Share

|

以前のバージョンのウィンドウズサーバーのアクセスを許可するシステムレベルのサービスをコンピュータ上で実行されます。 これらのサービスの多くは実行localsystemアカウントの下には、どこにも違反：

• サーバーのアクセスを許可するコンピュータ上のデータです。

• 悪質なプログラムできるようにシステムの設定を変更しています。

• コンピュータを開いて他の種類の攻撃します。

ウィンドウズビスタwindowsのサービスを使って追加の硬化層の保護を提供することはできませんので、サービスがあります。 次の防衛安全保障の原則的な深さ、硬化windowsサービス：

• windowsのサービスからの実行を制限する重大な影響を及ぼす異常な活動をして、ファイルシステム、レジストリ、ネットワーク、またはその他のリソースを使用することを許可する可能性がある悪意のあるソフトウェアをインストールしたり、攻撃を他のコンピュータそのものです。 システムを交換するサービスを制限することができ、ファイルまたはレジストリを変更しています。 windowsの不要な特権のように、デバッグを行う能力を、取り外されていても、 1回のベースでのサービスです。

• サービスの数を制限して作戦を実行していると、デフォルトでの攻撃を減らすために全体の表面は、 windowsです。 いくつかのサービスは現在、必要に応じて手動で設定を開始したときよりも、オペレーティングシステムが自動的に起動します。

• 特権レベルを制限しているサーバの数を制限するサービスをして実行される

localsystemアカウントにします。 いくつかのサービスを以前に走っlocalsystem今すぐアカウントを実行するには、アカウントの少ない特権のように、ローカルサービスやネットワークサービスのアカウントにします。 これにより全体の特権レベルのサービスを、これは似たようなメリットから派生しているユーザーアカウント制御（ uac ）します。

windowsサービス硬化全く新しい機能を導入し、これは、 windowsのサービスで使用されています。 ユーザーアカウントのように、それぞれのサービスには、セキュリティ識別子に使われているセキュリティを管理する権限を付与したサービスです。 サービスごとのセキュリティ識別子（ sids ）サービスごとにアイデンティティを有効にします。 サービスごとの個人情報は、電源、アクセス制御を有効に分割を通じて、既存のwindowsのアクセス制御モデルでは、すべてのオブジェクトを覆うとリソースマネージャを使用してアクセス制御リスト（ aclの）します。 サービスのaclを明示的に適用できるようになり資源にしては、民間のサービスで、これを防ぎ、他のサービスと同様、ユーザーからそれらのリソースへのアクセスします。

すべてのサービスの書き込みアクセスを制限トークンになりました。 トークンの書き込みアクセスを制限することができ使用されている場合は、オブジェクトの設定を書いたとされるこのサービスは、有界設定することもできます。 書き込みしようとしなかった資源にして、サービスへのアクセスに失敗した場合に明示的な許可します。 さらに、サービスは、ネットワークのファイアウォールポリシーに割り当てられたネットワークへのアクセスを防ぐため、通常の範囲内でのサービスを外部のプログラムです。 ファイアウォールのポリシーは、 1回のサービスに直接リンクをsidでした。

windowsサービス間硬化を予防することはできませんからサービスの脆弱性が侵害は、これは遠くまで行くに向けてどの程度損傷を制限することができない、攻撃者は、攻撃者ができないイベントを識別して、脆弱性を搾取するサービスです。 ウィンドウズビスタの他のコンポーネントと併用した場合やその他の防衛的な戦略の深さなど、 windowsファイアウォール、およびwindowsディフェンダー、ウィンドウズビスタ実行しているコンピュータよりもはるかに多くの保護を実行しているコンピュータの以前のバージョンのwindowsます。

これは、記事を追加したピーターy.コケ