Vista服务功能增强的十点说明
2007-05-07 15:01:40 来源:WEB开发网服务增强是Windows Vista众多新的安全机制中的一个,同时它也将被集成在下一代Windows服务器系统,即Longhorn Server中。在以往的Windows系统中,由于一些关键性服务存在漏洞,而用户又无法关闭这些系统服务,因而导致黑客利用这些Windows系统服务的漏洞对系统进行攻击。在Windows Vista中,服务增强功能将使得黑客很难利用系统服务的漏洞发起攻击行为。
以下是我们应该知道的有关服务增强的知识:
1: SCM管理服务
Windows的服务是一些由服务控制管理器(Service Control Manager ,SCM)管理的程序,服务控制管理器维护着一个由已安装服务组成的数据库,并且负责管理服务状态。一般来说,大部分服务都是在Windows启动时自动启动,并且会持续运行下去。由于Windows服务具有随时可用的特性,因此总是会吸引黑客寻找其中的漏洞。
2: 高特权=高风险
在以往的Windows系统中,大部分服务都是在本地系统账户下运行,具有高优先级。这意味着一旦有服务被发现存在漏洞,黑客就可以利用这个漏洞对系统实施相当严重的破坏,因为服务的优先权可以让黑客访问系统的任何部分。
3: Vista和Longhorn Server的服务都尽量以最低权限运行
在Windows Vista和Longhorn Server中,以往那些运行在LocalSystem账户下的服务都转为运行在NetworkService或LocalService账户下了,这意味着这些服务的特权降低了。在新系统中,服务总是以它可以运行的最低权限来运行。服务所不需要的特权都被清除掉了,这可以极大的降低服务漏洞被黑客利用后给系统带来的威胁。
4: Vista采用“隔离”技术保护服务
隔离技术包括Session 0隔离,它可以防止用户的程序以Session 0状态(当Windows启动后首先创建的线程)运行。在Windows Vista中,只有系统服务和那些与用户线程无关的应用程序才可以在Session 0状态运行。这一技术可以保护系统服务不会受到用户程序的控制或修改。
5: Vista为每个服务标注安全身份(Security Identifier ,SID)
为每个服务标注一个SID可以将服务更好的区分开,从而让操作系统在Windows访问控制模式下,可以像限制用户和用户组账户那样限制服务对资源的访问。
6: Vista可以将访问控制列表(ACLs)应用于服务
访问控制列表是一系列访问控制项目(ACE)。网络上的每个资源在ACL中都有安全解释,用来定义谁或者那些程序和设备可以访问这些资源。
7: Vista内置的网络防火墙可以针对服务定制策略
在Vista中,策略和服务SID之间存在联系。这可以让用户控制服务是否能通过防火墙访问网络,并可以防止服务以某种不安全的方式访问网络。Vista的防火墙集成在Vista的服务增强功能中。
8: 用户可以限制某些服务的功能,防止服务编辑注册表,写入系统文件等
用户可以限定服务对注册表或系统文件的编辑和改写,一旦某个系统服务需要进行这类动作,将会写入到注册表的特定区域,或者特定的文件夹中。用户也可以限定系统服务不能修改系统配置,或者修改任何可能给系统安全带来风险的项目。
9: 每个系统服务都预先定制了一个服务增强脚本
在脚本中定义了该服务可以作什么,不能做什么。基于这个脚本,SCM为该服务分配适合其运行的最低的特权。
10: 服务增强功能无法防止由于服务漏洞产生的攻击
Windows Vista内置的防火墙和其它安全防护措施是用来防御此类威胁的。而服务增强功能的目的是降低通过服务漏洞导致的攻击的危害程度。它是Windows Vista的多层安全防御机制中的一部分。
更多精彩
赞助商链接