国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　(4) 服務的SID標記為Write-Restricted(寫限制)

　　這樣只有明確賦予某個服務SID相應權限的資源，該服務才能對該資源有寫權限。默認情況下，Base Filtering Engine(BFE)、Media Center Service Launcher(ehstart)、Diagnostic Policy (DPS)、Windows Firewall(MpsSvc)等服務的SID標記為Write-Restricted(寫限制)，如附圖所示。

　　(5) 減少不必要的特權

　　現(xiàn)在大多數服務不再直接繼承宿主進程的所有特權，(服務控制管理器)會自動刪除所有不必要的特權。還是以“Network Location Awareness”(NlaSvc)服務為例，用“SC /qprivs”命令查看該服務的特權，可以發(fā)現(xiàn)相對其宿主進程svchost而言，少了很多不必要的特權(現(xiàn)在只有三個特權)。

　　內部網絡

　　Windows Vista在內部網絡層面上亦做足安全措施，本文著重介紹其中的兩大安全特性：Windows防火墻和網絡訪問保護。

　　1.Windows防火墻

　　和其前任XP不同，Vista里內置的Windows防火墻則是“內外兼修”。不僅可以很好地管理入站連接，也可以通過管理出站連接。

　　其中入站連接的管理可以通過傳統(tǒng)的Firewall.cpl控制面板組件進行，也可以通過Administrative Tools下的“Windows Firewall with Advanced Security”管理單元進行管理，具體方法可以參考MVP劉暉的文章《Windows Vista四月專題系列四：體驗Windows Vista 5365》。

　　出站連接則必須通過“Windows Firewall with Advanced Security”管理單元進行配置?？梢栽谧髠鹊目刂婆_樹里右鍵單擊Outbound Rules，然后單擊“New Rule”，然后指定所需指定的程序(或者端口、預設規(guī)則等)，然后指定所需的操作、規(guī)則名稱即可。

　　雙擊新建的規(guī)則，還可以對其進行進一步微調，如附圖所示。

　　2.網絡訪問保護

　　如果說Windows防火墻主要是保護Vista計算機本身，則網絡訪問保護(NAP：Network Access Protection)就是為了防止不健康的Vista計算機感染內部網絡，從而提高整個內部網絡的安全性。

　　NAP的大致原理是當一臺Windows Vista客戶機試圖訪問內部網絡時，首先由企業(yè)內部網絡中的健康按照事先制定的策略對其進行審核，例如可以檢查其是否安裝了最新的Windows更新、安裝了最新的定義、是否安裝了明令禁止的軟件等。

　　如果發(fā)現(xiàn)該Vista客戶機不滿足健康策略(例如沒有安裝必要的Windows更新)，則不允許該客戶機聯(lián)入企業(yè)內部網絡，而是讓其連接到安全修復服務器(例如WSUS)上，重新安裝這些重要Windows更新，然后才允許該客戶機訪問內部網絡。整個原理如附圖所示。