在Vista和Longhorn中,用来在“本地系统”账户下运行的许多服务如今在“网络服务”或“本地服务”账户下运行,这两个账户的权限级别比较低。服务不需要的任何权限都被取消,这有助于缩小攻击面。
一、以尽可能低的权限运行服务 在Vista
和Longhorn中,用来在“本地系统”账户下运行的许多服务如今在“网络服务”或“本地服务”账户下运行,这两个账户的权限级别比较低。服务不需要的任何权限都被取消,这有助于缩小攻击面。
二、高权限意味着高风险
在以前的Windows操作系统中,大多数服务在“本地系统”账户下运行,该账户拥有高级别的权限。这意味着,万一服务受到危及,攻击者就可能造成重大破坏,因为他们几乎可以访问一切。
三、SCM管理服务
Windows服务是由服务控制管理器(SCM)管理的一些程序,SCM包含已安装服务的数据库,负责管理每项服务的状态。
四、访问控制列表可用于服务
ACL是一组访问控制条目(ACE)。网络上的每项资源都有一个安全描述符,包含分配给它的ACL。定义谁可以访问该资源的许可权保存在ACL里面。
五、为每项服务分配安全识别符
为每项服务分配SID让服务可以彼此隔离开来,并使操作系统能够应用Windows访问控制模型,从而限制服务对资源的访问,这与限制用户和用户组账户的访问采用的方式一样。
六、用“隔离”技术保护服务
隔离技术包括Session 0隔离,这可以阻止用户的应用程序在Session 0中运行,这可以保护服务远离其他程序的操作。
七、将网络防火墙策略用于服务
该策略与服务的SID相关联,因而用户可以控制如何允许服务访问网络、防止它以不应该的方式使用网络。
八、可以限制特定服务,那样它们就无法编辑注册表、写入系统文件及进行其他操作
如果某服务需要执行上述操作才能正常使用,那么可以限制它,以便它只能写入到注册表或者文件系统的特定区域。也可以防止服务改动配置设置、执行有可能被攻击者利用的其他操作。
九、每项服务事先被分配了服务加固配置文件
该配置文件定义了服务可以执行哪些操作。基于该配置文件,SCM只为服务分配必要的权限。这一切都以透明方式进行,不需要任何配置或者管理开销。
十、服务加固不能阻止攻击者危及服务安全
Windows防火墙及其他保护层倒是旨在防止这种攻击。服务加固的目的是,万一服务果真受到危及,就尽量减小破坏程度。它通过Vista的多层安全策略来提高内层保护。
微软的网络访问保护(NAP)允许用户监控试图连接到网络的所有计算机(而不仅仅是远程访问客户机)的安全状况,并且确保它们符合安全策略。