Механізм посилення служб Windows Vista
Технологія посилення служб (service hardening) - один із безлічі найновіших механізмів забезпечення безпеки Windows Vista та нового покоління серверів Windows, відомих як Longhorn Server. Оскільки не завжди виникає бажання або можливість відключати системні служби, що містять уразливості, якими користуються хакери для своїх атак, нові операційні системи були додані функції, що ускладнюють шкідливі дії службових експлойтів. Ось кілька фактів, які корисно знати про механізм посилення служб.
Диспетчер SCM здійснює управління службами
Системними службами Windows та всіма їх параметрами керує диспетчер Service Control Manager (SCM), у базі даних якого зберігається інформація про всі встановлені служби. Зазвичай служби запускаються одночасно із завантаженням Windows і продовжують працювати протягом усього сеансу, що дуже зручно та привабливо для хакерів.
Чим вищі привілеї, тим сильніша вразливість
У попередніх версіях Windows більшість служб працювали від імені облікового запису LocalSystem, що має високий рівень повноважень. Таким чином, при виникненні будь-якої проріхи в роботі будь-якої служби хакери мали можливість завдати істотних збитків, оскільки отримували практично необмежений доступ до ресурсів системи.
Vista та Longhorn Server обмежують привілеї служб
В операційних системах Vista і Longhorn більшість служб, що працювали раніше під LocalSystem, тепер запускаються від облікових записів NetworkService або LocalService, які мають порівняно низькі привілеї. Отже, обмежуються повноваження служб. Усі види привілеїв, не потрібні тій чи іншій службі,автоматично вимикаються, що звужує простір дій зловмисників.
Vista захищає служби, використовуючи техніку «ізоляції»
Одним із прийомів цієї техніки є ізоляція Сесії 0, що сприяє запобіганню роботи користувацьких додатків у цій сесії (першій сесії, що створюється під час запуску Windows). Тепер у ній можуть працювати лише служби та програми, не пов'язані з користувальницькою сесією. Це допомагає захистити служби від інших програм.
Кожній службі Vista надає унікальний ідентифікатор захисту (SID)
Наявність кожної служби унікального захисного ідентифікатора допомагає відокремити служби один від одного та обмежити їх доступ до ресурсів за допомогою моделі системи керування доступом Windows за тим же методом, який використовується для поділу доступу користувачів та груп.
Списки контролю доступу (ACL) Vista можуть працювати і зі службами
Список контролю доступу ACL – це набір записів контролю доступу (ACE). Кожен мережевий ресурс має дескриптор захисту, що містить присвоєні ресурсу списки ACL. Повноваження доступу до того чи іншого ресурсу прописані у списку.
Vista дозволяє застосовувати політику брандмауера для роботи служб
Ця політика нерозривно пов'язана з використанням захисних ідентифікаторів SID і дозволяє визначати вид доступу служби до мережі, а також забороняти невластиві службам процеси, наприклад, відправлення вихідного мережного трафіку. Брандмауер Vista Firewall є частиною механізму посилення служб.
Функції окремих служб можуть бути обмежені таким чином, щоб вони не могли змінювати параметри реєстру, вміст системних файлів тощо.
Щоб служби могли виконувати свої прямі функції належним чиномОтже, ці функції слід обмежити. Тоді служби зможуть змінювати лише певні розділи реєстру чи файлової системи, або взагалі усунуті від внесення будь-яких змін до конфігурації системи та інших дій, якими можуть скористатися хакери.
Для кожної служби створюється свій профіль SH (service hardening)
У цьому профілі міститься інформація про те, що дозволено та що заборонено робити цій службі. На основі цієї інформації диспетчер SCM наділяє службу відповідними привілеями. Ця технологія абсолютно прозора і не потребує додаткових налаштувань та дій з боку адміністратора.
Посилення служб не гарантує захист від атак
Брандмауер Windows Firewall та інші механізми захисту створені для запобігання мережевим атакам. Головною метою технології посилення служб є скорочення наслідків злому будь-якої служби. Це один із внутрішніх механізмів багаторівневої стратегії безпеки системи Vista.