全新Vista系統(tǒng)安全新特性全面闡述

字號:

感受Vista安全大飛躍
    提到系統(tǒng)的安全特性,我個人認為這應(yīng)該是 Windows Vista 的亮點了。它相比之前 Windows XP 來說可謂是一個飛躍?,F(xiàn)在我們就從幾個主要的方面一一闡述這些安全方面 的新特性。
    在 Windows Vista 進入開發(fā)的時候就已經(jīng)與以前的系統(tǒng)有很大的不同了,在這一整個的 開發(fā)過程微軟始終是把“安全”放在的位置上來進行的, Windows Vista 的開發(fā)引入了 Security Development Lifecycl (安全開發(fā)生命周期)這是一個從系統(tǒng)的設(shè)計一直到發(fā)布 都始終貫穿其中的機制,它主要包括十一個流程。由于這個東西似乎和我們用戶的關(guān)系不是 很大因此就不做過多的敘述了。
    服務(wù)的強化升級,大家應(yīng)該還記得當年惡貫滿盈的沖擊波吧,它就是通過攻擊系統(tǒng) Rpc 服務(wù)的漏洞來攻擊我們計算機的。在以前的系統(tǒng)中服務(wù)在計算機中基本上都是處在絕對高位 的地方來運作的,并且呢也沒有針對服務(wù)的限制機構(gòu)來對各種各樣的服務(wù)進行管理,因此呢 就很容易出現(xiàn)某個核心服務(wù)被一些惡意的程序利用進而對我們的計算機造成破壞。
    這個問題 在 Windows Vista 中得到了解決,在 Windows Vista 中任何的系統(tǒng)關(guān)鍵服務(wù)都是不能做 任何越權(quán)操作的,這樣如果有惡意程序想要利用一個系統(tǒng)的關(guān)鍵服務(wù)在我們的計算機中干壞 事的話,它是絕對不可能得逞的。那么我們知道除了 Windows 的系統(tǒng)服務(wù)以外,一些我們 需要用到的應(yīng)用軟件也是會把自身的一部分安裝為一個服務(wù)來保證其可靠的運作。
    在以前的 系統(tǒng)中,這些服務(wù)都是以 LocalSystem 這個賬戶運行的,在這樣的情況下我們系統(tǒng)是非常 脆弱的,并且沒有辦法對這些第三方的服務(wù)進行有效的管理,嚴重的威脅到了系統(tǒng)的安全以及穩(wěn)定性。而在 Windows Vista 中則完全改變了這樣的格局,首先引入了每個服務(wù)的安全 標識符 (SID) 。
    它啟用了每個服務(wù)的標識,該標識隨后又通過現(xiàn)有 Windows 訪問控制模 型(包括使用訪問控制列表 (ACL) 的所有對象和資源管理器)啟用訪問控制分區(qū)。服務(wù)就 可以顯示 ACL 應(yīng)用于該服務(wù)專用的資源,從而可防止其他服務(wù)和用戶訪問這些資源。
    防火墻人性化新功能
    然后現(xiàn)在服務(wù)不在回像以前一樣使用 LocalSystem 賬戶來運行,而是由專門的權(quán)限較低的 LoaclService、NetworkService 等這些賬戶來運行,這會降低服務(wù)的總體權(quán)限級別,就類 似于 “ 用戶帳戶保護”的機制。 并且去除了服務(wù)中不必要的系統(tǒng)權(quán)限。
    另外在 Windows Vista 中第三方的程序要插入一個令牌到服務(wù)中已經(jīng)被限制了,也就說沒有得到服務(wù) SID 訪問的 程序要想將它的令牌寫入服務(wù)中的話將會以失敗告終,這樣就可以徹底的保證在我們電腦中 的每一個服務(wù)都是干凈的,這些服務(wù)不會再被一些惡意的程序所利用進而來對我們的系統(tǒng)實 施破壞。
    最后更令人激動人心的一點就是基于每個服務(wù)都具有單獨且的 SID,這樣便可 以利用 Windows 防火墻對每一個服務(wù)進行規(guī)則限制,這樣做的好處是顯而易見的,比方說 一個存在一定安全風(fēng)險的服務(wù)可能存在被網(wǎng)絡(luò)上其他的一些我們沒有授權(quán)的東西利用來侵 入或者做一些我們不希望看到的事情的時候,你完全可以在防火墻中將這個服務(wù)的網(wǎng)絡(luò)訪問 規(guī)則做一個限制,這一點我會在 Windows Vista TechView 關(guān)于防火墻的章節(jié)中做出詳細 的敘述。
    通過上面的簡要介紹我們可以看到, Windows Vista 的服務(wù)強化升級可是使我們的系統(tǒng)時 刻處在最安全的狀態(tài),但是大家也要明白,只靠服務(wù)強化升級是不足以構(gòu)成保護我們系統(tǒng)的 安全體系的,它也需要和 Windows Vista 中的其他安全模塊協(xié)同運作,比如上面提到的 Windows 防火墻。