文件服務(wù)器增量式組策略禁用了 DFS 服務(wù) ， 以便將環(huán)境中文件服務(wù)器遭到的攻擊面降到最小 。為此 ， 在本指南所定義的所有安全環(huán)境中 ， 應(yīng)該將 Distributed File System 設(shè)置配置為“禁用” 。
注意：通過在文件服務(wù)器上使用 DFS 簡化分布式資源訪問方式的組織機構(gòu)必須修改文件服務(wù)器的增量式組策略 ， 或者創(chuàng)建一個新的 GPO 來啟用該服務(wù) 。
File Replication Service
表 6.2：設(shè)置
File Replication Service (FRS) 可以自動復(fù)制文件并在多個服務(wù)器上同時進行保存 。FRS 是 Microsoft? Windows? 2000 操作系統(tǒng)和 Windows Server 2003 家族中的一種自動文件復(fù)制服務(wù) 。這種服務(wù)復(fù)制所有域控制器中的系統(tǒng)卷 (Sysvol) 。另外 ， 您還可以對該服務(wù)進行配置 ， 使其復(fù)制與容錯 DFS 關(guān)聯(lián)的備用目標(biāo)中的文件 。若禁用這種服務(wù) ， 文件復(fù)制將不再發(fā)生而服務(wù)器上的數(shù)據(jù)也不再進行同步 。
文件服務(wù)器增量式組策略禁用了 FRS 服務(wù) ， 以便將您所在環(huán)境中文件服務(wù)器遭到的攻擊表面積降到最小 。為此 ， 在本指南定義的所有安全環(huán)境中 ， 應(yīng)該將 File Replication Service 設(shè)置配置為“禁用” 。
注意：通過在文件服務(wù)器上使用 FRS 復(fù)制多個服務(wù)器上的數(shù)據(jù)的組織必須修改文件服務(wù)器的增量式組策略 ， 或者創(chuàng)建一個新的 GPO 來啟用該服務(wù) 。
其他安全性設(shè)置
MSBP 中應(yīng)用的安全設(shè)置為文件服務(wù)器提供了大量的增強安全性 。不過 ， 您也需要考慮其他一些注意事項 。這些步驟不能通過組策略來實施 ， 而要在所有文件服務(wù)器上手動執(zhí)行操作 。
保護眾所周知帳戶的安全
Microsoft Windows Server 2003 中具有大量的內(nèi)置用戶帳戶 ， 不能將其刪除 ， 但可以重命名 。Windows 2003 中最常用的兩個內(nèi)置帳戶是“來賓”帳戶和“管理員”帳戶 。
默認(rèn)情況下 ， “來賓”賬戶在成員服務(wù)器和域控制器上為禁用狀態(tài) 。不應(yīng)該將此設(shè)置更改 。您應(yīng)該對內(nèi)置的“管理員”賬戶重命名并改變其描述 ， 以阻止攻擊者利用一個眾所周知的帳戶危及遠程服務(wù)器的安全 。
最初 ， 許多惡意代碼的變種使用內(nèi)置的管理員帳號 ， 企圖破壞服務(wù)器 。近幾年來 ， 進行上述重命名配置的意義已經(jīng)降低了 ， 因為出現(xiàn)了很多新的攻擊工具 ， 這些工具企圖通過指定內(nèi)置 “管理員”賬戶的安全標(biāo)識符 (SID) 確定該帳戶的真實姓名 ， 從而侵入服務(wù)器 。SID 是識別每個用戶、組、計算機帳戶和網(wǎng)絡(luò)上登錄會話的唯一值 。不可能更改內(nèi)置帳戶的 SID 。將本地管理員帳戶重命名為唯一的名稱 ， 操作部門就可以輕松監(jiān)控攻擊該帳戶的企圖 。
要保護文件服務(wù)器上的常用賬戶 ， 您應(yīng)當(dāng)：
1. 重新命名“管理員”帳戶和“來賓”賬戶 ， 然后在每個域和服務(wù)器上將其密碼更改為長且復(fù)雜的值 。
2. 在每個服務(wù)器上使用不同的名稱和密碼 。如果所有的域和服務(wù)器使用同一個帳戶名和密碼 ， 則取得其中一臺成員服務(wù)器訪問權(quán)的攻擊者就可以用相同的帳戶名和密碼取得其他域和服務(wù)器的訪問權(quán) 。
3. 改變默認(rèn)的帳戶描述 ， 以防止帳戶被輕易識別 。
4. 在安全的位置記錄這些更改 。
注意：可通過組策略重命名內(nèi)置的“管理員”帳戶 。由于應(yīng)該為您的環(huán)境選擇一個唯一的名稱 ， 因此本指南所提供的所有安全模板中都沒有對此設(shè)置進行配置 。在本指南定義的三種環(huán)境中 ， 都可以將“賬戶：重命名管理員帳戶”設(shè)置配置為重命名管理員帳戶 。此設(shè)置是組策略安全選項設(shè)置的一部分 。
保護服務(wù)賬戶
除非絕對必要 ， 否則不要配置在域帳號安全性背景之下運行的服務(wù) 。如果服務(wù)器的物理安全受到破壞 ， 域賬戶密碼可以很容易通過轉(zhuǎn)儲本地安全性機構(gòu) (LSA) 秘文而獲得 。

推薦閱讀

• 

  如何區(qū)分食用薄荷
• 

  顏淵死,顏路請子之車以為之槨的之的意思 顏淵死顏路請子之車以為之槨翻譯
• 

  曾鞏簡介?
• 

  ppt如何設(shè)置動畫窗格
• 

  底字是什么結(jié)構(gòu)的字
• 

  地平線零之曙光擔(dān)心的原因任務(wù)怎么做 擔(dān)心的原因支線攻略
• 

  鄂州天氣預(yù)報怎么查
• 

  肉為什么要排酸
• 

  電視柜旁邊擺什么旺財 電視柜適合擺放的植物好
• 

  榴蓮沒有開口可以吃嗎
• 

  小米5c測評 小米5c評測
• 

  華為是目前非常強的一家企業(yè) 一千左右華為和小米哪個耐用
• 

  投影快捷鍵ctrl加什么
• 

  鯉魚能吃嗎，鯉魚和草魚能生吃嗎
• 

  格力空調(diào)故障代碼E6
• 

  海爾售后服務(wù)有哪些，海爾冰箱售后服務(wù)都有些什么服務(wù)

• 最新WinXP應(yīng)用技巧五則
• 輕松改變Win2003登錄方式
• Win 2003上傳文件不能超過200k解決方法
• AI查看文件頁面大小的操作方法
• Win 2003無法上傳較大文件的解決方法
• OPPO Find X2如何連接打印機？OPPO Find X2連接打印機打印文件教程
• 使用Win Server 2003搭建安全文件服務(wù)器
• qq接收的文件在哪文件夾
• 將XP的小游戲移植到Win2003中
• 管好Win XP/2003的預(yù)讀取文件