因為打印服務器提供的大多數重要服務都需要Microsoft？ Windows？ 網絡基本輸入/輸出系統（NetBIOS）相關協議的支持，所以本章將重點討論在進一步強化打印服務器安全性方面存在的一些挑戰。服務器消息塊（SMB）協議和通用Internet文件系統（CIFS） 協議能給未經授權用戶提供大量的信息。因此，我們經常建議在高安全性的Windows環境中禁止打印服務器使用這些協議。但是，禁用這些協議可能給您的環境中的管理員和用戶訪問打印服務器造成一定的困難。
　　
　　本章下面的部分將詳細描述打印服務器能夠從中受益的一些安全性設置，這些設置都不能通過成員服務器基線策略（MSBP）得到應用。要了解更多關于MSBP的信息，可參閱第三章"創建成員服務器基線".
　　
　　審核策略設置
　　
　　在本指南定義的三種環境下，打印服務器的審核策略都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創建成員服務器基線".MSBP設置確保了所有相關的安全審核信息能夠被所有的打印服務器記錄在日志中。
　　
　　用戶權限分配
　　
　　在本指南定義的三種環境下，打印服務器的用戶權限分配都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創建成員服務器基線".MSBP設置確保了所有正確的用戶權限分配都能夠跨越不同的打印服務器實現統一配置。
　　
　　安全選項
　　
　　在本指南定義的三種環境下，打印服務器的安全選項設置都是通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創建成員服務器基線".MSBP設置確保了所有相關的安全選項設置能夠跨越不同的打印服務器實現統一配置。
　　
　　Microsoft網絡服務器：數字簽署通信（始終）
　　
　　
表7.1：設置
　　　

　　"Microsoft網絡服務器：數字簽署通信（始終）"設置決定了數據包簽署對于SMB服務器組件來說是否是必需的。SMB協議為Microsoft的文件和打印共享以及像遠程Windows管理這樣的其它許多網絡操作提供了基礎。為了阻止SMB數據包在傳輸過程中受到人為攻擊，SMB協議支持SMB數據包的數字簽署。該設置決定了服務器和SMB 客戶端之間的通信在被允許之前是否可以忽略SMB數據包的數字簽署。
　　
　　盡管該設置被缺省為禁用狀態，但是您可以通過MSBP在本指南定義的高安全性環境中啟用服務器的這個設置。您可以啟用打印服務器上的這個設置以便用戶執行打印操作，但是它不允許用戶查看打印隊列。試圖查看打印隊列的用戶將得到拒絕訪問的消息。出于上述原因，在本指南定義的三種環境中，"Microsoft 網絡服務器：數字簽名通信（始終）"設置被配置為"禁用 "打印服務器。
　　
　　事件日志設置
　　
　　在本指南定義的三種環境下，打印服務器的事件日志設置都通過MSBP進行配置。要了解更多關于MSBP的信息，可參閱第三章"創建成員服務器基線".
　　
　　系統服務
　　
　　任何服務和應用軟件都是攻擊者的潛在目標，所以應該禁用或刪除不需要的服務和可執行文件。在MSBP中，可選服務和不必要服務都應該被禁用。以下內容詳細描述了應該在打印服務器上啟用的服務。
　　
　　后臺打印
　　
　　
表7.2：設置
　　"后臺打印處理"服務管理著所有本地和網絡打印隊列并控制所有的打印工作。后臺打印處理服務是 Windows 打印子系統的中心，它與打印驅動程序和輸入/輸出（I/O）組件進行通信。
　　
　　打印服務器依賴于"后臺打印處理"服務的正確運行。為了讓打印服務器處理客戶機的打印工作，該服務必須設置為運行。您可以使用組策略將" 后臺打印處理" 服務的啟動模式設置為"只允許服務器管理員訪問"，以防止服務被未經授權或懷有惡意的用戶設置或操作。組策略也可以防止管理者無意中禁用該服務。其原因是：在本指南定義的三種安全環境中，"后臺打印處理"設置都被配置為"自動".
　　
　　其它安全性設置
　　
　　MSBP中應用的安全設置大大提高了打印服務器的安全性。不過，您還需要考慮其它一些注意事項。有些步驟不能通過組策略來完成，而要在所有打印服務器上手動執行操作。
　　
　　保護眾所周知帳戶的安全
　　
　　Microsoft Windows Server？ 2003具有大量的內置用戶帳戶，這些帳戶不能被刪除，但是可以重命名。Windows 2003中最常見的兩個內置帳戶是Guest 和Administrator . Guest 帳戶在成員服務器和域控制器上缺省為禁用狀態。此設置不應該被更改。內置的Administrator 帳戶應該被重命名并改變描述。以防止攻擊者利用該帳戶危及遠程服務器的安全。
　　
　　許多惡意代碼的變種企圖使用內置的管理員賬戶來破壞一臺服務器。在近幾年來，進行上述重命名配置的意義已經大大降低了，因為出現了很多<