Share

|

Umas versões mais adiantadas de Windows concedem o acesso largo aos serviços system-level que funcionam no computador. Muitos do funcionamento destes serviços sob o cliente de LocalSystem, onde toda a ruptura poderia:

• Acesso largo de Grant aos dados no computador.

• Permita que os programas maliciosos modifiquem a configuração de sistema.

• Abra o computador a outros tipos de ataques.

Windows Vista usa o serviço de Windows que endurece-se para fornecer uma camada adicional de proteção de modo que os serviços não possam ser comprometidos. Depois do princípio da segurança da defesa-em-profundidade, endurecer-se do serviço de Windows:

• Restringe serviços críticos de Windows de executar as atividades anormais que afetam o sistema de lima, o registro, a rede, ou os outros recursos que poderiam ser usados permitir que o software malicioso se instale ou se ataque outros computadores. Os serviços podem ser restritos de substituir limas de sistema ou de modificar o registro. Os privilégios desnecessários de Windows, tais como a abilidade de executar eliminar erros, foram removidos também em uma base do por-serviço.

• Limita o número dos serviços que são running e operacionais pelo defeito reduzir a superfície total do ataque em Windows. Alguns serviços estão configurarados agora para começar manualmente como necessitado melhor que automaticamente quando o sistema se operando começa.

• Limita o nível do privilégio dos usuários limitando o número dos serviços que funcionam no

Cliente de LocalSystem. Alguns serviços que funcionaram previamente no cliente de LocalSystem agora funcionam em um cliente mais menos privilegiado, tal como o cliente local do serviço ou do serviço de rede. Isto reduz o nível total do privilégio do serviço, que é similar aos benefícios derivados do controle do cliente do usuário (UAC).

Endurecer-se do serviço de Windows introduz as características inteiramente novas, que são usadas por serviços de Windows também. Como clientes do usuário, cada serviço tem um identificador da segurança que seja usado controlar as permissões da segurança concedidas ao serviço. os identificadores da segurança do Por-serviço (SIDs) permitem a identidade do por-serviço. a identidade do Por-serviço, por sua vez, permitem o controle de acesso que divide através do modelo existente do controle de acesso de Windows, cobrindo todos os objetos e os gerentes de recurso que usam as listas do controle de acesso (ACLs). Os serviços podem agora aplicar ACLs explícito aos recursos que são confidenciais ao serviço, e este impede outros serviços as.well.as o usuário de alcançar aqueles recursos.

Todos os serviços têm agora símbolo escrev-restrito do acesso. Um símbolo escrev-restrito do acesso pode ser usado nos casos onde o jogo dos objetos escritos pelo serviço é limitado e pode ser configurarado. Escreva tentativas aos recursos a que o serviço não foi concedido a falha explícita do acesso. Mais mais, serviços são atribuídos uma política do guarda-fogo de rede para impedir o acesso de rede fora dos limites normais do programa do serviço. A política do guarda-fogo é ligada diretamente ao por-serviço SID.

Quando se endurecer do serviço de Windows não puder impedir que um serviço vulnerável esteja comprometido, vai uma maneira longa para limitar quanto danos um atacante pode fazer no evento que improvável o atacante pode identificar e explorar um serviço vulnerável. Quando combinados com outros componentes de Windows Vista e outras estratégias da defesa-em-profundidade, tais como o guarda-fogo de Windows e o defender de Windows, os computadores que funcionam Windows Vista têm muito mais proteção do que os computadores que funcionam umas versões mais adiantadas de Windows.