Share

|

Frühere Versionen von Windows bewilligen breiten Zugang zu den system-level Dienstleistungen, die auf den Computer laufen. Viele des Durchlaufes dieser Services unter dem LocalSystem Konto, in dem jeder möglicher Bruch könnte:

• Grant breiter Zugang zu den Daten bezüglich des Computers.

• Lassen Sie böswillige Programme die Anlagenkonfiguration ändern.

• Öffnen Sie den Computer zu anderen Arten Angriffe.

Windows Vista verwendet den Windows Service, der sich verhärtet, um eine zusätzliche Schicht Schutz zur Verfügung zu stellen, damit Dienstleistungen nicht verglichen werden können. Nach der Sicherheit Grundregel der Verteidigung-in-Tiefe, Windows Service-Verhärten:

• Schränkt kritische Windows Dienstleistungen vom Durchführen der anormalen Tätigkeiten ein, die das Dateisystem, Register, Netz oder andere Betriebsmittel beeinflussen, die benutzt werden konnten, um böswillige Software sich anbringen oder andere Computer in Angriff nehmen zu lassen. Dienstleistungen können vom Ersetzen der System Akten oder vom Ändern des Registers eingeschränkt sein. Nicht notwendige Windows Privilegien, wie die Fähigkeit, das Ausprüfen durchzuführen, sind auch auf einer Proservice Grundlage entfernt worden.

• Begrenzt die Zahl Dienstleistungen, die laufend und durch Rückstellung funktionsfähig sind, die gesamte Angriff Oberfläche in Windows zu verringern. Etwas Dienstleistungen werden jetzt zusammengebaut, um manuell zu beginnen, wie gebraucht anstatt automatisch, wenn das Betriebssystem beginnt.

• Begrenzt das Privilegniveau der Bediener indem das Begrenzen der Zahl Dienstleistungen, die in laufen

LocalSystem Konto. Etwas Dienstleistungen, die vorher in das LocalSystem Konto jetzt liefen, laufen in ein weniger privilegiertes Konto, wie das lokale Service- oder Vermittlungsdienstkonto. Dieses verringert das gesamte Privilegniveau des Services, der profitiert von der Benutzer-Konto-Steuerung (UAC) ähnlich ist.

Das Windows Service-Verhärten stellt völlig neue Eigenschaften vor, die durch Windows Dienstleistungen ebenfalls benutzt werden. Wie Benutzerkonten hat jeder Service einen Sicherheit Bezeichner, der benutzt wird, um die Sicherheit Erlaubnis zu handhaben, die dem Service bewilligt wird. Pro-Service Sicherheit Bezeichner (SIDs) ermöglichen Proservice Identität. Pro-Service Identität ermöglicht der Reihe nach der Zugriffssteuerung, die durch das vorhandene Windows Zugriffssteuerungmodell verteilt und umfaßt alle Gegenstände und Hilfsquellenverwaltungsprogramme, die Zugriffssteuerunglisten (ACLs) benutzen. Dienstleistungen können ausdrückliches ACLs an den Betriebsmitteln jetzt anwenden, die zum Service privat sind, und dieses verhindert andere Dienstleistungen sowie den Benutzer am Zugänglich machen jener Betriebsmittel.

Alle Dienstleistungen haben jetzt schreiben-eingeschränktes Zugang Zeichen. Ein schreiben-eingeschränktes Zugang Zeichen kann benutzt werden, in den Fällen wo der Satz der Gegenstände, die durch zum Service geschrieben werden, gesprungen wird und zusammengebaut werden kann. Schreiben Sie Versuche zu den Betriebsmitteln, denen der Service nicht ausdrückliches Zugang Ausfallen bewilligt wurde. Weiter Dienstleistungen eine Netzfirewallpolitik werden zugewiesen, zum des Netzzugangs außerhalb der normalen Grenzen des Service-Programms zu verhindern. Die Brandmauerpolitik wird direkt mit dem Proservice SID verbunden.

Während das Windows Service-Verhärten nicht einen verletzbaren Service an verglichen werden verhindern kann, geht es ein langer Weg in Richtung zum Begrenzen, wieviel Beschädigung ein Angreifer im unwahrscheinlichen Fall tun kann, den der Angreifer in der LageIST, einen verletzbaren Service zu kennzeichnen und auszunutzen. Wenn sie mit anderen Windows Vista Bestandteilen und anderen Verteidigung-in-Tiefe Strategien, wie Windows Brandmauer und Windows Verteidiger kombiniert werden, haben die Computer, die Windows Vista laufen lassen, viel mehr Schutz als die Computer, die frühere Versionen von Windows laufen lassen.