本帖最后由 ELOHIM 于 2021-7-23 10:18 编辑
Windows 操作系统包含许多提供重要功能的系统服务。 不同的服务具有不同的默认启动策略:有些服务默认会自动启动,有些服务按需启动(手动),还有一些服务默认已禁用,只有在显式启用之后才能运行。 这些默认设置是为每个服务精心选择的,目的是为典型的客户找到性能、功能与安全性之间的平衡。 但是,某些企业客户可能偏向于对其 Windows 电脑和服务器采用注重于安全的配置,这种配置可将受攻击面减至绝对最小。因此,这些客户可能想要完全禁用其特定环境中不需要的所有服务。 对于这些客户,Microsoft® 将提供随附的指南,说明可以出于此目的安全禁用哪些服务。 本指南仅适用于带有桌面体验的 Windows Server 2016(除非用作最终用户的桌面替代版本)。 从 Windows Server 2019 开始,默认会配置这些指导原则。 系统上每个服务的分类如下: - 应该禁用: 注重于安全的企业很可能想要禁用此服务并放弃其功能(请参阅下面的附加详细信息)。
- 可以禁用: 此服务提供的功能对某些(但不是所有)企业有用,如果企业不使用此服务且注重安全,可以安全禁用它。
- 不要禁用: 禁用此服务会影响基本功能,或导致特定的角色或功能无法正常运行。 因此不应禁用它。
- (无指导): 尚未完全评估禁用这些服务的影响。 因此,不应更改这些服务的默认配置。
客户可以使用其组策略中的安全模板或使用 PowerShell 自动化将其 Windows 电脑和服务器配置为禁用所选的服务。 在某些情况下,指南中包含用于直接禁用服务功能的特定组策略设置,作为禁用服务本身的替代方法。 Microsoft 建议客户在带有桌面体验的 Windows Server 2016 中禁用以下服务及其相应的计划任务:
Windows Server 2016 中的系统服务的安全指导原则 | Microsoft Docs
家庭用户不要照搬。
|