。如果通过终端服务对可使用哪些帐户登录到域控制器控制台进行限制，将有助于阻止未经授权的用户访问域控制器文件系统和系统服务。通过终端服务可以登录到域控制器控制台的用户可能利用此系统，并且可能威胁整个域或林的安全。只向“Administrators”组授予此权限将域控制器的交互式访问权仅限制在高度信任用户，因此增强了安全性。出于此原因，在本指南中定义的三种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。默认情况下，虽然通过终端服务登录到域控制器需要管理权限，但是配置此用户权限将有助于防止可能危及此限制的无意或恶意操作。作为进一步安全措施，DCBP 将拒绝默认的“Administrator”帐户通过终端服务登录域控制器的权限。此设置也将阻止恶意用户试图使用默认的“Administrator”帐户从远程闯入域控制器。有关此设置的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。更改系统时间通过“更改系统时间”用户权限，用户可以调整计算机内部时钟的时间。更改系统时间的时区或其他显示特征不需要此权限。同步系统时间对于 Active Directory 的操作是关键的。Kerberos v5 身份验证协议所使用的正确的 Active Directory 复制和身份验证票证生成过程均依赖于在任何环境中同步的时间。如果使用某系统时间配置的域控制器与此环境中其他域控制器的系统时间不同步，此域控制器可能妨碍域服务操作。只有管理员可以修改系统时间，这将使使用错误系统时间配置域控制器的可能性减至最低。默认情况下，向“Server Operators”组授予了修改域控制器系统时间的权限。由于此组成员错误修改域控制器系统时间可能导致的影响，所以在 DCBP 中配置此用户权限，以便只有“Administrators”组能够在本指南定义三种环境的任何一种中更改系统时间。三丶 Windows Server 2003几种服务器安全特性3.1 IIS 服务器安全特性概述为了在抵制恶意用户和攻击者的过程中占据主动，默认情况下，IIS 不安装在 Windows Server 2003 系列产品上。IIS 最初以高度安全的“锁定”模式中安装。例如，默认情况下，IIS 最初仅提供静态内容。诸如 Active Server Pages (Asp)、Asp.NET、服务器端包括 (SSI)、Web Distributed Authoring and Versioning (WebDAV) 发布及 Microsoft FrontPage Server Extensions 等功能仅在管理员启用它们后才起作用。可以通过 Internet 信息服务管理器（IIS 管理器）中的 Web 服务扩展节点启用这些功能和服务。审核策略设置在本指南定义的三种环境下，IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。用户权限分配本指南中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。在下一节中阐述 MSBP 与 Incremental IIS Group Policy（增量式 IIS 组策略）之间的差别。拒绝通过网络访问该计算机注意：安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域，这些帐户和组拥有唯一的安全标识 (SID)。因此，必须手动添加它们。“拒绝通过网络访问该计算机”决定了哪些用户不能通过网络访问该计算机。这些设置将拒绝大量的网络协议，包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+)。当用户帐户同时适用两种策略时，该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限，您可以限制用户在您的环境中执行委托管理任务的能力。在模块创建 Windows Server 2003 服务器的成员服务器基准中，本指南建议将 Guests 组包含在被分配了该权限的用户和组列表中，以提供最大可能的安全性。但是，用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本指南建议从增量式 IIS 组策略中清除 Guests 组，以确保必要时可配置对 IIS 服务器的匿名访问。因此，在本指南所定义的全部三种环境下，我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括：匿名登录、内置管理员、Support_388945a0、Guest 以及所有非操作系统服务帐户。安全选项在本指南所的定义的三种环境中，IIS 服务器的安全选项通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。事件日志设置在本指南中定义的三种环境中，IIS 服务器的事件日志设置通过 MSBP 来配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在企业 IIS 服务器中统一配置正确的事件日志设置。3.2证书服务服务器安全特性必须在所在环境中的一些证书服务服务器上安装 Microsoft Internet 信息服务 (IIS)，以便分发证书颁发机构 (CA) 证书和证书吊销列表 (CRL)。还将 IIS 用于托管证书服务服务器的 Web 登记页面，此页面允许非基于 Microsoft Windows 操作系统的客户进行证书登记。了解这些程序将有助于您安全地安装 IIS，这些内容已经在模块强化 Windows Server 2003 IIS 服务器中讨论过了，它们是使用本模块所提供信息的先决条件。此外，如果在 CA 上安装了 IIS，那么在按照规定对本模块所介绍的服务器角色设置进行配置之前，必须将为强化 Windows Server 2003 IIS 服务器开发的安全配置模板应用于证书服务服务器。注意：在经过简化的环境中，发布的 CA 服务器可用做 Web 服务器主机、CA 证书主机和充当 CRL 下载点。但是，还应该考虑在您自己的环境中使用一台单独的 Web 服务器，以提高 CA 的安全性。将 IIS 用于托管证书服务的登记页面，以及为非 Windows 客户发布 CA 证书和 CRL 下载点。Microsoft 建议您不要在根证书颁发机构 (CA) 服务器上安装 IIS。如果可能，还应该避免在环境中的颁发 CA 和任何中间 CA 上运行 IIS。在其他服务器上为 CA 证书和 CRL 创建 Web 下载点比在 CA 服务器上创建下载点要安全得多。可能有许多使用证书的用户（内部的和外部的）需要检索 CRL 或 CA 链信息，没有必要授予他们访问 CA 的权限。如果只在 CA 上托管下载点，则此限制措施是很难实行的。注意：为证书服务服务器角色指定的设置只在企业客户端环境下进行了测试。因此，为大多数其他服务器角色所指定的 IPSec 过滤器和拒绝服务 (DoS) 信息没有包括在本指南中。 审核策略设置在本指南所定义的企业客户端环境下，证书服务服务器的审核策略设置都通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部证书服务服务器上记录所有相关的安全审核信息。用户权限分配 在本指南所定义的企业客户端环境下，证书服务服务器的用户权限分配也是通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了可以在整个企业中为证书服务服务器的访问权限实现统一配置。安全选项可使用组策略的“安全选项”部分启用或禁用计算机的安全设置，如数据的数字签名、管理员和来宾帐户名、软盘驱动器和 CD-ROM 驱动器访问、驱动器安装行为和登录提示。“安全选项”设置可在 Windows Server 2003 的“组策略对象编辑器”中如下位置进行配置：无论何时，只要有人登录到服务器上的本地控制台，那些通过网络连接到证书服务服务器的用户将不能使用服务器上的任何 CD-ROM 驱动器。不建议在系统上启用此设置，以将服务器用作网络用户的 CD 点唱机。然而，启用此设置将会阻止攻击者从服务器的 CD-ROM 驱动器上运行恶意程序。在一个 CA 上，管理员可以使用 CD-ROM 驱动器从服务器上复制敏感的重要数据，或将数据复制到服务器上 此设置会阻止除本地登录的管理员以外的任何人访问敏感数据。因此，在本指南所定义的企业客户端环境中，将此设置配置为“禁用”。启用该设置可以确保您所在环境中的计算机履行此服务器功能，它为实现数字加密、哈希和签名而使用了最强大的算法。这样，就减小了未经授权的用户威胁数字加密或签名数据的风险。因此，在本指南所定义的企业客户端环境中，将此设置配置为“启用”。注意：启用此设置的客户端将无法通过数字加密或者数字签名协议与那些不支持这些算法的服务器进行通讯。不支持这些算法的网络客户还将无法使用需要加密网络通讯的服务器。例如，就无法将许多基于 Apache 的 Web 服务器配置为支持 TLS。如果您启用了该设置，您还需要对 Internet Explorer 进行配置，才能使用 TLS，从 Internet Explorer 上的“工具”菜单中打开“Internet 选项”对话框。在“Internet 选项”对话框中单击“高级”选项卡，向下滚动至“设置”列表底部，然后单击“使用 TLS 1.0”复选框。您还可以通过组策略或使用 Internet Explorer 管理员工具包对此进行配置。事件日志设置 在本指南所定义的企业客户端环境中，证书服务服务器的“事件日志”设置也可以通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。系统服务 任何服务或应用程序都是一个潜在的攻击点，因此，应该禁用或删除所有不需要的服务或可执行文件。在 MSBP 中，这些可选的服务以及所有其他不必要的服务都禁用。在运行 Windows Server 2003 的证书服务服务器上，经常还有其他一些服务被启用，但是，这些