Share

|

Des versions plus tôt de Windows accordent l'accès large aux services au niveau système fonctionnant sur l'ordinateur. Beaucoup de la course de ces services sous le compte de LocalSystem, où n'importe quelle infraction pourrait :

• Accès large de Grant aux données sur l'ordinateur.

• Permettez aux programmes malveillants de modifier la configuration de système.

• Ouvrez l'ordinateur à d'autres types d'attaques.

Windows Vista emploie le service de Windows durcissant pour assurer une couche additionnelle de protection de sorte que des services ne puissent pas être compromis. Après le principe de sécurité de la défense-dans-profondeur, durcissement de service de Windows :

• Limite des services critiques de Windows d'exécuter les activités anormales qui affectent le système de fichiers, l'enregistrement, le réseau, ou d'autres ressources qui pourraient être employées pour permettre au logiciel malveillant de s'installer ou d'attaquer d'autres ordinateurs. Les services peuvent être restreints de remplacer des dossiers de système ou de modifier l'enregistrement. Des privilèges inutiles de Windows, tels que la capacité d'effectuer la correction, ont été également enlevés sur une base de par-service.

• Limite le nombre de services qui sont courants et opérationnels par défaut pour réduire la surface globale d'attaque dans Windows. Quelques services sont maintenant configurés pour commencer manuellement comme nécessaire plutôt qu'automatiquement quand le logiciel d'exploitation commence.

• Limite le niveau de privilège des serveurs en limitant le nombre de services qui fonctionnent dans

Compte de LocalSystem. Quelques services qui précédemment ont fonctionné dans le compte de LocalSystem maintenant fonctionnent dans un compte moins privilégié, tel que le compte local de service ou de service de réseau. Ceci réduit le niveau global de privilège du service, qui est semblable aux avantages dérivés de la commande de compte d'utilisateur (UAC).

Le durcissement de service de Windows présente les dispositifs entièrement nouveaux, qui sont employés par des services de Windows aussi. Comme des comptes d'utilisateur, chaque service a une marque de sécurité qui est employée pour contrôler les permissions de sécurité accordées au service. les marques de sécurité de Par-service (SIDs) permettent l'identité de par-service. l'identité de Par-service, alternativement, permet le contrôle d'accès divisant par le modèle existant de contrôle d'accès de Windows, couvrant tous les objets et les directeurs de ressource qui emploient les listes de contrôle d'accès (ACLs). Les services peuvent maintenant s'appliquer ACLs explicite aux ressources qui sont privées au service, et ceci empêche d'autres services aussi bien que l'utilisateur d'accéder à ces ressources.

Tous les services ont maintenant la marque écrire-restreinte d'accès. Une marque écrire-restreinte d'accès peut être employée dans les cas où l'ensemble d'objets écrits à par le service est lié et peut être configuré. Écrivez les tentatives aux ressources auxquelles on n'a pas accordé le service l'échouer explicite d'accès. De plus, des services sont assignés une politique de mur à l'épreuve du feu de réseau pour empêcher l'accès de réseau en dehors des limites normales du programme de service. La politique de mur à l'épreuve du feu est liée directement au par-service SID.

Tandis que le durcissement de service de Windows ne peut pas empêcher un service vulnérable d'être compromis, il va un long chemin vers limiter combien de dommages un attaquant peut faire dans l'événement peu probable que l'attaquant peut identifier et exploiter un service vulnérable. Une fois combinés avec d'autres composants de Windows Vista et d'autres stratégies de défense-dans-profondeur, telles que le mur à l'épreuve du feu de Windows et le défenseur de Windows, les ordinateurs courant Windows Vista ont beaucoup plus de protection que des ordinateurs courant des versions plus tôt de Windows.