Share

|

较早版本的windows给予广泛进入系统的服务水平上运行的电脑。 许多这些服务运行下localsystem帐户，如果有任何违反可以：

• 给予广泛查阅资料到电脑上。

• 让恶意程式修改系统配置。

• 打开电脑，以其他类型的攻击。

windows vista的利用windows服务硬化，以提供额外的一层保障，使服务能不能妥协。 以下安全原则的深度防卫，窗口服务硬化：

• 制约着重要的windows服务，从表演的异常活动，会影响文件系统，注册，网络，或其他资源能够被用来让恶意软件自行安装或攻击其它计算机。 服务可以限制来自更换系统文件或修改的登记处。 不必要的窗户特权，如能力履行调试等，目前也被拆掉每一个服务的基础。

• 限制服务的数量正在运行和业务默认以减低整体的攻击面，在窗户。 有些服务是现在进行配置，以启动手动为需要的，而不是自动当操作系统开始。

• 限制特权级服务器，以限制人数的服务运行在

localsystem帐户。 一些服务，以前然在localsystem帐户现在运行在一个低特权帐户，如本地服务或网络服务帐户。 这就降低了整体的特权级的服务，这是类似的好处，来自用户帐号控制（ uac ） 。

windows服务硬化介绍完全新的特点，这是用的窗口服务。 如用户帐户，每一个服务有安全标识是用来管理安全许可批给服务。 每个服务的安全标识符（小岛屿发展中国家） ，使每次服务的身份。 每次服务的身份，进而使存取控制分割，通过现有的窗户访问控制模型，涵盖所有物品和资源经理说，使用访问控制列表（ acls ）的。 业务现在都可以适用明确的acl资源正在向私人服务，而这阻碍了其他服务，以及为用户获取这些资源。

所有服务，现在已注销限制使用代币。 写-限制出入的道理可以用在的情况下，定对象的书面向所服务的范围内，并且可以配置。 写企图资源，以该服务是不给予明确的准入失败。 此外，服务指派一个网络防火墙政策，以防止网络接入外的正常范围内的服务项目。 防火墙政策是有直接关连的每服务感觉统合失调。

而windows服务硬化不能阻止一个脆弱的服务受到影响，但这还有很长一段路限的危害有多大，攻击者可以做的是在万一攻击，是能找出并利用一个脆弱的服务。 再加上其他的windows vista元件及其它深度防卫战略，如windows防火墙和windows辩护人，电脑运行windows vista的还不止这些保护比电脑运行较早版本的windows系统。

这是一篇文章说，由彼得耀莫斯