Chinaunix首页 | 论坛 | 博客
  • 博客访问: 499212
  • 博文数量: 1496
  • 博客积分: 79800
  • 博客等级: 大将
  • 技术积分: 9940
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 13:22
文章分类

全部博文(1496)

文章存档

2011年(1)

2008年(1495)

我的朋友

分类:

2008-09-09 17:16:13

感受Vista大飞跃

  提到系统的特性,我个人认为这应该是 Vista 最大的亮点了。它相比之前 XP 来说可谓是一个飞跃。现在我们就从几个主要的方面一一阐述这些安全方面 的新特性。

  在 Windows Vista 进入开发的时候就已经与以前的系统有很大的不同了,在这一整个的 开发过程微软始终是把“安全”放在最高的位置上来进行的, Windows Vista 的开发引入了 Security Development Lifecycl (安全开发生命周期)这是一个从系统的设计一直到发布 都始终贯穿其中的机制,它主要包括十一个流程。由于这个东西似乎和我们用户的关系不是 很大因此就不做过多的叙述了。

  服务的强化升级,大家应该还记得当年恶贯满盈的冲击波吧,它就是通过攻击系统 Rpc 服务的漏洞来攻击我们计算机的。在以前的系统中服务在计算机中基本上都是处在绝对高位 的地方来运作的,并且呢也没有针对服务的限制机构来对各种各样的服务进行管理,因此呢 就很容易出现某个核心服务被一些恶意的程序利用进而对我们的计算机造成破坏。

  这个问题 在 Windows Vista 中得到了解决,在 Windows Vista 中任何的系统关键服务都是不能做 任何越权操作的,这样如果有恶意程序想要利用一个系统的关键服务在我们的计算机中干坏 事的话,它是绝对不可能得逞的。那么我们知道除了 Windows 的系统服务以外,一些我们 需要用到的应用软件也是会把自身的一部分安装为一个服务来保证其可靠的运作。

  在以前的 系统中,这些服务都是以 LocalSystem 这个账户运行的,在这样的情况下我们系统是非常 脆弱的,并且没有办法对这些第三方的服务进行有效的管理,严重的威胁到了系统的安全以及稳定性。而在 Windows Vista 中则完全改变了这样的格局,首先引入了每个服务的安全 标识符 (SID) 。

  它启用了每个服务的标识,该标识随后又通过现有 Windows 访问控制模 型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。服务就 可以显示 ACL 应用于该服务专用的资源,从而可防止其他服务和用户访问这些资源。

人性化新功能

  然后现在服务不在回像以前一样使用 LocalSystem 账户来运行,而是由专门的权限较低的 LoaclService、NetworkService 等这些账户来运行,这会降低服务的总体权限级别,就类 似于 “ 用户帐户保护”的机制。 并且去除了服务中不必要的系统权限。

  另外在 Windows Vista 中第三方的程序要插入一个令牌到服务中已经被限制了,也就说没有得到服务 SID 访问的 程序要想将它的令牌写入服务中的话将会以失败告终,这样就可以彻底的保证在我们电脑中 的每一个服务都是干净的,这些服务不会再被一些恶意的程序所利用进而来对我们的系统实 施破坏。

  最后更令人激动人心的一点就是基于每个服务都具有单独且唯一的 SID,这样便可 以利用 Windows 对每一个服务进行规则限制,这样做的好处是显而易见的,比方说 一个存在一定安全风险的服务可能存在被网络上其他的一些我们没有授权的东西利用来侵 入或者做一些我们不希望看到的事情的时候,你完全可以在防火墙中将这个服务的网络访问 规则做一个限制,这一点我会在 Windows Vista TechView 关于防火墙的章节中做出详细 的叙述。

  通过上面的简要介绍我们可以看到, Windows Vista 的服务强化升级可是使我们的系统时 刻处在最安全的状态,但是大家也要明白,只靠服务强化升级是不足以构成保护我们系统的 安全体系的,它也需要和 Windows Vista 中的其他安全模块协同运作,比如上面提到的 Windows 防火墙。

[1]  

【责编:Yoyo】

--------------------next---------------------

阅读(135) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~