Windows Vista 安全性和数据保护改进

核心提示： 为什么重要IT 部门降低安全风险的最重要方法之一就是对可访问网络的应用程序加以限制，Windows Vista 中内置的个人防火墙是此策略的重要组成部分，Windows Vista 安全性和数据保护改进(7)，通过使用个人防火墙，管理员可允许应用程序在计算机上本地运行， •将服务

为什么重要

IT 部门降低安全风险的最重要方法之一就是对可访问网络的应用程序加以限制。Windows Vista 中内置的个人防火墙是此策略的重要组成部分。通过使用个人防火墙，管理员可允许应用程序在计算机上本地运行，但会阻止其通过网络进行通信。这就使得管理员可进行精确控制以便降低安全风险，同时又不会对用户的工作效率造成负面影响。

Windows 服务增强

功能说明

“Windows 服务增强”可禁止关键 Windows 服务在文件系统、注册表、网络或可用于允许 malware 进行自身安装或攻击其他计算机的其他资源中进行异常活动。例如，可禁止“远程过程调用 (RPC)”服务替换系统文件或修改注册表。

“Windows 服务”代表了 Windows 中整个受攻击面的相当大的一部分 - 从系统中整个 "always-on" 代码量和该代码的权限级别角度来看。Windows Vista 对默认情况下运行和操作的服务的数量做出了限制。现在，许多系统和第三方服务以 LocalSystem 帐户运行，这种情况下，任何违规行为都会对本地计算机造成极大的破坏 - 包括磁盘格式化、用户数据访问或驱动程序安装。

“Windows 服务增强”降低了受损服务造成破坏的可能性，因为引入了由 Windows 服务使用的新概念:

•引入了每个服务的安全标识符 (SID)。它启用了每个服务的标识，该标识随后又通过现有 Windows 访问控制模型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。现在，服务可将显式 ACL 应用于该服务专用的资源，从而可防止其他服务和用户访问该资源。

•将服务从 LocalSystem 移至权限较低的帐户(如 LocalService 或 NetworkService)。这会降低服务的总体权限级别，这类似于“用户帐户保护”所带来的益处。