Ошибка: Failed to parse the Currency Converter XML document.
$16 211.17


Ошибка: Failed to parse the Currency Converter XML document.
$1 465.16


Ошибка: Failed to parse the Currency Converter XML document.
$1 957.94


10 фактов, которые нужно знать о механизме усиления служб системы Windows Vista

Технология усиления служб (service hardening) — один из множества новейших механизмов обеспечения безопасности Windows Vista и нового поколения серверов Windows, известных как Longhorn Server. Поскольку не всегда возникает желание или возможность отключать системные службы, содержащие уязвимости, которыми пользуются хакеры для своих атак, в новые операционные системы были добавлены функции, затрудняющие вредоносные действия служебных эксплойтов. Вот несколько фактов, которые полезно знать о механизме усиления служб.

Диспетчер SCM осуществляет управление службами

Системными службами Windows и всеми их параметрами управляет диспетчер Service Control Manager (SCM), в базе данных которого хранится информация обо всех установленных службах. Обычно службы запускаются одновременно с загрузкой Windows и продолжают работать на протяжении всего сеанса, что очень удобно и привлекательно для хакеров.


Чем выше привилегии, тем сильнее уязвимость

В предыдущих версиях ОС Windows большинство служб работали от имени учётной записи LocalSystem, имеющей высокий уровень полномочий. Таким образом, при возникновении любой прорехи в работе какой-либо службы, хакеры имели возможность нанести существенный ущерб, поскольку получали практически неограниченный доступ к ресурсам системы.


Vista и Longhorn Server ограничивают привилегии служб

В операционных системах Vista и Longhorn большинство служб, работавших ранее под LocalSystem, теперь запускаются от учётных записей NetworkService или LocalService, имеющих сравнительно низкие привилегии. Следовательно, ограничиваются и полномочия служб. Все виды привилегий, не нужные той или иной службе, автоматически отключаются, что сужает простор для действий злоумышленников.

Vista защищает службы, используя технику «изоляции»

Одним из приёмов этой техники является изоляция Сессии 0, способствующая предотвращению работы пользовательских приложений в этой сессии (первой сессии, создаваемой при запуске Windows). Теперь в ней могут работать только службы и приложения, не связанные с пользовательской сессией. Это помогает защитить службы от действий других приложений.

Каждой службе Vista присваивает уникальный идентификатор защиты (SID)

Наличие у каждой службы уникального защитного идентификатора помогает отделить службы друг от друга и ограничить их доступ к ресурсам при помощи модели системы управления доступом Windows по тому же методу, который используется для разделения доступа пользователей и групп.

Списки контроля доступа (ACL) Vista могут работать и со службами

Список контроля доступа ACL — это набор записей контроля доступа (ACE). Каждый сетевой ресурс имеет дескриптор защиты, содержащий присвоенные данному ресурсу списки ACL. Полномочия доступа к тому или иному ресурсу прописаны в таком списке.

Vista позволяет применять политику брандмауэра к работе служб

Эта политика неразрывно связанна с использованием защитных идентификаторов SID и позволяет определять вид доступа службы к сети, а также запрещать несвойственные службам процессы, как, например, отправление исходящего сетевого трафика. Брандмауэр Vista Firewall является частью механизма усиления служб.

Функции отдельных служб могут быть ограничены таким образом, чтобы они не могли изменять параметры реестра, содержимое системных файлов и т.д.

Чтобы службы могли выполнять свои прямые функции должным образом, эти функции следует ограничить. Тогда службы смогут изменять только определённые разделы реестра или файловой системы, либо вообще отстраненны от внесения каких-либо изменений в конфигурацию системы и прочих действий, которыми могут воспользоваться хакеры.

Для каждой службы создаётся свой профиль SH (service hardening)

В этом профиле содержится информация о том, что позволено и что запрещено делать данной службе. На основе этой информации диспетчер SCM наделяет службу соответствующими привилегиями. Эта технология абсолютно прозрачна и не требует дополнительных настроек и действий со стороны администратора.

Усиление служб не гарантирует защиту от атак

Брандмауэр Windows Firewall и другие механизмы защиты созданы для предупреждения сетевых атак. Главной целью технологии усиления служб является сокращение последствий взлома какой-либо службы. Это один из внутренних механизмов многоуровневой стратегии безопасности системы Vista.

Автор: Деб Шиндер, MCSE, MVP

 

Интересное

Введение в технологию SSI
Если вы первый раз слышите о SSI — Server Side Includes, то эта статья как раз для вас. Я не претендую на подробное изложение материала — для этого есть специальная литература.Так вот, на...
Подробнее...
Externet VPN: технология...
Современный телекоммуникационный рынок предлагает пользователю множество решений, призванных сделать различные типы связи более доступными, удобными и надежными. Сегодня одной из самых интересных...
Подробнее...
Реализация сети в...
Рассмотрим подробнее что происходит с пакетом при попадании в нашумашину. Сначала он обрабатывается драйвером аппаратуры(сетевой карты и т.д) если пакет предназначен нам то он посылается на выше...
Подробнее...
Увеличение скорости...
Когда вы соединяетесь с web-узлом, компьютер обменивается с ним информацией. Часть этой информации связана с выяснением IP-адреса узла. Фактически, протокол TCP/IP имеет дело не словами. Каждому...
Подробнее...
10 советов по обеспечению...
Используйте Windows Server 2003 Версия Windows Server 2003 с поддержкой службы каталогов «Активная директория» (Active Directory, далее AD) гораздо безопаснее версии Windows 2000. Это не значит,...
Подробнее...
Unix-сервер: Установка и...
Несмотря на то, что для полного описания установки и настройки операционной системы и серверного ПО нужна целая книга, эта статья поможет вам увидеть основные сложности процесса и покажет...
Подробнее...
Cинхронизация времени...
ЗадачаОрганизовать синхронизацию времени контроллеров домена с внешними источниками.Исходные данные.Все серверы W2K3 Схема подключения к внешней сети Internet-Router-ISA-DC.Router управляется...
Подробнее...
Раскрутка это еще и заработок
Странно. Но многие вебмастера разделяют понятия раскрутка и заработок. Т.е. все понимают, что если ресурс будет раскручен, с него можно будет и деньги получить.Но вот, к сожалению, почему-то почти...
Подробнее...
10 полезных приёмов при...
Если вы недостаточно хорошо освоили PowerShell, то наверняка не стремитесь применять этот инструмент в повседневной работе. Однако дананя оболочка является ядром таких систем, как Exchange 2007,...
Подробнее...
Выявление признаков...
Наблюдение за состоянием жёстких дисков.По грубым подсчётам, 60% всех случаев повреждения винчестеров имеют механическую природу (износ подшипников, хрупких дисков и головок чтения/записи)....
Подробнее...