防火牆
功能說明
Windows Vista 中內裝的個人防火牆關於 Microsoft Windows XP Service Pack 2 中包含的功能構建。它還包括應用程式相關的出站篩選,該篩選可提供對通信的完全、轉發IP控制。例如,Windows Vista 中的 Windows 防火牆將允許管理員阻止應用程式(例如,對等共享應用程式或即時消息傳送應用程式)聯繫或回應其他電腦。此外,Windows Vista 防火牆設定可由「群組原則」對像進行組態,以簡化可管理性。
優點
許多存在潛在危險的應用程式(例如,可能會通過 Internet 傳輸個人訊息的對等共享客戶端應用程式)專門用於繞過阻止傳入連接的防火牆。Windows Vista 的防火牆使企業管理員能夠為應允許或阻止的應用程式設定「群組原則」設定,從而使其能夠控制可在網路上進行通信的應用程式。
為什麼重要
IT 部門降低安全風險的最重要方法之一就是對可訪問網路的應用程式加以限制。Windows Vista 中內裝的個人防火牆是此原則的重要組成部分。通過使用個人防火牆,管理員可允許應用程式在電腦上本機執行,但會阻止其通過網路進行通信。這就使得管理員可進行精確控制以便降低安全風險,同時又不會對用戶的工作效率造成負面影響。
Windows 服務增強
功能說明
「Windows 服務增強」可禁止關鍵 Windows 服務在文件系統、註冊表、網路或可用於允許 malware 進行自身安裝或攻擊其他電腦的其他資源中進行異常活動。例如,可禁止「遠端程序使用 (RPC)」服務取代系統檔案或修改註冊表。
「Windows 服務」代表了 Windows 中整個受攻擊面的相當大的一部分 - 從系統中整個 "always-on" 程式碼量和該程式碼的權限等級角度來看。Windows Vista 對預設值情況下執行和操作的服務的數量做出了限制。現在,許多系統和第三方服務以 LocalSystem 帳戶執行,這種情況下,任何違規行為都會對本機電腦造成極大的破壞 - 包括磁牒格式化、用戶資料訪問或驅動程式安裝。
「Windows 服務增強」降低了受損服務造成破壞的可能性,因為引入了由 Windows 服務使用的新概念:
•引入了每個服務的安全標幟符 (SID)。它啟用了每個服務的標幟,該標幟隨後又通過現有 Windows 訪問控制模型(包括使用訪問控制列表 (ACL) 的所有對象和檔案總管)啟用訪問控制分區。現在,服務可將顯式 ACL 套用於該服務專用的資源,從而可防止其他服務和用戶訪問該資源。
•將服務從 LocalSystem 移至權限較低的帳戶(如 LocalService 或 NetworkService)。這會降低服務的總體權限等級,這類似於「用戶帳戶保護」所帶來的益處。
•關於每個服務除去不必要的 Windows 權限,例如進行偵錯的能力。
•將限制寫入的令牌套用於服務工作。當由服務寫入的對象集已綁定且可對其進行組態時,可使用此概念。向未明確授予服務 SID 訪問的資源中進行的寫入嘗試將失敗。
•為服務分配網路防火牆原則,這樣可防止服務程序一般綁定以外的網路訪問。防火牆原則直接與每個服務的安全標幟符 (SID) 連接在一起。
優點
「Windows 服務增強」關於深層防禦的安全原則為服務提供了一個附加保護層。「Windows 服務增強」不能防止易受攻擊的服務免遭破壞;而其他 Windows Vista 元件和深層防禦原則(例如,Windows 防火牆)和好的修正檔管理工作則有助於解決此問題。而「Windows 服務增強」則對攻擊者在其能夠識別和利用易受攻擊服務的不可靠事件中所能進行的破壞程度做出了限制。
「Windows 服務增強」還支持第三方服務編寫者的使用,這樣,應用程式編寫者就可以為其程式碼獲得此相同的安全益處。
為什麼重要
安全性受損的成本可能非常大。保密資料可能會遭到破壞、用戶可能會丟失掉資料且可能會降低工作效率。IT 部門可能需要花幾周的時間來修補嚴重安全性問題所造成的破壞。「Windows 服務增強」可防止受損服務更改重要的組態設定或感染網路中的其他電腦,從而可大大減少該受損服務所造成的破壞。使用「Windows 服務增強」後,可潛在地將本來是重大安全漏洞的問題限制為程度較輕的損害。
Internet Explorer 增強功能
功能說明
Windows Vista 將構建於「用戶帳戶保護」初始版本之上,以將 Internet Explorer 限制為只有瀏覽 Web 的足夠權限,但在預設值情況下,沒有修改用戶文件或設定的足夠權限。此僅限 Windows Vista 的功能(被稱為「受保護」模式)將存在於 Beta 2 中。因此,即使某個惡意站點攻擊 Internet Explorer 中的潛在漏洞,該站點的程式碼也沒有足夠的權限安裝軟體、將文件複製到用戶的「啟動」資料夾中或攻擊瀏覽器主頁或搜尋訪問接頭的設定。
為了有助於保護用戶的個人訊息,Internet Explorer:
•訪問「安全套接字層」保護的站點時突出顯示新的安全狀態列並使用戶能夠很容易地檢查站點安全證書的有效性。
•具有一個網頁仿冒篩選器,當 Web 站點試圖竊取用戶保密訊息時該篩選器會通知用戶,以說明 用戶以更為安全的方式進行瀏覽。該篩選器的工作方式是分析 Web 站點內容、尋找網頁仿冒技術的已知字串,並使用資料來源的全球網路來確定是否應信任該 Web 站點。篩選資料每小時更新數次,當給定了網頁仿冒站點可能用其來顯示和採集用戶資料的速度時,這一點尤為重要。
•通過按下一下滑鼠即可清除所有快取資料。
優點
Internet Explorer 中的新功能可說明 用戶在將安全威脅降至最低的同時訪問 Internet 上的資源。降低惡意 Web 站點所帶來的風險有助於減少潛在的安全成本。
為什麼重要
惡意 Web 站點可能會損害您的用戶的電腦,即使他們僅訪問看似安全的站點。Windows Vista 中對 Internet Explorer 的改進可大大降低瀏覽器受損的風險,從而降低了您的安全風險。通過同時使用「用戶帳戶保護」和 Internet Explorer 的新的受保護模式,您將不會再接到類似以前用戶抱怨其主頁被更改或出現了不想要的 Internet Explorer 工作列方面的大量技術求援。
防火牆
功能說明
Windows Vista 中內裝的個人防火牆關於 Microsoft Windows XP Service Pack 2 中包含的功能構建。它還包括應用程式相關的出站篩選,該篩選可提供對通信的完全、轉發IP控制。例如,Windows Vista 中的 Windows 防火牆將允許管理員阻止應用程式(例如,對等共享應用程式或即時消息傳送應用程式)聯繫或回應其他電腦。此外,Windows Vista 防火牆設定可由「群組原則」對像進行組態,以簡化可管理性。
優點
許多存在潛在危險的應用程式(例如,可能會通過 Internet 傳輸個人訊息的對等共享客戶端應用程式)專門用於繞過阻止傳入連接的防火牆。Windows Vista 的防火牆使企業管理員能夠為應允許或阻止的應用程式設定「群組原則」設定,從而使其能夠控制可在網路上進行通信的應用程式。
為什麼重要
IT 部門降低安全風險的最重要方法之一就是對可訪問網路的應用程式加以限制。Windows Vista 中內裝的個人防火牆是此原則的重要組成部分。通過使用個人防火牆,管理員可允許應用程式在電腦上本機執行,但會阻止其通過網路進行通信。這就使得管理員可進行精確控制以便降低安全風險,同時又不會對用戶的工作效率造成負面影響。
Windows 服務增強
功能說明
「Windows 服務增強」可禁止關鍵 Windows 服務在文件系統、註冊表、網路或可用於允許 malware 進行自身安裝或攻擊其他電腦的其他資源中進行異常活動。例如,可禁止「遠端程序使用 (RPC)」服務取代系統檔案或修改註冊表。
「Windows 服務」代表了 Windows 中整個受攻擊面的相當大的一部分 - 從系統中整個 "always-on" 程式碼量和該程式碼的權限等級角度來看。Windows Vista 對預設值情況下執行和操作的服務的數量做出了限制。現在,許多系統和第三方服務以 LocalSystem 帳戶執行,這種情況下,任何違規行為都會對本機電腦造成極大的破壞 - 包括磁牒格式化、用戶資料訪問或驅動程式安裝。
「Windows 服務增強」降低了受損服務造成破壞的可能性,因為引入了由 Windows 服務使用的新概念:
•引入了每個服務的安全標幟符 (SID)。它啟用了每個服務的標幟,該標幟隨後又通過現有 Windows 訪問控制模型(包括使用訪問控制列表 (ACL) 的所有對象和檔案總管)啟用訪問控制分區。現在,服務可將顯式 ACL 套用於該服務專用的資源,從而可防止其他服務和用戶訪問該資源。
•將服務從 LocalSystem 移至權限較低的帳戶(如 LocalService 或 NetworkService)。這會降低服務的總體權限等級,這類似於「用戶帳戶保護」所帶來的益處。
•關於每個服務除去不必要的 Windows 權限,例如進行偵錯的能力。
•將限制寫入的令牌套用於服務工作。當由服務寫入的對象集已綁定且可對其進行組態時,可使用此概念。向未明確授予服務 SID 訪問的資源中進行的寫入嘗試將失敗。
•為服務分配網路防火牆原則,這樣可防止服務程序一般綁定以外的網路訪問。防火牆原則直接與每個服務的安全標幟符 (SID) 連接在一起。
優點
「Windows 服務增強」關於深層防禦的安全原則為服務提供了一個附加保護層。「Windows 服務增強」不能防止易受攻擊的服務免遭破壞;而其他 Windows Vista 元件和深層防禦原則(例如,Windows 防火牆)和好的修正檔管理工作則有助於解決此問題。而「Windows 服務增強」則對攻擊者在其能夠識別和利用易受攻擊服務的不可靠事件中所能進行的破壞程度做出了限制。
「Windows 服務增強」還支持第三方服務編寫者的使用,這樣,應用程式編寫者就可以為其程式碼獲得此相同的安全益處。
為什麼重要
安全性受損的成本可能非常大。保密資料可能會遭到破壞、用戶可能會丟失掉資料且可能會降低工作效率。IT 部門可能需要花幾周的時間來修補嚴重安全性問題所造成的破壞。「Windows 服務增強」可防止受損服務更改重要的組態設定或感染網路中的其他電腦,從而可大大減少該受損服務所造成的破壞。使用「Windows 服務增強」後,可潛在地將本來是重大安全漏洞的問題限制為程度較輕的損害。
Internet Explorer 增強功能
功能說明
Windows Vista 將構建於「用戶帳戶保護」初始版本之上,以將 Internet Explorer 限制為只有瀏覽 Web 的足夠權限,但在預設值情況下,沒有修改用戶文件或設定的足夠權限。此僅限 Windows Vista 的功能(被稱為「受保護」模式)將存在於 Beta 2 中。因此,即使某個惡意站點攻擊 Internet Explorer 中的潛在漏洞,該站點的程式碼也沒有足夠的權限安裝軟體、將文件複製到用戶的「啟動」資料夾中或攻擊瀏覽器主頁或搜尋訪問接頭的設定。
為了有助於保護用戶的個人訊息,Internet Explorer:
•訪問「安全套接字層」保護的站點時突出顯示新的安全狀態列並使用戶能夠很容易地檢查站點安全證書的有效性。
•具有一個網頁仿冒篩選器,當 Web 站點試圖竊取用戶保密訊息時該篩選器會通知用戶,以說明 用戶以更為安全的方式進行瀏覽。該篩選器的工作方式是分析 Web 站點內容、尋找網頁仿冒技術的已知字串,並使用資料來源的全球網路來確定是否應信任該 Web 站點。篩選資料每小時更新數次,當給定了網頁仿冒站點可能用其來顯示和採集用戶資料的速度時,這一點尤為重要。
•通過按下一下滑鼠即可清除所有快取資料。
優點
Internet Explorer 中的新功能可說明 用戶在將安全威脅降至最低的同時訪問 Internet 上的資源。降低惡意 Web 站點所帶來的風險有助於減少潛在的安全成本。
為什麼重要
惡意 Web 站點可能會損害您的用戶的電腦,即使他們僅訪問看似安全的站點。Windows Vista 中對 Internet Explorer 的改進可大大降低瀏覽器受損的風險,從而降低了您的安全風險。通過同時使用「用戶帳戶保護」和 Internet Explorer 的新的受保護模式,您將不會再接到類似以前用戶抱怨其主頁被更改或出現了不想要的 Internet Explorer 工作列方面的大量技術求援。
|