国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應用案例 網(wǎng)絡威脅系統(tǒng)安全 應用安全 數(shù)據(jù)安全 云安全

你必須知道的Windows Vista安全功能(1)

時間:2011-05-04 15:49來源: 點擊:
現(xiàn)在每個服務都有一個獨立的SID,這樣服務就可以利用該SID來控制其專屬資源的ACL??梢栽诜盏乃拗鬟M程的訪問令牌里看到其SID。
Tags安全功能(12)系統(tǒng)(95)  

  注釋:我把幾篇訪問量相對較高的幾篇文章從我的個人版面轉(zhuǎn)移到這里,這是其中的一篇,同時補上已經(jīng)失效的部分圖片。為了不影響大家閱讀,這里并未將其放到blog.itecn.net首頁上,而是放到vista.itecn.net的版面上。

  不少網(wǎng)友甫一提及Windows Vista,所樂道者,不外乎其晶瑩剔透的Glass效果,抑或超酷超炫的Flip 3D效果,還不忘加上一句“可惜硬件要求太高”……

  其實這完全是一種誤解,Windows Vista不但出落得姿容絕色,還有很多“內(nèi)在美”,端的是“秀蘊于中”。而Vista的安全特性,尤其值得濃墨重彩、大書特書!

  如今世界,不管是小布什、還是比爾.蓋茨,最頭痛的就是“安全反恐”的問題,可見安全是一個普遍關(guān)注的熱門話題!

  縱深安全防御

  接下來的這張圖片,相信大家都非常熟悉,對,這就是“臭名卓著”的縱深防御體系圖。而Windows Vista則把安全理念滲透到縱深安全防御的每一個層面。本文就是以這張縱深防御的層次圖為模板(實際是縱深安全防御體系結(jié)構(gòu)圖的一個“子集”),以目前最新的CTP Build 5381.1為范例,向讀者諸君展示W(wǎng)indows Vista是如何武裝到牙齒的!

  基礎結(jié)構(gòu)安全

  在整個Windows Vista安全體系中,基礎結(jié)構(gòu)安全可以說是最關(guān)鍵,同時又是最容易被忽略的。所以這里首先介紹這些具有“老黃?!本竦幕A安全特性。

  1.安全開發(fā)生命周期

  對Windows Vista傾注了前所未有的心力,對整個開發(fā)過程引入了SDL(Security Development Lifecycle:安全開發(fā)生命周期)機制。耗費大量人力財力對工程師進行安全培訓,據(jù)說Vista工程師有5000人,這些多人都要停工接受安全培訓,可見微軟投入之巨大、意念之堅決!

  2.代碼完整性

  代碼完整性(CI:Code Integrity)可以有效地防范、rootkit等對系統(tǒng)文件的惡意修改,防范不安全的第三方驅(qū)動對系統(tǒng)的危害。CI會檢查代碼的hash值(內(nèi)嵌于代碼中的x.509證書,或者位于%windir%system32catroot里的編錄文件),一旦發(fā)現(xiàn)hash值不符,就會停止加載代碼。CI主要檢查以下的代碼:

  (1) 系統(tǒng)啟動時,檢查內(nèi)核、HAL和驅(qū)動的完整性

  (2) 檢查所有加載到內(nèi)核內(nèi)存空間的代碼完整性

  (3) 對加載到受保護進程空間里的代碼進行完整性檢查

  3.服務加固(Level 300)

  Windows Vista對服務進行了諸多有效的安全加固,能夠極大地減少服務所帶來的安全隱患。

  (1) Session 0隔離

  之前的,例如XP或者2003,服務和控制臺登錄的用戶都是位于Session 0,這樣用戶進程只要成功對服務發(fā)起攻擊,就可以提升自己的權(quán)限。而現(xiàn)在Vista里的所有服務都運行在Session 0里,通過鼠標、鍵盤(控制臺)登錄的用戶則位于Session 1。也就是說服務和所有用戶程序不可能位于一個Session,以杜絕通過應用進程向服務發(fā)動攻擊。

  (2) 最小特權(quán)帳戶

  把更多服務的啟動帳戶,從LocalSystem遷移到LocalService或者NetworkService。舉個例子,在XP下,“Cryptographic Services”服務的啟動帳戶是LocalSystem,而在Vista下,則變?yōu)镹etworkService,這樣可以大大減少服務所需的權(quán)限,減少安全隱患。

  (3) 獨立SID

  現(xiàn)在每個服務都有一個獨立的SID,這樣服務就可以利用該SID來控制其專屬資源的ACL??梢栽诜盏乃拗鬟M程的訪問令牌里看到其SID。例如以“Network Location Awareness”服務為例,可以在其宿主進程svchost的訪問令牌里看到其SID為“NT ServiceNlaSvc”(NlaSvc就是該服務的KeyName),如附圖所示。

  我們可以借助PsGetSid命令查看該SID的具體值,如附圖所示:

  可以借助Subinacl命令查看“Network Location Awareness”服務本身的ACL,可以發(fā)現(xiàn)其中的一個ACE含有“NT ServiceNlaSvc”這個SID,如附圖所示:

------分隔線----------------------------

推薦內(nèi)容