Vista服务功能增强的十点说明

ylsdf

　　服务增强是Windows Vista众多新的安全机制中的一个，同时它也将被集成在下一代Windows服务器系统，即Longhorn Server中。在以往的Windows系统中，由于一些关键性服务存在漏洞，而用户又无法关闭这些系统服务，因而导致黑客利用这些Windows系统服务的漏洞对系统进行攻击。在Windows Vista中，服务增强功能将使得黑客很难利用系统服务的漏洞发起攻击行为。
　　以下是我们应该知道的有关服务增强的知识：
　　1: SCM管理服务
　　Windows的服务是一些由服务控制管理器（Service Control Manager ，SCM）管理的程序，服务控制管理器维护着一个由已安装服务组成的数据库，并且负责管理服务状态。一般来说，大部分服务都是在Windows启动时自动启动，并且会持续运行下去。由于Windows服务具有随时可用的特性，因此总是会吸引黑客寻找其中的漏洞。
　　2: 高特权=高风险
　　在以往的Windows系统中，大部分服务都是在本地系统账户下运行，具有高优先级。这意味着一旦有服务被发现存在漏洞，黑客就可以利用这个漏洞对系统实施相当严重的破坏，因为服务的优先权可以让黑客访问系统的任何部分。
　　3: Vista和Longhorn Server的服务都尽量以最低权限运行
　　在Windows Vista和Longhorn Server中，以往那些运行在LocalSystem账户下的服务都转为运行在NetworkService或LocalService账户下了，这意味着这些服务的特权降低了。在新系统中，服务总是以它可以运行的最低权限来运行。服务所不需要的特权都被清除掉了，这可以极大的降低服务漏洞被黑客利用后给系统带来的威胁。

　　4: Vista采用“隔离”技术保护服务
　　隔离技术包括Session 0隔离，它可以防止用户的程序以Session 0状态（当Windows启动后首先创建的线程）运行。在Windows Vista中，只有系统服务和那些与用户线程无关的应用程序才可以在Session 0状态运行。这一技术可以保护系统服务不会受到用户程序的控制或修改。
　　5: Vista为每个服务标注安全身份（Security Identifier ，SID）
　　为每个服务标注一个SID可以将服务更好的区分开，从而让操作系统在Windows访问控制模式下，可以像限制用户和用户组账户那样限制服务对资源的访问。
　　6: Vista可以将访问控制列表(ACLs)应用于服务
　　访问控制列表是一系列访问控制项目（ACE）。网络上的每个资源在ACL中都有安全解释，用来定义谁或者那些程序和设备可以访问这些资源。
　　7: Vista内置的网络防火墙可以针对服务定制策略
　　在Vista中，策略和服务SID之间存在联系。这可以让用户控制服务是否能通过防火墙访问网络，并可以防止服务以某种不安全的方式访问网络。Vista的防火墙集成在Vista的服务增强功能中。
　　8: 用户可以限制某些服务的功能，防止服务编辑注册表，写入系统文件等
　　用户可以限定服务对注册表或系统文件的编辑和改写，一旦某个系统服务需要进行这类动作，将会写入到注册表的特定区域，或者特定的文件夹中。用户也可以限定系统服务不能修改系统配置，或者修改任何可能给系统安全带来风险的项目。
　　9: 每个系统服务都预先定制了一个服务增强脚本
　　在脚本中定义了该服务可以作什么，不能做什么。基于这个脚本，SCM为该服务分配适合其运行的最低的特权。
　　10: 服务增强功能无法防止由于服务漏洞产生的攻击
　　Windows Vista内置的防火墙和其它安全防护措施是用来防御此类威胁的。而服务增强功能的目的是降低通过服务漏洞导致的攻击的危害程度。它是Windows Vista的多层安全防御机制中的一部分。