Share

|

Eerdere versies van Windows verlenen brede toegang tot het systeem-level diensten draaien op de computer. Veel van deze diensten draaien onder de LocalSystem-account, wanneer een inbreuk zou:

• Grant ruime toegang tot de gegevens op de computer.

• Laat schadelijke programma's om het systeem configuratie te wijzigen.

• Open de computer voor andere soorten aanvallen.

Windows Vista maakt gebruik van Windows Service Hardening om een extra laag van bescherming zodat diensten niet kunnen worden gecompromitteerd bieden. Naar aanleiding van de veiligheid principe van defensie-in-diepte, Windows Service Hardening:

• Beperkt kritieke Windows-services van het uitvoeren van abnormale activiteiten die van invloed zijn het bestandssysteem, register, netwerk, of andere middelen die gebruikt kunnen worden om schadelijke software te laten installeren of zelf andere computers aan te vallen. Diensten kunnen worden beperkt systeem van vervanging van bestanden of het bewerken van het register. Onnodige Windows privileges, zoals het vermogen om te debuggen te voeren, zijn ook verwijderd op een per-service basis.

• Grenzen van het aantal diensten die worden uitgevoerd en operationele standaard tot de algemene aanval oppervlak in Windows te verminderen. Sommige diensten zijn nu geconfigureerd om handmatig te starten als nodig is en niet automatisch wanneer het besturingssysteem wordt gestart.

• Grenzen het privilege niveau van de servers door beperking van het aantal diensten die op de

LocalSystem account. Sommige diensten die voorheen liep in de LocalSystem account nu uitgevoerd in een minder bevoorrechte account, zoals de Local Service of Network Service-account. Dit vermindert het voorrecht van de dienst, die vergelijkbaar is met de voordelen van User Account Control (UAC).

Windows Service Hardening introduceert geheel nieuwe functies, die worden gebruikt door Windows diensten. Net gebruikersaccounts, iedere dienst heeft een beveiligings-id die wordt gebruikt om de beveiliging machtigingen verleend aan de dienst beheren. Per dienst veiligheids-id's (SID's) in staat stellen per service identiteit. Per-service identiteit, op zijn beurt, maakt controle op de toegang door middel van afscherming van de bestaande Windows-access control model, waarin alle objecten en resource managers die gebruik maken van Access Control Lists (ACL's). Diensten kunnen nu van toepassing expliciete ACL's tot middelen die prive zijn om de dienst, en dit voorkomt dat andere diensten en als de gebruiker de toegang tot die middelen.

Alle diensten hebben nu schrijf-beperkte toegang penningen. Een waardevermindering beperkte toegang token kan worden gebruikt in gevallen waarin de verzameling van voorwerpen geschreven door de dienst wordt begrensd en kan worden geconfigureerd. Schrijf pogingen om middelen die de dienst niet werd verleend expliciet toegang mislukken. Verder zijn diensten krijgen een firewall beleid om te voorkomen dat toegang tot het netwerk buiten de normale grenzen van de service programma. De firewall beleid is direct gekoppeld aan de per-dienst SID.

Hoewel Windows Service Hardening niet kunnen voorkomen dat een kwetsbare dienst in gevaar wordt gebracht, heeft nog een lange weg te gaan in de richting van het beperken van hoeveel schade een aanvaller kunnen doen in het onwaarschijnlijke geval dat de aanvaller in staat is te identificeren en een kwetsbare dienst te exploiteren. In combinatie met andere Windows Vista-onderdelen en andere defensie-in-depth strategieën, zoals Windows Firewall en Windows Defender, computers waarop Windows Vista zijn veel meer bescherming dan computers met eerdere versies van Windows.