La sicurezza di calcolatore del Windows Vista


  Share  
|


Per migliorare la sicurezza di calcolatore e per indurire il sistema operativo contro l'attacco, Windows Vista modifica molte zone della configurazione di sicurezza del calcolatore locale. Alcuni dei cambiamenti più ampi riguardano le regolazioni di sicurezza per le politiche locali, che possono essere dirette con la politica attiva del gruppo dell'indice o con la politica del gruppo locale. Per dirigere la politica attiva del gruppo dell'indice, potete utilizzare il redattore dell'oggetto di politica del gruppo o la sezione comandi di amministrazione di politica del gruppo. Per dirigere la politica del gruppo locale su un calcolatore locale, potete accedere alle regolazioni di sicurezza usando la sezione comandi di amministrazione di configurazione di sicurezza. Le sezioni che seguono discutono i cambiamenti alla politica di verifica, all'assegnazione di diritti di utente ed alle opzioni di sicurezza.

Cambi politici di navigazione di verifica

La politica di verifica è usata per raccogliere le informazioni per quanto riguarda uso di privilegio e delle risorse. Permettendo alle politiche di verifica, potete configurare la sicurezza che annota per seguire gli eventi importanti di sicurezza, come quando un utente entra al calcolatore o quando un utente cambia le regolazioni di cliente.

Potete seguire questi punti per accedere alla politica di verifica nella sezione comandi delle regolazioni di sicurezza locale:

  1. Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.

  2. Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.

  3. Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di politica di verifica.

La tabella sotto i rovides che di p una descrizione della configurazione di politica di verifica di difetto ha utilizzato in Windows Xp ed in Windows Vista. Come la tabella mostra, in Windows Xp, verificante non è permessa a per difetto. In Windows Vista, tuttavia, i riusciti inizio attività sono seguiti per tutti i tipi di clienti.

Paragone della politica di verifica in Windows Xp e Windows Vista
Politica Regolazione di sicurezza di difetto in Windows Xp Regolazione di sicurezza di difetto in Windows Vista
Eventi di inizio attività di cliente di verifica Nessuna verifica Successo
Amministrazione di cliente di verifica Nessuna verifica Nessuna verifica
Accesso di servizio d'informazione di verifica Nessuna verifica Nessuna verifica
Eventi di inizio attività di verifica Nessuna verifica Successo
Accesso dell'oggetto di verifica Nessuna verifica Nessuna verifica
Cambio politico di verifica Nessuna verifica Nessuna verifica
Uso di privilegio di verifica Nessuna verifica Nessuna verifica
Inseguimento di processo di verifica Nessuna verifica Nessuna verifica
Eventi di sistema di verifica Nessuna verifica Nessuna verifica

Cambiamenti di navigazione di assegnazione di diritti di utente

Le politiche di assegnazione di diritti di utente determinano che cosa un utente o un gruppo può fare su un calcolatore. Segua questi punti per accedere alle politiche di assegnazione di diritti di utente nella sezione comandi delle regolazioni di sicurezza locale:

  1. Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.

  2. Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.

  3. Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di assegnazione di diritti di utente.

Come la tabella sotto le esposizioni, i diritti di utente di difetto sono cambiato sostanzialmente fra Windows Xp e Windows Vista. Un motivo chiave per questi cambia riguarda controllo di cliente di utente. Il controllo di cliente di utente assicura un nuovo strato della protezione per i calcolatori accertandosi che ci sia la separazione allineare di clienti del coordinatore e dell'utente. A causa di controllo di cliente di utente, ci sono molti cambiamenti all'assegnazione di diritti di utente in Windows Vista.

Paragone dell'assegnazione di diritti di utente in Windows Xp e Windows Vista
Politica Regolazione di sicurezza di difetto in Windows Xp Regolazione di sicurezza in Windows Vista
Accedi al responsabile credenziale come visitatore di fiducia Non applicabile Nessuna regolazione di difetto
Accedi a questo calcolatore dalla rete Tutto, coordinatori, utenti, utenti di potere, operatori di sostegno Tutto, coordinatori, utenti, operatori di sostegno
Atto come componente del sistema operativo Nessuna regolazione di difetto Nessuna regolazione di difetto
Aggiunga le stazioni di lavoro al dominio Nessuna regolazione di difetto Nessuna regolazione di difetto
Registri le quote di memoria per ottenere un processo SERVIZIO LOCALE, SERVIZIO IN RETE, coordinatori SERVIZIO LOCALE, SERVIZIO IN RETE, coordinatori
Permetta l'inizio attività localmente Non applicabile Ospite, coordinatori, utenti, operatori di sostegno
Permetta l'inizio attività con i servizi terminali Coordinatori, utenti da tavolino a distanza Coordinatori, utenti da tavolino a distanza
Lime di sostegno ed indici Coordinatori, operatori di sostegno Coordinatori, operatori di sostegno
Controllo della traversa di esclusione Tutto, coordinatori, utenti, utenti di potere, operatori di sostegno Tutto, coordinatori, utenti, operatori di sostegno
Cambi il tempo di sistema Coordinatori, utenti di potere SERVIZIO LOCALE, coordinatori
Cambi la fascia oraria Non applicabile SERVIZIO LOCALE, coordinatori, utenti
Generi un Pagefile Coordinatori Coordinatori
Generi un oggetto simbolico Nessuna regolazione di difetto Nessuna regolazione di difetto
Generi gli oggetti globali Coordinatori, INTERATTIVI, SERVIZIO Coordinatori, SERVIZIO
Generi gli oggetti comuni permanenti Nessuna regolazione di difetto Nessuna regolazione di difetto
Generi i collegamenti simbolici Nessuna regolazione di difetto Coordinatori
Metta a punto i programmi Coordinatori Coordinatori
Neghi l'accesso a questo calcolatore dalla rete SUPPORTO, ospite Ospite
Neghi l'inizio attività come job tipo batch Nessuna regolazione di difetto Nessuna regolazione di difetto
Neghi l'inizio attività come servizio Nessuna regolazione di difetto Nessuna regolazione di difetto
Neghi l'inizio attività localmente SUPPORTO, ospite Ospite
Neghi l'inizio attività con i servizi terminali Nessuna regolazione di difetto Nessuna regolazione di difetto
Permetta ai clienti di utente e del calcolatore da fidarsi di per la delegazione Nessuna regolazione di difetto Nessuna regolazione di difetto
Arresto della forza da un sistema a distanza Coordinatori Coordinatori
Generi le verifiche di sicurezza SERVIZIO LOCALE, SERVIZIO IN RETE SERVIZIO LOCALE, SERVIZIO IN RETE
Impersonate un cliente dopo l'autenticazione Coordinatori, SERVIZIO Coordinatori, SERVIZIO
Aumenti un insieme di funzionamento trattato Nessuna regolazione di difetto Utenti
Aumenti la priorità di Scheduling Coordinatori Coordinatori
Carichi e scarichi i driver di dispositivo Coordinatori Coordinatori
Chiuda le pagine a chiave nella memoria Nessuna regolazione di difetto Nessuna regolazione di difetto
Inizio attività come job tipo batch SUPPORTO, coordinatore Coordinatori, operatori di sostegno
Inizio attività come servizio SERVIZIO IN RETE  
Inizio attività localmente Ospite, coordinatori, utenti, utenti di potere, operatori di sostegno Non applicabile
Diriga il ceppo di sicurezza e di verifica Coordinatori Coordinatori
Modifichi un'etichetta dell'oggetto Non applicabile Nessuna regolazione di difetto
Modifichi i valori dell'ambiente dei firmware Coordinatori Coordinatori
Effettui le attività di manutenzione del volume Coordinatori Coordinatori
Singolo processo di profilo Coordinatori, utenti di potere Coordinatori
Prestazione di sistema di profilo Coordinatori Coordinatori
Rimuova il calcolatore dalla stazione di aggancio Coordinatori, utenti, utenti di potere Coordinatori, utenti
Sostituisca un segno livellato trattato SERVIZIO LOCALE, SERVIZIO IN RETE SERVIZIO LOCALE, SERVIZIO IN RETE
Lime ed indici di restauro Coordinatori, operatori di sostegno Coordinatori, operatori di sostegno
Interrompa il sistema Coordinatori, utenti, utenti di potere, operatori di sostegno Coordinatori, utenti, operatori di sostegno
Sincronizzi i dati di servizio d'informazione Nessuna regolazione di difetto Nessuna regolazione di difetto
Prenda la proprietà delle lime o di altri oggetti Coordinatori Coordinatori

Quando confrontate i diritti di utente assegnati in Windows Vista a quelli assegnati in Windows Xp, vederete molti cambiamenti. Windows Vista ha eliminato il gruppo di utenti di potere ed ora effettua questo gruppo soltanto per la compatibilità a rovescio con le applicazioni dell'eredità. Di conseguenza, il gruppo di utenti di potere non è assegnato i diritti di utente in Windows Vista.

Windows Vista comprende parecchi nuovi diritti di utente, includenti:

  • Accedi al responsabile credenziale come un visitatore di fiducia permette un utente o raggruppi per stabilire un collegamento di fiducia al responsabile credenziale. In Windows Vista, il responsabile credenziale è usato per dirigere le credenziali dell'utente. Lle credenziali sono un'associazione di tutte le informazioni state necessarie per il collegamento e che sono autenticate su un assistente particolare o ad un luogo particolare, quali un nome di utente e una parola d'accesso o un certificato. Le credenziali forniscono l'identificazione e la prova dell'identificazione. Gli esempi delle credenziali sono nomi e parole d'accesso di utente, Smart Card e certificati.

  • Permetta l'inizio attività localmente permette che un utente o un gruppo entri alla tastiera. Questa destra di utente originale è stata chiamata inizio attività localmente ed è stata cambiata titolo in Windows Vista in modo che ci fosse ora sia permettesse l'inizio attività localmente che negasse i diritti di utente di inizio attività localmente.

  • Cambi la fascia oraria permette un utente o raggruppano per cambiare la fascia oraria. Poichè gli utenti hanno questa destra per difetto, gli utenti possono cambiare la fascia oraria del calcolatore senza usando i privilegi del coordinatore.

In Windows Vista, utente-o più specificamente, i processi iniziati vicino utente-possono ora aumentare l'insieme di funzionamento per un processo. Questo cambiamento è importante per le applicazioni che funzionano usando le credenziali standard dell'utente. Perché? L'insieme di funzionamento di un processo è la quantità di memoria fisica assegnata a quel processo dal sistema operativo. Windows Vista limita le mansioni che le applicazioni possono effettuare e le zone di sistema a cui possono scrivere. Se i privilegi dell'utente non potessero essere usati per aumentare l'insieme di funzionamento di un processo, un'applicazione che funziona nel modo standard dell'utente potrebbe funzionare dalla memoria.

Cambiamenti di navigazione di opzioni di sicurezza

Le opzioni di sicurezza permettono o rendono invalide alle regolazioni di sicurezza per un calcolatore. Segua questi punti per accedere alle opzioni di sicurezza nella sezione comandi delle regolazioni di sicurezza locale:

  1. Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.

  2. Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.

  3. Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di opzioni di sicurezza.

Come la tabella sotto le esposizioni, le opzioni di sicurezza di difetto sono cambiato sostanzialmente fra Windows Xp e Windows Vista. Come con l'assegnazione di diritti di utente, molti dei cambiamenti sono a causa di controllo di cliente di utente

Paragone delle opzioni di sicurezza in Windows Xp e Windows Vista
Politica Regolazione di sicurezza di difetto in Windows Xp Regolazione di sicurezza in Windows Vista
Clienti: Condizione di cliente del coordinatore Non applicabile Permesso a
Clienti: Condizione di cliente dell'ospite Non applicabile Ha reso invalida
Clienti: Uso locale di cliente di limite delle parole d'accesso in bianco consolare inizio attività soltanto Permesso a Permesso a
Clienti: Cambi titolo il cliente del coordinatore Coordinatore Coordinatore
Clienti: Cambi titolo il cliente dell'ospite Ospite Ospite
Verifica: Verifichi l'accesso degli oggetti di Global System Ha reso invalido Ha reso invalido
Verifica: Verifichi l'uso del privilegio di restauro e di sostegno Ha reso invalido Ha reso invalido
Verifica: Sistema interrotto immediatamente se incapace di annotare le verifiche di sicurezza Ha reso invalida Ha reso invalida
DCOM: Limitazioni di accesso della macchina in sintassi di lingua di definizione di descrittore di sicurezza (SDDL) Non definito Non definito
DCOM: Limitazioni del lancio della macchina in sintassi di lingua di definizione di descrittore di sicurezza (SDDL) Non definito Non definito
Dispositivi: Concedi si sganciano senza dovere entrare Permesso a Permesso a
Dispositivi: Ha conceduto formattare ed espellere i mezzi smontabili Coordinatori Non definito
Dispositivi: Impedisca agli utenti di installare i driver di stampatore Ha reso invalido Ha reso invalido
Dispositivi: Limiti l'accesso del CD-ROM a localmente Annotare-sull'utente soltanto Ha reso invalido Non definito
Dispositivi: Limiti l'accesso floscio a localmente Annotare-sull'utente soltanto Ha reso invalido Non definito
Dispositivi: Comportamento senza firma dell'installazione del driver Avverta ma permetta l'installazione Riesca silenziosamente
Regolatore di dominio: Permetta che gli operatori dell'assistente programmino le mansioni Non definito Non definito
Regolatore di dominio: Requisiti di sign dell'assistente di LDAP Non definito Non definito
Regolatore di dominio: Cambiamenti di parola d'accesso di cliente di macchina dei rifiuti Non definito Non definito
Membro di dominio: Digital cifra o firma assicura i dati della Manica (sempre) Permesso a Permesso a
Membro di dominio: Digital cifra assicura i dati della Manica (una volta possibile) Permesso a Permesso a
Membro di dominio: Il segno di Digital assicura i dati della Manica (una volta possibile) Permesso a Permesso a
Membro di dominio: Cambiamenti di parola d'accesso di cliente di macchina di Disable Ha reso invalida Ha reso invalida
Membro di dominio: Età massima di parola d'accesso di cliente di macchina 30 giorni 30 giorni
Membro di dominio: Richieda la forte (Windows 2000 o più successivamente) chiave di sessione Ha reso invalida Ha reso invalida
Inizio attività interattivo: Non visualizzi l'ultimo nome di utente Ha reso invalido Ha reso invalido
Inizio attività interattivo: Non richieda Ctrl+Alt+Del Non definito Non definito
Inizio attività interattivo: Testo di messaggio per gli utenti che tentano di entrare    
Inizio attività interattivo: Titolo del messaggio per gli utenti che tentano di entrare Non definito Non definito
Inizio attività interattivo: Numero degli inizio attività precedenti al nascondiglio (nel caso il regolatore di dominio non sia disponibile) 10 inizio attività 10 inizio attività
Inizio attività interattivo: Utente rapido per cambiare parola d'accesso prima della scadenza 14 giorni 14 giorni
Inizio attività interattivo: Richieda l'autenticazione del regolatore di dominio di sbloccare la stazione di lavoro Ha reso invalida Ha reso invalida
Inizio attività interattivo: Richieda lo Smart Card Non definito Ha reso invalido
Inizio attività interattivo: Comportamento di rimozione dello Smart Card Nessun'azione Nessun'azione
Cliente della rete di Microsoft: Comunicazioni del segno di Digital (sempre) Ha reso invalido Ha reso invalido
Cliente della rete di Microsoft: Comunicazioni del segno di Digital (se l'assistente accosente) Permesso a Permesso a
Cliente della rete di Microsoft: Trasmetta la parola d'accesso Unencrypted agli assistenti di terzi di SMB Ha reso invalido Ha reso invalido
Servizio rete di Microsoft: Quantità di tempo richiesto al minimo prima della sospensione della sessione 15 minuti 15 minuti
Servizio rete di Microsoft: Comunicazioni del segno di Digital (sempre) Ha reso invalido Ha reso invalido
Servizio rete di Microsoft: Comunicazioni del segno di Digital (se il cliente accosente) Ha reso invalido Ha reso invalido
Servizio rete di Microsoft: Stacchi i clienti quando le ore di inizio attività espirano Permesso a Permesso a
Accesso di rete: Permetta la traduzione anonima di SID/Name Non applicabile Ha reso invalida
Accesso di rete: Non permetta l'enumerazione anonima dei clienti del SAM Permesso a Permesso a
Accesso di rete: Non permetta l'enumerazione anonima dei clienti e delle parti del SAM Ha reso invalido Ha reso invalido
Accesso di rete: Non permetta l'immagazzinaggio delle credenziali o dei passaporti di .NET per l'autenticazione della rete Ha reso invalida Ha reso invalida
Accesso di rete: Lasciato tutto i permessi si applicano agli utenti anonimi Ha reso invalido Ha reso invalido
Accesso di rete: Canali denominati che possono essere raggiunti anonimo COMNAP, COMNODE, SQL \ DOMANDA, SPOOLSS, LLSRPC, browser SQL \ DOMANDA, SPOOLSS, Netlogon, Lsarpc, Samr, browser
Accesso di rete: Percorsi a distanza accessibili di registrazione (Percorsi multipli definiti come accessibili) Non definito
Accesso di rete: Percorsi e Secondario-Percorsi a distanza accessibili di registrazione Non applicabile Non definito
Accesso di rete: Limiti l'accesso anonimo ai canali denominati ed alle parti Non applicabile Permesso a
Accesso di rete: Parti che possono essere raggiunte anonimo COMCFG, DFS$  
Accesso di rete: Modello di sicurezza e di compartecipazione per i clienti locali Ospite soltanto - gli utenti locali autenticano come ospite Classico - gli utenti locali autenticano come essi stessi
Sicurezza della rete: Non memorizzi il valore di Hash del responsabile di lan sul cambiamento seguente di parola d'accesso Ha reso invalido Permesso a
Sicurezza della rete: Fine attività della forza quando le ore di inizio attività espirano Ha reso invalido Ha reso invalido
Sicurezza della rete: Livello di autenticazione del responsabile di lan Trasmetta le risposte di NTLM & di LM Trasmetta la risposta NTLMv2 soltanto
Sicurezza della rete: Requisiti di sign del cliente di LDAP Negozii la sign Negozii la sign
Sicurezza della rete: Sicurezza minima di sessione per i clienti basati SSP di NTLM (RPC sicuro compreso) Nessun minimo Nessun minimo
Sicurezza della rete: Sicurezza minima di sessione per gli assistenti basati SSP di NTLM (RPC sicuro compreso) Nessun minimo Nessun minimo
Sezione comandi di recupero: Permetta l'inizio attività amministrativo automatico Ha reso invalido Ha reso invalido
Sezione comandi di recupero: Permetta la copia floscia ed accedi a a tutti gli azionamenti ed a tutti i dispositivi di piegatura Ha reso invalida Ha reso invalida
Arresto: Permetta che il sistema sia interrotto senza dovere entrare Permesso a Permesso a
Arresto: Memoria virtuale libera Pagefile Ha reso invalido Ha reso invalido
Crittografia del sistema: Forte protezione chiave della forza per le chiavi dell'utente immagazzinate sul calcolatore Non applicabile Non definito
Crittografia del sistema: Usi le procedure compiacenti di FIP per la crittografia, l'indirizzamento casuale e firmare Ha reso invalida Ha reso invalida
Oggetti di sistema: Il proprietario di difetto per gli oggetti ha generato da Members Of che i coordinatori raggruppano Creatore dell'oggetto Creatore dell'oggetto
Oggetti di sistema: Richieda l'insensibilità di caso per i sottosistemi di Non-Windows Permesso a Permesso a
Oggetti di sistema: Rinforzi i permessi di difetto degli oggetti di sistema interni (per esempio, collegamenti simbolici) Permesso a Permesso a
Regolazioni del sistema: Sottosistemi facoltativi Non applicabile Posix
Regolazioni del sistema: Usi le regole del certificato su Windows Executables per le politiche di limitazione del software Non applicabile Ha reso invalida
Controllo di cliente di utente: Comportamento del richiamo di altezza per i coordinatori nel modo di approvazione di Admin Non applicabile Richiamo per consenso
Controllo di cliente di utente: Comportamento del richiamo di altezza per gli utenti standard Non applicabile Richiamo per le credenziali
Controllo di cliente di utente: Rilevi le installazioni ed il richiamo di applicazione per l'altezza Non applicabile Permesso a
Controllo di cliente di utente: Elevi soltanto Executables che è firmato e convalidato Non applicabile Ha reso invalido
Controllo di cliente di utente: Faccia funzionare tutti i coordinatori nel modo di approvazione di Admin Non applicabile Permesso a
Controllo di cliente di utente: Commuti al tavolo sicuro quando richiamano per l'altezza Non applicabile Permesso a
Controllo di cliente di utente: Virtualizzi la lima e la registrazione scrive i guasti alle posizioni dell'Per-Utente Non applicabile Permesso a

Alcuni dei cambiamenti di sicurezza più significativi in Windows Vista riguardano le seguenti regolazioni di difetto per accesso di rete e sicurezza della rete:

  • L'accesso a distanza di registrazione in Windows Xp, percorsi multipli di registrazione è a distanza accessibile per difetto. In Windows Vista, non ci sono zone della registrazione a distanza accessibili per difetto. Questo cambiamento migliora la sicurezza di registrazione. Ulteriormente, Windows Vista comprende una nuova opzione di sicurezza per dirigere l'accesso ai subpaths di registrazione.

  • L'accesso anonimo ai canali denominati ed alle parti Windows Vista aggiunge un'opzione di sicurezza per limitare l'accesso anonimo ai canali denominati ed alle parti. Questo cambiamento ostruisce l'accesso anonimo ai canali denominati ed alle parti.

  • Il modello di sicurezza e di compartecipazione per il local spiega in Windows Xp, il difetto che si riparte ed il modello di sicurezza per i clienti locali è di autenticare gli utenti locali come ospiti. In Windows Vista, gli utenti locali sono autenticati come essi stessi. Questo cambiamento aumenta la sicurezza accertandosi che gli utenti debbano avere permessi adatti accedere a tutte le zone del file system.

  • Memorizzando i valori di hash del responsabile di lan in Windows Xp, quando un utente cambia una parola d'accesso, il valore di hash del responsabile di lan usato per aiutare nell'autenticazione successiva può essere memorizzato sul calcolatore. Windows Vista assicura che questi valori di hash non siano memorizzati sul calcolatore. Ciò migliora la sicurezza richiedendo ad un utente di ottenere un nuovo valore di hash in qualsiasi momento una parola d'accesso è cambiata.

  • L'autenticazione del responsabile di lan in Windows Xp, calcolatori del cliente usa l'autenticazione di NTLM e di LM e mai non usa la sicurezza di sessione di versione 2 di NTLM. In Windows Vista, i calcolatori del cliente usano l'autenticazione di versione 2 di NTLM soltanto e possono anche usare la sicurezza di sessione di versione 2 di NTLM se l'assistente la sostiene. Poiché la versione 2 di NTLM è più sicura del LM e di NTLM, il processo di autenticazione è più sicuro

un articolo ha presentato dal muschio del Peter Y.


L'articolo
Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions