Share

|

Versiones anteriores de Windows conceden el acceso amplio a los servicios a nivel sistema que funcionan en la computadora. Muchos del funcionamiento de estos servicios bajo cuenta de LocalSystem, donde podría cualquier abertura:

• Acceso amplio de Grant a los datos sobre la computadora.

• Permita que los programas malévolos modifiquen la configuración de sistema.

• Abra la computadora en otros tipos de ataques.

Windows Vista utiliza el servicio de Windows que endurece para proporcionar una capa adicional de protección para no poder comprometerse servicios. Después del principio de la seguridad de la defensa-en-profundidad, el endurecer del servicio de Windows:

• Restringe los servicios críticos de Windows de realizar las actividades anormales que afectan el sistema de ficheros, el registro, la red, u otros recursos que se podrían utilizar para permitir que el software malévolo se instale o ataque otras computadoras. Los servicios pueden ser restrictos de substituir ficheros del sistema o de modificar el registro. Los privilegios innecesarios de Windows, tales como la capacidad de realizar eliminar errores, también se han quitado sobre una base del por-servicio.

• Limita el número de los servicios que son corrientes y operacionales por defecto reducir la superficie total del ataque en Windows. Algunos servicios ahora se configuran para comenzar manualmente según lo necesitado más bien que automáticamente cuando el sistema operativo comienza.

• Limita el nivel del privilegio de servidores limitando el número de los servicios que funcionan en

Cuenta de LocalSystem. Algunos servicios que ahora funcionaron previamente en la cuenta de LocalSystem funcionan en una cuenta menos privilegiada, tal como la cuenta local del servicio o del servicio de red. Esto reduce el nivel total del privilegio del servicio, que es similar a las ventajas derivadas del control de la cuenta del usuario (UAC).

El endurecer del servicio de Windows introduce enteramente las nuevas características, que son utilizadas por los servicios de Windows asi mismo. Como cuentas del usuario, cada servicio tiene un identificador de la seguridad que se utilice para manejar los permisos de la seguridad concedidos al servicio. los identificadores de la seguridad del Por-servicio (SIDs) permiten identidad del por-servicio. la identidad del Por-servicio, alternadamente, permite el control de acceso que reparte a través del modelo existente del control de acceso de Windows, cubriendo todos los objetos y los encargados de recurso que utilizan las listas del control de acceso (ACLs). Los servicios pueden ahora aplicar ACLs explícito a los recursos que son privados al servicio, y éste previene otros servicios así como el usuario de tener acceso a esos recursos.

Todos los servicios ahora tienen símbolo escribir-restricto del acceso. Un símbolo escribir-restricto del acceso se puede utilizar en los casos donde el sistema de objetos escritos por al servicio se limita y puede ser configurado. Escriba las tentativas a los recursos a los cuales el servicio no fue concedido fall explícito del acceso. Además, los servicios se asignan una política del cortafuego de red para prevenir el acceso de red fuera de los límites normales del programa del servicio. La política del cortafuego se liga directamente al por-servicio SID.

Mientras que el endurecer del servicio de Windows no puede evitar que un servicio vulnerable sea comprometido, va una manera larga hacia la limitación de cuánto daño puede hacer un atacante en el acontecimiento inverosímil que el atacante puede identificar y explotar un servicio vulnerable. Cuando están combinadas con otros componentes de Windows Vista y otras estrategias de la defensa-en-profundidad, tales como cortafuego de Windows y defensor de Windows, las computadoras que funcionan Windows Vista tienen mucho más protección que las computadoras que funcionan versiones anteriores de Windows.