koncernens politik udvidelser i vinduerne vista og windows server - 2008, del 4

, i den tidligere del af denne artikelserie, begyndte jeg at forklare, hvad de forskellige brugerkonto kontrol med koncernens politik indstillinger.selv om vinduer vista og server 2008 giver flere hundrede gruppe politikfastlæggelse, end hvad der var til rådighed i vinduerne xp og windows server - 2003, brugerkonto kontrol miljøer er blandt de vigtigste af de nye omgivelser, da de kan handle som en computer er det primære forsvar mod malware.i denne artikel, vil jeg fortsætte diskussionen ved at forklare de resterende brugerkonto kontrol indstillinger.,, brugerkonto kontrol: kun få executables, der er undertegnet og godkendt,, hvis du virkelig tænker over det, den vigtigste grund til under de brugerkonto kontrol i første omgang er at forhindre upålideligt kode fra at køre på net arbejdsstationer.selvfølgelig er dette rejser spørgsmålet om, hvordan man kan beslutte, hvorvidt kode skal stole på. en fælles vej, træffe afgørelse om, hvorvidt kode skal stole på, er at se på kode er digital signatur.mange (men ikke alle) software forlag digitalt underskrive deres kode for at bevise, at kodeksen blev skabt af forlaget, og ikke af nogen, der forsøger at spoofe forlagets identitet.den digitale underskrift, viser også, at kodeksen ikke er blevet ændret, siden den blev underskrevet.,, bare fordi en del af koden er undertegnet, betyder det ikke, at kodeksen er troværdige.det er op til dem at afgøre, hvorvidt du stoler på de forlag, der underskrev den kode.som du træffer beslutninger om, hvilke forlæggere, du stoler på, forlag, kan føjes til de vinduer betroede udgiver butik., der er hvor brugerkonto kontrol: kun få executables, der er undertegnet og godkendt gruppe politik kommer til at spille en rolle.når den er aktiveret, denne gruppe politik udfører pki underskrift kontrol mod en interaktiv anvendelse, at ansøgninger om forhøjelse af privilegier.hvis en anmodning er underskrevet af en betroet forlag (forlaget er opført i stolede på udgiver lagre) og forhøjelse af privilegium anmodning er tilladt.hvis koden er ikke underskrevet eller er underskrevet af et forlag, som du har valgt ikke at stole på, så den forhøjelse af privilegium anmodning er afslået.,, én ting at huske på, at i henhold til microsoft dokumentation, denne gruppe politik gælder kun for interaktive applikationer.det betyder, at ting som tjenesteydelser og manuskripter, der er usynligt, bag kulisserne, berøres ikke af denne politik, hvis dokumentation er korrekt.,, brugerkonto kontrol: kun få uiaccess ansøgninger, som er installeret i sikre steder, denne indstilling, er en smule indviklet for enhver, der ikke fremkalder, men jeg vil forklare det så enkelt, som jeg kan.nu ved du, at når en bruger udfører en opgave, som kræver administrative tilladelser, så vista misligholdelse opførsel er forsynet med en forhøjelse af privilegium omgående til brugeren.hvad du måske ikke ved er, at vista beskytter dialog æske med hurtig cross platform kommunikation.på den måde, en ondskabsfuld anvendelse kan ikke simulere brugerinput og yde den forhøjelse af privilegium at selv.,, selv om denne dialog kasse, og nogle af de andre vinduer dialog kasser (som f.eks. den, som brugeren tryk ctrl + alat + slette at logge på) er beskyttet af den virksomhed, der er nogle situationer hvor en ansøgning er et legitimt behov for at kommunikere med disse ellers beskyttede dialog kasser., med henblik på at få adgang til disse beskyttede dialog kasser, en ansøgning skal være konstrueret til at omfatte en åbenbar dossier, som omfatter følgende egenskaber:,,, uiaccess = sandt, problemet med at anvende denne attribut i en ansøgning, er, at det tillader, at der anvendes til fuldstændig underminere nogle af vista er bygget i sikkerhed.det er, hvor brugerkonto kontrol: kun få uiaccess ansøgninger, som er installeret i sikre steder at spiller ind. tanken er, at du ikke vil have bare en ansøgning om at kunne anvende uiaccess = true nogen.hvis du bare blindt må denne attribut anvendes, så malware forfattere kan bruge attribut i malware som en mekanisme til at udnytte deres system.en bedre tilgang til kun at tillade stolede på ansøgninger til at bruge denne attribut.en måde at sikre, at det, der sker, er, at kun tillade ansøgninger til at anvende uiaccess = sandt attribut, hvis de er beliggende i et sikkert sted, er der kun et par steder at vinduer behandler som sikre.disse omfatter en program - filer og. vinduer. system32.64 bit - versioner af vinduer også behandle det program filer (x86 -) mappe som sikre.underkataloger under nogen af disse steder er også anses for at være sikker, brugerkonto kontrol: løb alle administratorer i den administrative godkendelse tilstand, du har sikkert hørt folk sige, at i vinduerne vista, administratorer, behandles som almindelige brugere.det er den politik, som gør, at gruppen redegørelse rigtigt.denne indstilling, der er aktiveret ved misligholdelse, forårsager administratorer at operere med et begrænset udsnit af privilegier.hver gang en administrator udfører en handling, der kræver anvendelse af administrative privilegier, administratoren er foranlediget til at godkende udnævnelsen af privilegier, før sagen er udført, brugerkonto kontrol: skift til sikker desktopcomputere, når forskellige for forhøjelse,, hvis du nogensinde har fået en forhøjelse af privilegium omgående i vinduerne vista, du sikkert bemærket, at hele skærmen gik i sort, og at den eneste vindue, der ikke var formørkes var den forhøjelse af privilegium, hurtig.når en hurtig viser på denne måde, det siges at være med på et sikkert skrivebord. grunden til, at microsoft bruger sikkert desktop - pc 'er, fordi der er så mange typer af malware at skabe falske vinduer dialog kasser i et forsøg på at narre brugere til at trykke på noget.når operativsystemet sort ud hele desktopcomputere og udviser kun en forhøjelse af privilegium, hurtig, det er hensigten at give brugerne tillid til, at den hurtige virkelig kommer fra windows - styresystem, og ikke af malware, der udgiver sig for at være et operativsystem hurtig., med automatisk forhøjelse af privilegium får altid er anbragt på en sikker desktop - pc 'er.du kan deaktivere den sikre desktopcomputere, af invaliderende, denne gruppe politik.,, brugerkonto kontrol: virtualize fil og register skrive manglende pr. bruger steder, den sidste af de brugerkonto kontrol indstillinger er brugerkonto kontrol: virtualize fil og register skrive manglende pr. bruger steder indstilling.du har sikkert hørt folk sige, at mange ansøgninger, der kørte i vinduer xp og ældre versioner af vinduer, ikke løbe i vista på grund af den nye sikkerhedselementer.mange gange denne erklæring er sandt, fordi et stort antal arv ansøgninger ud fra, at brugeren har fuld kontrol over de lokale operativsystem.i vinduerne vista selv administratorer ikke behandles som administratorer ved misligholdelse, og det forårsager mange ansøgninger til pause.,, for at få nogle af de problemer, der er forbundet med de nye sikkerhedsmæssige forhold, microsoft har skabt denne gruppe politik.den grundlæggende idé er, at arven ansøgninger skriver data nu forbudte områder af filen system og register.når denne gruppe politik er aktiveret (det er aktiveret ved misligholdelse), de skriver standses, og givet til et andet sted.dette gør det muligt for arv ansøgninger at løbe uden at kompromittere operativsystem integritet.,, konklusioner, som du kan se, brugerkonto kontrol miljøer er kritisk for at bevare vista er sikkerhed.i del 5, vil jeg fortsætte serien ved at undersøge nogle af de andre områder, som microsoft har foretaget ændringer i koncernens politik indstillinger.



Previous:
Next Page: