Механизъм за защита на услугите на Windows Vista
Втвърдяването на услугата е една от многото нови функции за сигурност в Windows Vista и новото поколение Windows сървъри, известни като Longhorn Server. Тъй като не винаги е желателно или възможно да се деактивират системни услуги, които съдържат уязвимости, които хакерите използват за атака, към новите операционни системи са добавени функции, които затрудняват експлойтите на услугите да извършват злонамерени действия. Ето няколко факта, които е полезно да знаете за механизма за втвърдяване на услугата.
SCM управлява услугите
Системните услуги на Windows и всичките им настройки се управляват от Service Control Manager (SCM), чиято база данни съхранява информация за всички инсталирани услуги. Обикновено услугите стартират едновременно с зареждането на Windows и продължават да работят през цялата сесия, което е много удобно и привлекателно за хакерите.
Колкото по-висока е привилегията, толкова по-голяма е уязвимостта
В предишните версии на Windows повечето услуги се изпълняваха под акаунта LocalSystem, който има високо ниво на привилегия. По този начин, в случай на пропуск в работата на която и да е услуга, хакерите имаха възможност да причинят значителни щети, тъй като получиха почти неограничен достъп до системните ресурси.
Vista и Longhorn Server ограничават привилегиите на услугата
В операционните системи Vista и Longhorn повечето услуги, които преди са работили под LocalSystem, сега работят под акаунтите NetworkService или LocalService, които имат относително ниски привилегии. Следователно правомощията на службите също са ограничени. Всички видове привилегии, от които конкретна услуга не се нуждае,се дезактивират автоматично, което стеснява обхвата на нарушителите.
Vista защитава услугите, използвайки техниката на "изолация"
Един от триковете на тази техника е да се изолира сесия 0, за да се предотврати изпълнението на потребителски приложения в тази сесия (първата сесия, създадена при стартиране на Windows). Сега в него могат да работят само услуги и приложения, които не са свързани с потребителската сесия. Това помага за защита на услугите от действията на други приложения.
Vista присвоява уникален идентификатор за сигурност (SID) на всяка услуга
Наличието на всяка услуга с уникален идентификатор за сигурност помага да се разделят услугите една от друга и да се ограничи достъпът им до ресурси с помощта на модела за контрол на достъпа на Windows, по същия начин, по който разделя потребителския и груповия достъп.
Списъците за контрол на достъпа (ACL) на Vista могат да работят с услугите
ACL е набор от записи за контрол на достъпа (ACE). Всеки мрежов ресурс има дескриптор за защита, който съдържа ACL, присвоени на този ресурс. Разрешенията за достъп до определен ресурс са посочени в такъв списък.
Vista ви позволява да прилагате правила за защитна стена към услуги
Тази политика е неразривно свързана с използването на SID за сигурност и ви позволява да определите типа достъп на услугата до мрежата, както и да забраните процеси, които не са естествени за услугите, като изпращане на изходящ мрежов трафик. Защитната стена на Vista е част от механизма за укрепване на услугата.
Функциите на отделните услуги могат да бъдат ограничени, така че да не могат да променят настройките на системния регистър, съдържанието на системните файлове и др.
За да могат службите да изпълняват правилно преките си функцииСледователно тези функции трябва да бъдат ограничени. Тогава услугите ще могат да променят само определени секции от системния регистър или файловата система или като цяло ще им бъде забранено да правят промени в системната конфигурация и други действия, от които хакерите могат да се възползват.
За всяка услуга се създава отделен SH (service hardening) профил
Този профил съдържа информация за това какво е разрешено и какво не е позволено да се извършва тази услуга. Въз основа на тази информация SCM предоставя съответните привилегии на услугата. Тази технология е абсолютно прозрачна и не изисква допълнителни настройки и действия от страна на администратора.
Укрепването на услугата не гарантира защита срещу атаки
Защитната стена на Windows и други механизми за сигурност са предназначени да предотвратяват мрежови атаки. Основната цел на технологията за укрепване на услугата е да се намали въздействието на компрометирана услуга. Това е един от вътрешните механизми зад многослойната стратегия за сигурност на Vista.