细读Windows2003 Server的新安全机制

　　Windows服务配置方面的变化可分成两类。

　　㈠ 启动类型。几种最容易受到攻击的服务，诸如Clipbook（启用“剪贴簿查看器”储存信息并与远程计算机共享）、Network DDE以及Network DDE DSDM（前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换（DDE）的网络传输和安全；后者用于管理动态数据交换网络共享）、Telnet、WebClient（使基于Windows的程序能创建、访问和修改基于Internet的文件）等，默认情况下已经被禁止了。还有一些服务只有在必要时才启用，例如Intersite Messaging（启用在运行Windows Server的站点间交换消息）只有在域控制器提升时才启用，Routing and Remote Access Service（为网络上的客户端和服务器启用多重协议——LAN到LAN，LAN到WAN，虚拟专用网络（VPN）和网络地址转换（NAT）路由服务）只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。
　　 
　　㈡ 运行在Local System安全上下文之下的服务变少了，因为Local System具有不受限制的本地特权。现在，许多情况下，Local System被Local Service或Network Service帐户取代，这两个帐户都只有稍高于授权用户的特权。正如其名字所示的，Local Service帐户用于本地系统的服务，它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害，则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话，而且不使用任何凭据访问网络资源。

　　相对地，Network Service则被用于必须要有网络访问的服务，它对于资源和对象的访问级别也与Users组的成员相同，以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。