【转自】:
|
• |
具许可、阻塞或协商安全性等操作的数据包筛选。 |
• |
协商信任和安全 IP 通信。IKE 协议可基于策略设置来相互验证 IP 数据包发送者和接收者的身份。身份验证可使用 Kerberos 身份验证协议、数字证书或共享密钥(密码)。IKE 自动生成加密密钥和 IPsec 安全关联。 |
• |
具有可提供加密完整性、身份验证以及(可选)IP 数据包加密的 IPsec 安全格式的 IP 数据包保护。 |
• |
通过 IPsec 传输模式的安全端到端连接。 |
• |
通过 IPsec 隧道模式的安全 IP 隧道。 |
IPsec 还为第 2 层隧道协议 (L2TP) VPN 连接提供安全性。
如果 IPSec Policy Agent (IPSec Service) 服务停止,网络中客户端和服务器之间的 TCP/IP 安全将受到损害。在 Windows Server 2003 和 Windows XP 计算机上默认安装并xx此服务。
Kerberos Key Distribution Center 服务允许用户使用 Kerberos v5 身份验证协议登录网络并进行身份验证。
与 Kerberos 协议的其他实现一样,Kerberos Key Distribution (KDC) 是一个单独的进程,可提供两种服务:
• |
身份验证服务。 此服务将票证授予票证 (TGT) 颁发给所属域或任何信任域中的票证授予服务连接。在客户端计算机向其他计算机请求票证之前,必须先向客户端的帐户域中的身份验证服务请求 TGT。身份验证服务则向目标计算机域中的票证授予服务返回 TGT。该 TGT 可不断重用,直至过期。但{dy}次访问任意域的票证授予服务始终要客户端帐户域中的客户端计算机联系身份验证服务。 |
• |
票证授予服务 (TGS)。此服务将连接票证颁发给所属域中的计算机。当客户端计算机希望访问另一台计算机时,必须请求 TGT,然后要求该计算机的票证。票证可不断重用,直至过期。但{dy}次访问任意计算机始终要联系目标计算机帐户域中的票证授予服务。 |
如果 Kerberos Key Distribution Center 服务停止,用户将无法登录网络,也无法访问资源。此服务安装在所有 Windows Server 2003 计算机上,但只在域控制器上运行。如果禁用此服务,用户将无法登录到域。
License Logging 服务监视和记录客户端访问许可证信息。它监视和记录操作系统部分(如 IIS、终端服务、文件和打印共享),也监视和记录不属于操作系统的产品,如 SQL Server 或 Microsoft Exchange server。
如果 License Logging 服务停止或被禁用,会执行授权操作,但是不会得到监视。默认情况下,此服务在 Windows Server 2003 计算机上被禁用。
Logical Disk Manager 服务监测和监视新硬盘驱动器并向 Logical Disk Manager Administrative Service 发送磁盘卷的信息以便配置。此服务监视即插即用事件以检测新驱动器并使用管理员服务和监视程序服务。如果计算机中有动态磁盘,请不要禁用该服务。
在 Windows Server 2003 和 Windows XP 计算机上,Logical Disk Manager 服务默认运行。如果此服务停止,动态磁盘状态和配置信息会过时。例如,系统检测不到硬盘驱动器。管理员服务和监视程序服务在本质上是一种组件。只有在配置驱动器、分区或检测出新驱动器时,系统才启动管理服务。
Logical Disk Manager Administrative Service 可针对磁盘管理请求执行管理服务,并配置硬盘驱动器和卷。该服务只在配置驱动器、分区或检测出新驱动器时才启动。此服务在默认情况下不启动,但只要更改了 动态磁盘配置或打开了 MMC 磁盘管理管理单元或 Diskpart.exe 工具,服务即被xx。可xx此服务的更改包括:基本磁盘转换为动态、容错卷恢复、卷格式化,或对页面文件的更改。
Logical Disk Manager Administrative Service 只为配置处理运行,然后停止。如果禁用此服务,尝试使用 MMC 磁盘管理管理单元配置磁盘时,系统将显示下面的错误消息。
无法连接逻辑磁盘管理器服务
Machine Debug Manager 服务管理许多应用程序的本地和远程调试,包括 Microsoft 脚本编辑器、各种版本的 Office 应用程序套件和 Microsoft Visual Studio。
如果禁用 Machine Debug Manager 服务,脚本或进程调试尝试将失败并显示以下错误消息:
无法启动调试。计算机调试管理器服务被禁用。
此外,用户将没有机会调试网页中的脚本错误。
Message Queuing 服务是一种消息处理基础结构和开发工具,用于为 Windows 创建分布式消息处理应用程序。这样的应用程序可以跨异类网络进行通信,在临时无法相互连接的计算机之间发送消息。此服务提供了具有一定保证的消息传递、有 效的路由、安全性和基于优先级的消息传递。它还支持在事务内发送消息,并为包括管理在内的所有编程功能提供了 Microsoft Win32® 和 COM API。
Windows XP 版本中 Message Queuing 服务的远程读取功能的实现允许未经身份验证的用户连接到队列。恶意用户可能xx队列并导致拒绝服务状态。此外,消息队列远程读取数据通过网络以纯文本传输,这意味着它可能被能够捕获网络数据的恶意用户读取。
出于这些原因,Microsoft 建议不要在公开给不受信任的网络(如 Internet)的 Windows XP 计算机上安装 Message Queuing 服务。默认情况下该服务未在 Windows XP 中安装,因此大多数组织不受此漏洞的威胁。
如果 Message Queuing 服务停止,分布式消息不可用。如果禁用此服务,任何明确依赖于此服务的服务将无法启动。此外,COM+ Queued Component (QC) 功能、Windows Management Instrumentation (WMI) 的某些功能以及 Message Queuing Triggers 服务将会受到影响。默认情况下,此服务未在 Windows Server 2003 计算机上安装。
Message Queuing Down Level Clients 服务为域控制器上使用 Message Queuing 服务的 Windows NT 4.0、Windows 9x 和 Windows 2000 客户端提供 Active Directory 访问。Message Queuing 服务可选使用 Active Directory 中发布的信息来获取安全相关对象(如目标公钥)的路由信息和了解公共队列。如果以工作组模式安装 Message Queuing,则永远访问不到 Active Directory。此服务只在运行 Message Queuing 服务的 Windows Server 2003 域控制器上为必需。
如果域控制器停止 Message Queuing Down Level Clients 服务,3.0 以前版本的 Microsoft 消息队列客户端将无法在指定域控制器上获得用于公共队列可发现性、消息路由以及站点识别的 Active Directory 服务。默认情况下,此服务未在 Windows Server 2003 计算机上安装。
Message Queuing Triggers 服务可使系统基于规则监视到达 Message Queuing 服务队列的消息,如果满足规则条件,则调用 COM 组件或独立可执行程序来处理消息。
Message Queuing Triggers 服务作为 Message Queuing 服务的一部分安装,它是可选 Windows 组件,在除 Windows XP Home Edition 外的所有 Windows 版本中可用。
如果 Message Queuing Triggers 服务停止,将无法应用基于规则的监视,也无法调用程序来自动处理消息。默认情况下,此服务未在 Windows Server 2003 计算机上安装。
Messenger 服务在用户、计算机、管理员和 Alerter 服务之间发送消息或接收消息。此服务与 Windows Messenger 无关,后者是一种免费的即时消息服务,可通过 MSN 获得。
如果禁用 Messenger 服务,计算机或当前登录的用户无法发送或接收通知。而且,NET SEND 和 NET NAME 解释器命令将不起作用。Windows Server 2003 和 Windows XP 计算机上已安装此服务但默认情况下禁用。
Microsoft POP3 Service 提供了电子邮件传输和检索服务。管理员可使用此服务存储和管理邮件服务器中的电子邮件帐户。如果在邮件服务器上安装了 Microsoft POP3 Service,用户可以连接到该服务器并使用支持 POP3 协议的电子邮件客户端程序(如 Microsoft Outlook®)检索电子邮件。Microsoft POP3 Service 与 SMTP Service 结合在一起工作,后者允许用户发送传出电子邮件。
Microsoft POP3 Service 机制允许用户从邮件服务器中检索自己的电子邮件。发件人和收件人的计算机通过其各自的 Internet 服务提供商 (ISP) 连接到 Internet。当发件人使用电子邮件客户端发送邮件时,SMTP Service 将邮件传送到发件人的 ISP。邮件随后路由到 Internet 并通过各种中间服务器中继。当邮件到达收件人的 ISP 时,它位于收件人的邮箱中。一旦收件人计算机连接到其 ISP,ISP 便根据 POP3 协议标准将邮件传递到收件人本地计算机的电子邮件客户端中。
如果 Microsoft POP3 Service 停止,电子邮件传输和检索服务都无法工作。在 Windows Server 2003 计算机上,此服务必须手动进行安装。
Microsoft Software Shadow Copy Provider 服务可管理由 Volume Shadow Copy 服务提取的基于软件的卷影副本。卷影副本是磁盘卷的快照副本,它代表该卷的一致只读时间点。此后,该时间点快照保持不变,并允许应用程序(如备份软件)将数据从卷影副本复制到磁带。
一般而言,卷影副本有两类:
卷影副本可解决三种典型数据备份挑战:
卷影副本的平台包括:
• |
一组处理应用程序同步的卷影副本 API。这种同步可确保卷影副本完好,因为应用程序数据处于已知的有效状态。这些 API 为插件卷影副本提供程序和多卷卷影副本协调提供了必要的功能。 |
• |
在扇区首次被替换以为任何本地装入卷提供卷影副本时将旧扇区复制到“差异文件”的卷影复制设备驱动程序。“差异文件”被置于当前卷上以合成卷影副本卷。 |
• |
在软件开发团体中支持同步和提供程序 API。 |
如果 Microsoft Software Shadow Copy Provider 服务停止,将无法管理基于软件的卷影副本,这可能导致 Windows 备份失败。此服务在 Windows Server 2003 上默认安装,但必须请求才会运行。
MSSQL$UDDI 服务在系统安装 Windows Server 2003 系列的“通用描述、发现和集成 (UDDI)”功能时安装。(此功能为组织提供了 UDDI 功能。)安装此服务时还将安装 SQL Server 数据库实例。此实例管理组成该服务所使用的数据库的所有文件,并处理发送自 SQL Server 客户端应用程序的所有 Transact-SQL 语句。MSSQL$UDDI 服务可在多个并发用户之间有效分配计算机资源。此外,它还强制执行在存储过程和触发器中定义的业务规则,并确保数据的一致性,同时防止逻辑故障(如两人同时尝试更新同一数据)。
UDDI 是 Web 服务描述和发现的行业规范。UDDI 规范建立于万维网联合会 (W3C) 和 IETF 制定的简单对象访问协议 (SOAP)、可扩展标记语言 (XML) 和 HTTP/S 协议标准基础之上。UDDI 服务是一种基于标准的 XML Web 服务,它使开发人员能够直接通过其开发工具有效发布、发现、共享和重用 Web 服务。基于 Microsoft .NET Framework 建立的 UDDI 服务使用经证实的 Microsoft SQL Server 技术和工具来提供可扩展的存储机制。IT 管理员可利用 UDDI 服务来支持标准分类方案和 Active Directory 身份验证,并可在企业环境中进行简单的集成。
MSSQL$UDDI 服务必须在 Windows Server 2003 计算机上手动安装;安装时,其启动类型被配置为“手动”。如果此服务停止,UDDI SQL Server 数据库将不再可用,客户端无法再查询或访问其数据库中的数据。
如果“本地系统”帐户不调用 Microsoft SQL Server 和 Microsoft SQL Server Analysis 服务,MSSQLServerADHelper 服务将启用这些服务来在 Active Directory 中发布信息。每台计算机仅允许运行 MSSQLServerADHelper 服务的一个实例。Microsoft SQL Server 和 Microsoft SQL Server Analysis 服务的所有实例将在需要时使用它。
MSSQLServerADHelper 不是服务器服务,也不为客户端请求服务。该服务不使用 UDP 或 TCP 端口。
无法停止 MSSQLServerADHelper 服务。此服务由 SQL Server 或 Analysis Manager 的实例在需要时动态启动。一旦完成工作,该服务立即停止。请始终以“本地系统”帐户身份运行此服务,不要从控制台中手动启动此服务。如果禁用此服务,可能 对添加、更新或删除与 SQL Server 相关的 Active Directory 对象的能力有影响。在 Windows Server 2003 计算机上,此服务必须手动进行安装。安装时,其启动类型被配置为“手动”。
指定进程初始化客户端运行时服务时,.NET Framework Support Service 将通知订阅客户端。.NET Framework Support Service 可提供运行时环境(称为“公共语言运行库”(CLR)),它负责管理代码的执行并提供使开发过程更简化的服务。编译程序和工具可展示运行时的功能,您可编 写受益于这种托管执行环境的代码。CLR 允许您设计组件和应用程序,其中的对象可跨语言交互。使用其他语言编写的对象可相互通信,它们的操作行为可紧密集成。此服务通常作为 Visual Studio.NET 开发环境的一部分进行安装,并且除非经手动安装否则不会存在或被xx。
如果 .NET Framework Support Service 停止或被禁用,则当 .NET 应用程序启动 CLR 时用户将不会收到通知。