A Windows XP és Windows Server 2003 rendszerekben minden operációs rendszer-komponens a
bejelentkezett felhasználóéval megegyező munkafázisban, a "session 0"-ban futott. Ez biztonsági
problémákat vethet fel, mert a magas jogosultságú "Local System" felhasználói fiókkal futó
Windows szolgáltatások kedvelt célpontjai voltak az ártalmas programoknak, hiszen egy interaktív
művelettel akár ők maguk is emelt jogosultsági szintre juthattak. A Windows Vista-ban a nulladik
munkafázis izolálva lett, így a bejelentkező felhasználó már a következő, 1-es fázisba lép be, ezzel
együtt pedig a session 0 elvesztette interaktivitását, vagyis a szolgáltatások nem jeleníthetnek meg
többé üzeneteket vagy párbeszédablakokat. Ezzel az elszigeteléssel megakadályozható, hogy a
felhasználó szintjéről bármilyen kód átnyúlhasson arra a munkafázisra, ahol a
rendszerszolgáltatások dolgoznak. Ha a Windows feladatkezelőben engedélyezzük a munkafázisok
megjelenítését, láthatjuk, hogy a szolgáltatások és a felhasználói programok egymástól elszigetelt
szinteken futnak.
2018. október 14., vasárnap
2018. október 2., kedd
A Windows Vista biztonsági szolgáltatásai - PatchGuard 4. rész
Bár a felháborodás jogosnak tűnhet, a Microsoft olyan további technológiákat bocsájt a cégek
rendelkezésére, melyekkel a kernel módosítása nélkül is megfelelő kiegészítő védelemmel láthatják
el a rendszert:
Windows Filtering Platform - olyan hálózati műveletek engedélyezése, mint a csomagelemzés,
például harmadik féltől származó tűzfal működésének támogatásához.
File System Mini Filter - programok hozzáférésének biztosítása a fájlrendszer-műveletek
figyeléséhez.
Registry Notification Hooking - a Windows XP-ben bemutatott, de a Vista-ban továbbfejlesztett
eljárás, mely lehetővé teszi a programoknak, hogy valós időben kövessék a rendszerleíró-adatbázis
módosulásait.
A PatchGuard-on kívül a Vista 64 bites változatainál további megszorításként ezentúl csak
digitálisan aláírt és megfelelően kitesztelt eszközmeghajtók telepíthetők a rendszerre, ezáltal is
növelve a Windows stabilitását.
rendelkezésére, melyekkel a kernel módosítása nélkül is megfelelő kiegészítő védelemmel láthatják
el a rendszert:
Windows Filtering Platform - olyan hálózati műveletek engedélyezése, mint a csomagelemzés,
például harmadik féltől származó tűzfal működésének támogatásához.
File System Mini Filter - programok hozzáférésének biztosítása a fájlrendszer-műveletek
figyeléséhez.
Registry Notification Hooking - a Windows XP-ben bemutatott, de a Vista-ban továbbfejlesztett
eljárás, mely lehetővé teszi a programoknak, hogy valós időben kövessék a rendszerleíró-adatbázis
módosulásait.
A PatchGuard-on kívül a Vista 64 bites változatainál további megszorításként ezentúl csak
digitálisan aláírt és megfelelően kitesztelt eszközmeghajtók telepíthetők a rendszerre, ezáltal is
növelve a Windows stabilitását.
Feliratkozás:
Bejegyzések (Atom)