全新Vista系統(tǒng)安全新特性全面闡述

字號(hào):

感受Vista安全大飛躍
    提到系統(tǒng)的安全特性,我個(gè)人認(rèn)為這應(yīng)該是 Windows Vista 的亮點(diǎn)了。它相比之前 Windows XP 來(lái)說(shuō)可謂是一個(gè)飛躍。現(xiàn)在我們就從幾個(gè)主要的方面一一闡述這些安全方面 的新特性。
    在 Windows Vista 進(jìn)入開(kāi)發(fā)的時(shí)候就已經(jīng)與以前的系統(tǒng)有很大的不同了,在這一整個(gè)的 開(kāi)發(fā)過(guò)程微軟始終是把“安全”放在的位置上來(lái)進(jìn)行的, Windows Vista 的開(kāi)發(fā)引入了 Security Development Lifecycl (安全開(kāi)發(fā)生命周期)這是一個(gè)從系統(tǒng)的設(shè)計(jì)一直到發(fā)布 都始終貫穿其中的機(jī)制,它主要包括十一個(gè)流程。由于這個(gè)東西似乎和我們用戶的關(guān)系不是 很大因此就不做過(guò)多的敘述了。
    服務(wù)的強(qiáng)化升級(jí),大家應(yīng)該還記得當(dāng)年惡貫滿盈的沖擊波吧,它就是通過(guò)攻擊系統(tǒng) Rpc 服務(wù)的漏洞來(lái)攻擊我們計(jì)算機(jī)的。在以前的系統(tǒng)中服務(wù)在計(jì)算機(jī)中基本上都是處在絕對(duì)高位 的地方來(lái)運(yùn)作的,并且呢也沒(méi)有針對(duì)服務(wù)的限制機(jī)構(gòu)來(lái)對(duì)各種各樣的服務(wù)進(jìn)行管理,因此呢 就很容易出現(xiàn)某個(gè)核心服務(wù)被一些惡意的程序利用進(jìn)而對(duì)我們的計(jì)算機(jī)造成破壞。
    這個(gè)問(wèn)題 在 Windows Vista 中得到了解決,在 Windows Vista 中任何的系統(tǒng)關(guān)鍵服務(wù)都是不能做 任何越權(quán)操作的,這樣如果有惡意程序想要利用一個(gè)系統(tǒng)的關(guān)鍵服務(wù)在我們的計(jì)算機(jī)中干壞 事的話,它是絕對(duì)不可能得逞的。那么我們知道除了 Windows 的系統(tǒng)服務(wù)以外,一些我們 需要用到的應(yīng)用軟件也是會(huì)把自身的一部分安裝為一個(gè)服務(wù)來(lái)保證其可靠的運(yùn)作。
    在以前的 系統(tǒng)中,這些服務(wù)都是以 LocalSystem 這個(gè)賬戶運(yùn)行的,在這樣的情況下我們系統(tǒng)是非常 脆弱的,并且沒(méi)有辦法對(duì)這些第三方的服務(wù)進(jìn)行有效的管理,嚴(yán)重的威脅到了系統(tǒng)的安全以及穩(wěn)定性。而在 Windows Vista 中則完全改變了這樣的格局,首先引入了每個(gè)服務(wù)的安全 標(biāo)識(shí)符 (SID) 。
    它啟用了每個(gè)服務(wù)的標(biāo)識(shí),該標(biāo)識(shí)隨后又通過(guò)現(xiàn)有 Windows 訪問(wèn)控制模 型(包括使用訪問(wèn)控制列表 (ACL) 的所有對(duì)象和資源管理器)啟用訪問(wèn)控制分區(qū)。服務(wù)就 可以顯示 ACL 應(yīng)用于該服務(wù)專用的資源,從而可防止其他服務(wù)和用戶訪問(wèn)這些資源。
    防火墻人性化新功能
    然后現(xiàn)在服務(wù)不在回像以前一樣使用 LocalSystem 賬戶來(lái)運(yùn)行,而是由專門的權(quán)限較低的 LoaclService、NetworkService 等這些賬戶來(lái)運(yùn)行,這會(huì)降低服務(wù)的總體權(quán)限級(jí)別,就類 似于 “ 用戶帳戶保護(hù)”的機(jī)制。 并且去除了服務(wù)中不必要的系統(tǒng)權(quán)限。
    另外在 Windows Vista 中第三方的程序要插入一個(gè)令牌到服務(wù)中已經(jīng)被限制了,也就說(shuō)沒(méi)有得到服務(wù) SID 訪問(wèn)的 程序要想將它的令牌寫入服務(wù)中的話將會(huì)以失敗告終,這樣就可以徹底的保證在我們電腦中 的每一個(gè)服務(wù)都是干凈的,這些服務(wù)不會(huì)再被一些惡意的程序所利用進(jìn)而來(lái)對(duì)我們的系統(tǒng)實(shí) 施破壞。
    最后更令人激動(dòng)人心的一點(diǎn)就是基于每個(gè)服務(wù)都具有單獨(dú)且的 SID,這樣便可 以利用 Windows 防火墻對(duì)每一個(gè)服務(wù)進(jìn)行規(guī)則限制,這樣做的好處是顯而易見(jiàn)的,比方說(shuō) 一個(gè)存在一定安全風(fēng)險(xiǎn)的服務(wù)可能存在被網(wǎng)絡(luò)上其他的一些我們沒(méi)有授權(quán)的東西利用來(lái)侵 入或者做一些我們不希望看到的事情的時(shí)候,你完全可以在防火墻中將這個(gè)服務(wù)的網(wǎng)絡(luò)訪問(wèn) 規(guī)則做一個(gè)限制,這一點(diǎn)我會(huì)在 Windows Vista TechView 關(guān)于防火墻的章節(jié)中做出詳細(xì) 的敘述。
    通過(guò)上面的簡(jiǎn)要介紹我們可以看到, Windows Vista 的服務(wù)強(qiáng)化升級(jí)可是使我們的系統(tǒng)時(shí) 刻處在最安全的狀態(tài),但是大家也要明白,只靠服務(wù)強(qiáng)化升級(jí)是不足以構(gòu)成保護(hù)我們系統(tǒng)的 安全體系的,它也需要和 Windows Vista 中的其他安全模塊協(xié)同運(yùn)作,比如上面提到的 Windows 防火墻。