10 фактів, які потрібно знати про механізм посилення служб системи Windows Vista, Windows, Операційні системи, статті

Технологія посилення служб (service hardening) – один з безлічі новітніх механізмів забезпечення безпеки Windows Vista і нового покоління серверів Windows, відомих як Longhorn Server. Оскільки не завжди виникає бажання або можливість відключати системні служби, що містять уразливості, якими користуються хакери для своїх атак, в нові операційні системи були додані функції, що утрудняють шкідливі дії службових експлойтів. Ось кілька фактів, які корисно знати про механізм посилення служб.

Диспетчер SCM здійснює управління службами

Системними службами Windows і всіма їх параметрами керує диспетчер Service Control Manager (SCM), в базі даних якого зберігається інформація про всі встановлених службах. Зазвичай служби запускаються одночасно із завантаженням Windows і продовжують працювати протягом усього сеансу, що дуже зручно і привабливо для хакерів.

Чим вище привілею, тим сильніше уразливість

У попередніх версіях ОС Windows більшість служб працювали від імені облікового запису LocalSystem, що має високий рівень повноважень. Таким чином, при виникненні будь діри в роботі будь-якої служби, хакери мали можливість нанести істотну шкоду, оскільки отримували практично необмежений доступ до ресурсів системи.

Vista і Longhorn Server обмежують привілеї служб

В операційних системах Vista і Longhorn більшість служб, які працювали раніше під LocalSystem, тепер запускаються від облікових записів NetworkService або LocalService, які мають порівняно низькі привілеї. Отже, обмежуються і повноваження служб. Всі види привілеїв, не потрібні тій чи іншій службі, автоматично відключаються, що звужує простір для дій зловмисників.

Vista захищає служби, використовуючи техніку «ізоляції»

Одним із прийомів цієї техніки є ізоляція Сесії 0, сприяє запобіганню роботи користувальницьких додатків в цій сесії (першої сесії, створюваної при запуску Windows). Тепер в ній можуть працювати тільки служби і додатки, не пов’язані з користувальницької сесією. Це допомагає захистити служби від дій інших додатків.

Кожній службі Vista присвоює унікальний ідентифікатор захисту (SID)

Наявність у кожної служби унікального захисного ідентифікатора допомагає відокремити служби один від одного і обмежити їх доступ до ресурсів за допомогою моделі системи управління доступом Windows по тому ж методу, який використовується для розділення доступу користувачів і груп.

Списки контролю доступу (ACL) Vista можуть працювати і зі службами

Список контролю доступу ACL – це набір записів контролю доступу (ACE). Кожен мережевий ресурс має дескриптор захисту, що містить присвоєні даного ресурсу списки ACL. Повноваження доступу до того чи іншого ресурсу прописані в такому списку.

Vista дозволяє застосовувати політику брандмауера до роботи служб

Ця політика нерозривно пов’язана з використанням захисних ідентифікаторів SID і дозволяє визначати вид доступу служби до мережі, а також забороняти невластиві службам процеси, як, наприклад, відправлення вихідного мережевого трафіку. Брандмауер Vista Firewall є частиною механізму посилення служб.

Функції окремих служб можуть бути обмежені таким чином, щоб вони не могли змінювати параметри реєстру, вміст системних файлів і т.д.

Щоб служби могли виконувати свої прямі функції належним чином, ці функції слід обмежити. Тоді служби зможуть змінювати тільки певні розділи реєстру або файлової системи, або взагалі відсторонено від внесення будь-яких змін в конфігурацію системи та інших дій, якими можуть скористатися хакери.

Для кожної служби створюється свій профіль SH (service hardening)

У цьому профілі міститься інформація про те, що дозволено і що заборонено робити даної службі. На основі цієї інформації диспетчер SCM наділяє службу відповідними привілеями. Ця технологія абсолютно прозора і не вимагає додаткових налаштувань і дій з боку адміністратора.

Посилення служб не гарантує захист від атак

Брандмауер Windows Firewall і інші механізми захисту створені для попередження мережевих атак. Головною метою технології посилення служб є скорочення наслідків злому небудь служби. Це один із внутрішніх механізмів багаторівневої стратегії безпеки системи Vista.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*