表 10：设置

      当服务器重启时，Remote Administration Service 将运行以下远程管理任务：

      停止 Remote Administration Service 可能会导致远程服务器管理工具的某些功能无法正常工作，例如，用于执行远程管理的 Web 界面。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Remote Administration Service 设置配置为“已禁用”。

表 11：设置

      Remote Registry Service 使远程用户可以修改域控制器上的注册表设置（如果远程 用户具有所需的权限）。默认情况下，只有 Administrators 和 Backup Operators 组中的用户才可以远程访问注册表。Microsoft Baseline Security Analyzer (MBSA) 实用程序需要使用此服务。MBSA 是一种用来验证要在组织机构内的每个服务器上安装哪些修补程序的工具。

      如果停止 Remote Registry Service，则您只能修改本地计算机上的注册表。禁用此服务会导致显式依赖于它的所 有服务都失败，但是不会影响本地计算机上的注册表操作。其他的计算机或设备也不会连接至您的本地计算机注册表。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Remote Registry Service 设置配置为“已禁用”。

表 12：设置

      Server 服务通过网络提供 RPC 支持、文件、打印和命名管道共享。此服务允许本地资源共享（例如磁盘和打印机），因此网络上的其他用户便可以访问这些共享资源。此外，它还允许运行在其它计算机上的应用程序和您的计 算机展开命名管道通信（使用 RPC）。命名管道通信为一个进程的输出保留了一块内存，并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。

      停止 Server 服务将禁止您与网路上的其他用户共享文件和打印机，并且还将无法满足 RPC 请求。禁用此服务还将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Server 设置配置为“已禁用”。

表 13：设置

      TCP/IP NetBIOS Helper Service 通过 TCP/IP (NetBT) 服务支持网络基本输入/输出系统 (NetBIOS) ，并支持网络上的客户端的 NetBIOS 名称解析；从而使用户可以共享文件、打印和网络登录。TCP/IP（传输控制协议/Internet 协议）NetBIOS Helper Service 通过执行 DNS 名称解析，支持 NetBT 服务。

      停止 TCP/IP NetBIOS Helper Service 会禁止 NetBT、Redirector (RDR)、Server (SRV)、Netlogon 和 Messenger 服务客户端共享文件、打印机，并可防止用户登录计算机。例如，基于域的组策略将不再起作用。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面 。出于这些原因，应在 BHLP 中将 TCP/IP NetBIOS Helper Service 设置配置为“已禁用”。

表 14：设置

      Terminal Services 提供一个多会话环境，客 户端设备可以在此环境中访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。Terminal Services 使用户可以远程管理服务 器。

      停止或禁用 Terminal Services 会防止远程管理计算机，使得计算机管理和更新非常困难。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防 止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Terminal Services 设置配置为“已禁用”。

表 15：设置

      Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则，来管理应用程序的安装和删除。这些安装规则定义应 用程序的安装和已安装应用程序的配置。此外，此服务还用于修改、修复或删除现有的应用程序。组成此服务的技术包括适用于 Windows 操作系统的 Windows Installer 服务以及 (.msi) 数据包格式文件（用于保存应用程序设置和安装的信息）。

      Windows Installer 不仅是一个安装程序，而且还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除、监视文件回弹以及使 用回滚功能从灾难事件中恢复基本文件。此外，Windows Installer 服务支持从多个源安装和运行软件，并且可以由要安装自定义应用程序的开发人员自定义。

      将 Windows Installer 服务设置为手动会导致使用此安装程序的应用程序启动此服务。

      停止此服务将使依赖于此服务的应用程序的安装、删除、修复和修改操作失败。此外，在运行时将用到此服务的大 量应用程序可能会无法执行。禁用此服务将导致任何显式依赖于此服务的服务都失败。

      此服务不是正确操作堡垒主 机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该 服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Windows Installer 设置配置为“已禁用”。

表 16：设置

      Windows Management Instrumentation Driver Extensions 服务可用来监视为发布 Wmi 而配置的所有驱动程序和事件跟踪提供程序，或者监视事件跟踪信息。

      此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后，将仅对服务器管理员授予访问权限，这样可防止未经授权或恶意用户配置或操作该服务。此外，禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因，应在 BHLP 中将 Windows Management Instrumentation Driver Extensions 设置配置为“已禁用”。

表 17：设置

      WMI Performance Adapter 服务提供来自 WMI HiPerf 提供程序的性能库信息。现在，需要提供性能计数器的应用程序和服务可以采用两种方法实现此目的：通过编写 WMI 高性能提供程序，或者通过编写性能库。

      WMI Performance Adapter 服务通过“反向适配器性能库”(Reverse Adapter Performance Library)，将“WMI高性能提供程序”提供的性能计数器转换成“性能数据助手”(Performance Data Helper，PDH) 可以引用的计数器。这样一来，PDH 客户端（例如 Sysmon）就可以引用计算机上任何 WMI 高性能提供程序所提供的性能计数器。

      如果停止 WMI Performance Adapter 服务，则 WMI 性能计数器将不可用。禁用此服务将导致任何显式依赖于此服务的服务都失败。