Understanding Windows Vista Service Hardening فهم تصلب خدمة ويندوز فيستا

Microsoft has been touting Windows Vista as the most secure Windows ever. وقد تم البيع مايكروسوفت ويندوز فيستا هو اكثر امنا من اي وقت مضى ويندوز. Backing up that claim, Microsoft has included a number of new security features in the operating system. ان دعم هذه المطالبة ، مايكروسوفت قد شملت عددا من الخصائص الامنية الجديدة في نظام التشغيل. These new features are designed to address some of the common vectors by which previous versions of Windows have fallen to anonymous miscreants and other criminals. هذه الميزات الجديدة المصممه لمعالجة بعض ناقلات الامراض المشتركة التي الاصدارات السابقة من ويندوز قد هبط الى مجهول الاوغاد والمجرمين الآخرين.

One such new feature in Windows Vista is known as Windows Service Hardening. وأحد هذه الميزه الجديدة في ويندوز فيستا ويندوز وكما هو معروف خدمة تصلب. In older versions of Windows, services did not necessarily run with the least possible privileges. في الاصدارات الاقدم من ويندوز ، لا يعني بالضروره الخدمات على المدى بأقل قدر ممكن من الامتيازات. In fact, Windows services often ran under accounts with very high level of access, such as the LocalSystem account. في الواقع ، وكثيرا ما يتعارض مع خدمات ويندوز في اطار الحسابات مع مستوى عال جدا من الوصول ، مثل localsystem الحساب. Further, users are often not aware of the services running on their systems, and do not realise that some services are safe to disable. وعلاوة على ذلك ، مستخدمين في كثير من الاحيان غير مدرك للخدمات التي تظهر على انظمتها ، ولا تدرك أن بعض الخدمات الامنه لتعطيل. Finally, services and user applications ran in the same space, which could result in inappropriate access. واخيرا ، الخدمات والتطبيقات المستخدمة ويتعارض في نفس الفضاء ، مما قد يؤدي الى وصول غير مناسب. As a result of services running with privileges that did not match necessity, and services running that users did not require, Windows desktops were left more vulnerable to attack. ونتيجة لتشغيل خدمات مع الامتيازات التي لا يطابق بالضروره ، وتشغيل الخدمات التي لا تحتاج الى المستخدمين ، واجهزة كمبيوتر ويندوز تركت اكثر عرضة للهجوم عليهم.

What’s Windows Service Hardening? ما هي نوافذ الخدمة تصلب؟

Vista’s Service Hardening is designed to mitigate some of these shortcomings. خدمة تصلب فيستا يهدف الى التخفيف من بعض اوجه القصور هذه. The feature uses four methods to achieve its goals: هذه الميزه تستخدم اربع طرق لتحقيق اهدافها :

• Service isolation الخدمة العزله
• Least privilege اقل امتيازا
• Restricted network access تقييد الوصول الى الشبكه
• Session 0 isolation الدورة العزله 0

We’ll talk about each of these security methods in some detail. سنقوم الحديث عن امن كل واحد من هذه الطرق بشيء من التفصيل.

Service isolation داءره العزله

Before Windows Vista, when a service needed access to an object that required a high level of security, one of two approaches could be taken: قبل ويندوز فيستا ، عند الحصول على الخدمات اللازمة الجسم التي تتطلب درجة عالية من الأمن ، واحد من النهجين يمكن اتخاذها :

• The service could be run using an account that granted a high level of rights to the system. هذه الفئة يمكن ان تدار باستخدام الحساب التي تمنح على مستوى عال من الانسان الى النظام. The LocalSystem account, for example, would provide this level of service. وقد localsystem حساب ، على سبيل المثال ، من شأنه ان يوفر هذا المستوى من الخدمة. This is the approach that was most commonly taken but unnecessarily opened up the system to possible attack. وهذا هو النهج الاكثر شيوعا هو أن تؤخذ ولكن لا داعي له فتح النظام لهجوم محتمل.
• The security configuration for the object to which access was required could be reconfigured to allow access from a special account with fewer privileges. الأمن تشكيل لهدف الوصول الى المطلوب الذي يمكن أن يعاد من اجل اتاحة امكانيه وصول حساب خاص مع عدد اقل من امتيازات. Besides creating an administrative nightmare (imagine having to create a service account for every account and then maintaining passwords for those accounts), this approach would provide an attacker with another vector by which to attack a system. وبالاضافة الى خلق كابوس اداري) وبعد ان تصور لانشاء داءره لحساب كل حساب وبعد ذلك الحفاظ على كلمات السر لهذه الحسابات) ، وهذا النهج من شأنه ان يوفر مع مهاجم آخر لناقلات الامراض التي لهجوم من قبل النظام.

Enter service isolation. أدخل خدمة العزله. Service isolation is a method by which a Vista service can access a required object without having to jump through administrative hoops or use a super-administrator account like LocalSystem . داءره العزله هو الاسلوب الذي أ فيستا يمكن الحصول على الخدمات المطلوبة دون الحاجة الى وجوه اذهب الاداريه من خلال استخدام أطواق أو عظمى مثل localsystem مدير الحساب. Service isolation works by securing a target object — such as a registry key — with an access control entry that contains a security ID. وتعمل داءره العزله عن طريق تأمين هدفا وجوه â € "مثل مفتاح التسجيل â €" مع دخول لمراقبة الدخول الامن التي تحتوي على رقم تعريف. This ID is referred to as a “service identity”, “per-service SID” or, in some documentation, just “SID”, which should not be confused with the phrase “security identifier” (also known as the SID) used by Windows and Active Directory. هذا هو معرف يشار اليه بعباره "الخدمة الهوية" ، و "لكل داءره SID" ، او في بعض الوثائق ، مجرد "SID" ، الذي لا ينبغي الخلط بين عبارة "الامن معرف" (المعروف أيضا باسم SID) التي تستخدمها والنشط دليل ويندوز. This SID is unique to the service and is derived from the service name. هذا SID فريدة من نوعها لخدمة ومستمد من اسم الخدمة.

Once the SID is created and assigned for use by a service, an object’s (for example, a registry key to which a service needs to write information) access control list can be modified to include the new SID, thus allowing the service to access the object without giving away the privilege farm. وبمجرد SID قادر ، والمخصصه للاستخدام من قبل الخدمة ، والجسم (على سبيل المثال ، مفتاح التسجيل الى الخدمة التي تحتاج الى كتابة معلومات) التحكم في الوصول القائمة لا يمكن تعديلها لتشمل SID جديدة ، مما يتيح لهذه الخدمة الوصول الى وجوه من دون اعطاء امتياز المزارع البعيدة.

Restricted SIDs تقتصر الدول الناميه الجزريه الصغيرة

Even when a service is using one of these service-specific SIDs, the service is still able to access other resources because the service’s process token also contains the SID for the service account (ie, LocalService or NetworkService ). وحتى عندما تستخدم خدمة واحدة من هذه الخدمة الخاصة للدول الجزريه الصغيرة الناميه ، فإن هذه الدائرة ، وهو لا يزال قادرا على الوصول الى الموارد الأخرى ، لأن الدائرة رمز ايضا عملية تتضمن SID لحساب الخدمة (اي خدمة شبكة او localservice). If the service is compromised, a potential attacker can cause additional damage by accessing the resources that are not related to the service, but are accessible to the LocalService account. اذا كانت داءره الشبهه ، مهاجم محتمل يمكن ان تتسبب في اضرار اضافية قبل الوصول الى الموارد التي ليست ذات الصلة الى الخدمة ، ولكن يمكن الحصول عليها لحساب localservice.

Windows Vista tries to help you here, too. ويندوز فيستا يحاول مساعدتك وهنا ، أيضا. In an attempt to limit the potential damage caused by a compromised service, Windows Vista combines write-restricted tokens and per-service SIDs to establish restricted SIDs for services. في محاولة للحد من الضرر المحتمل للخطر الناجم عن الخدمة ، ويندوز فيستا - يجمع بين الكتابة والرموز تقتصر الخدمة لكل من الدول الجزريه الصغيرة الناميه لانشاء خدمات للتقيد الدول الناميه الجزريه الصغيرة. If a service enables a restricted SID, then that service’s per-service SID is combined with both the normal and restricted SID list of the write-restricted service access token. واذا تمكن الخدمة SID محدودة ، ثم أن لكل داءره الخدمة SID هو الجمع بين كل من عادى وSID قائمة مقيده من الكتابة - تقييد الحصول على الخدمات رمزية. Now, the service can write only to objects that have been specifically granted write access to one of the SIDs in the restricted list. والآن ، فإن هذه الدائرة يمكن ان يكتب الا على الاشياء التي تم منح الكتابة على وجه التحديد الوصول الى واحدة من الدول الجزريه الصغيرة الناميه فى قائمة محدودة.

Let’s look at an example. دعونا نلق نظرة على سبيل المثال.

Suppose that a particular service runs using the LocalService account and also has a service SID enabled. لنفترض ان تدير خدمة معينة باستخدام localservice الحساب وايضا لديها SID خدمة ممكنة. As a result, the service has access to objects that have been granted per-service access, but the service also has access to all objects that provide access to the LocalService account. ونتيجة لذلك ، فان الوصول الى داءره الاشياء التي منحت لكل الحصول على الخدمات ، ولكن هذه الخدمة ايضا امكانيه الوصول الى جميع الأشياء التي توفر امكانيه الوصول الى localservice الحساب. By enabling restricted SIDs, this can no longer write to any object that grants access to LocalService account. المقيده من خلال تمكين الدول الناميه الجزريه الصغيرة ، وهذا لم يعد في امكان اي جسم الكتابة الى ان فرص الحصول على المنح localservice الحساب. Why? لماذا؟ Those objects do not grant write access to the per-service SID of your service. هذه الاشياء لا تمنح الكتابة الوصول الى الخدمة لكل من SID خدمتكم.

Least privilege اقل امتيازا

The LocalSystem account provides the keys to every aspect of a system. وقد localsystem يوفر حساب مفاتيح كل جانب من جوانب النظام. This is also the account under which many Windows services run. وهذا ايضا هو الذي تحت حساب العديد من خدمات تشغيل ويندوز. Therefore, these services are favourites among hackers since a successful exploit against one of these services can provide wide and deep access to a system. ولذلك فان هذه الخدمات هي المفضلة بين القراصنه منذ ناجحه لمكافحة استغلال واحدة من هذه الخدمات يمكن ان تقدم على نطاق واسع وعميق الوصول الى النظام.

In order to protect a system, a best practice is to run each service using an account with the least privileges necessary to accomplish the service’s goals. من اجل حمايه النظام ، هو من افضل الممارسات لادارة كل خدمة من الخدمات باستخدام حساب مع اقل الامتيازات اللازمة لإنجاز أهداف هذه الخدمة. Although Windows provides other accounts that have significantly fewer rights, some services require privileges provides only by the LocalSystem account. ورغم ان ويندوز يوفر الحسابات الأخرى التي لها اقل بكثير الانسان ، وبعض الخدمات تتطلب توفر امتيازات الا من قبل localsystem الحساب.

Under older versions of Windows, the LocalSystem account provided carte blanche access. في إطار الاصدارات القديمة من ويندوز ، localsystem حساب تقدم تفويضا مطلقا الوصول اليها. Under Windows Vista, services requiring LocalSystem -only rights can still use the LocalSystem account, but can be configured to be granted only those rights that are required for the service to operate, and no more. LocalSystem is not the only account that can use this new feature. ويندوز فيستا ، التي تحتاج الى خدمات localsystem - ألا يمكن ان الانسان لا تزال تستخدم localsystem حساب ، ولكن يمكن تهيئتها بحيث يمنح الا ان هذه الحقوق اللازمة لتشغيل الخدمة ، وليس اكثر. Localsystem ليست الوحيدة التي يمكن ان تستخدم حساب هذا ميزة جديدة. The following accounts or account types can also use this least privilege mechanism: الحسابات التالية أو أنواع الحسابات ويمكن ايضا استخدام هذا الامتياز لا تقل عن آلية :

• LocalService account: The LocalService account has minimum rights on the local computer and uses anonymous credentials on the network. Localservice الحساب : localservice حساب الحد الادنى من الحقوق على جهاز الكمبيوتر المحلي واستخدامات مجهولة المصدر وثائق التفويض على الشبكه. This account has reduced privileges and acts in a similar fashion to an authenticated local user account. وقد خفض هذا الحساب والامتيازات والاعمال فى بطريقة مماثلة لحساب المستخدم المحلي موثقه. Use of this account is useful when the LocalSystem account provides too much access for services that do not need deep access to a system. استخدام هذا الحساب مفيدة اذا localsystem حساب يوفر الكثير من فرص وصول الخدمات التي لا تحتاج لالعميق الوصول الى النظام.
• NetworkService account: The NetworkService account is similar to the LocalService account in that this account provides lesser rights than LocalSystem . خدمة شبكة الحساب : حساب خدمة شبكة مماثلة لحساب localservice في ان يوفر هذا الحساب اقل من localsystem الانسان. Where NetworkService differs from LocalService is in cases during which the service needs to access remote resources. حيث يختلف عن خدمة شبكة localservice هو في حالة خلال الخدمات التي تحتاج للوصول الى الموارد الناءيه. Whereas LocalService provides anonymous credentials for access to remote resources, NetworkService accesses remote resources using the credentials of the computer account. Localservice مجهولة المصدر في حين أن وثائق التفويض ويقدم للحصول على الموارد الناءيه ، وخدمة شبكة الاتصال عن بعد باستخدام الموارد وثائق التفويض للحساب الكمبيوتر.
• Domain accounts: User accounts created in the Active Directory domain. مجال الحسابات : حسابات المستخدمين التي انشئت في الدليل النشط النطاق.
• Local accounts: User accounts created on the local computer. الحسابات المحلية : انشاء حسابات المستخدمين على الكمبيوتر المحلي.

Under Windows Vista, when a service starts, the service requests specific privileges — not all privileges — provided by the LocalSystem account. ويندوز فيستا ، وعندما تبدأ الخدمة ، خدمة طلبات محددة امتيازات â € "لم يكن جميع الامتيازات â €" التي قدمتها localsystem الحساب. Rights that are not specifically requested in some way are removed from the service’s access token. إن الانسان لا يطلب على وجه التحديد على نحو ما هي ازالتها من الخدمة وصول رمزية. If a service has not been designed with this new security feature, the service is assigned all of the rights granted by LocalSystem . الخدمة اذا لم تم تصميم هذه الميزه الامنية الجديدة ، وانتدب للخدمة جميع الحقوق الممنوحه من قبل localsystem. This helps to maintain backward compatibility for older services. وهذا يساعد على الحفاظ على التوافق الوراء الخدمات لكبار السن. For shared-process services, all processes in the group are assigned all of the rights requested by each of the individual processes. - عملية مشتركة للخدمات ، جميع العمليات في مجموعة وتسند الى كل من الإنسان الذي طلبه كل من العمليات الفرديه.

It’s important to note that this principle of least privilege does not limit a hacker’s ability to exploit a flaw in a service. ومن المهم أن نلاحظ أن هذا المبدأ من اقل امتيازا لا يحد من قدرة أي هاكر استغلال وجود خطأ في الخدمة. It does, however, limit the damage that can be wrought by an attacker’s successful breach of your other defences. الا انه ، للحد من الضرر الذي يمكن ان يحدثه بواسطة المهاجم الناجح خرق الدفاعات الاخرى الخاصة بك.

Service network access restrictions القيود المفروضة على الوصول إلى شبكة الخدمات

Over the years, services running in Windows have become more and more dependent on being accessible to the network or accessible by other computers on your network. على مر السنين ، في تشغيل ويندوز الخدمات قد اصبحت اكثر واكثر اعتمادا على توفر امكانيه الحصول على الشبكه او يمكن الوصول اليها عن طريق اجهزة الكمبيوتر الاخرى الموجودة على الشبكه الخاصة بك. Services that face the network in this way are more vulnerable to attack since, in order to work their magic, these services are just waiting for remote connections, making them more susceptible to malicious activity. الخدمات التي تواجه الشبكه وبهذه الطريقة هم أكثر عرضة للهجوم منذ ، من اجل العمل على السحر ، هذه الخدمات ليست سوى انتظار وصلات عن بعد ، مما يجعلها اكثر عرضة للنشاط الخبيثه.

Under Windows Vista, a developer can restrict a service’s access by TCP/UDP port, protocol, or even by the direction that network traffic is flowing. ويندوز فيستا ، المطور يمكن ان تحد من وصول الخدمة عن طريق برنامج التعاون الفني / UDP الميناء ، والبروتوكول ، او حتى من جانب الشبكه ان الاتجاه هو تدفق حركة المرور. When restrictions like these are in place, attempts to access a service using other methods will be blocked, protecting that service from some attack vectors. وعندما مثل هذه القيود التي وضعتموها ، ومحاولات للوصول الى الخدمة باستخدام وسائل اخرى وسوف يتم حجب ذلك ، ان داءره حمايه من هجوم بعض العوامل الناقله للمرض.

Windows Vista services can also be configured to not allow network access in which case the service cannot be remotely exploited, but neither can the service make connections to remote services. ويندوز فيستا خدمات يمكن ايضا ان لا يسمح لتهيئتها الوصول الى الشبكه وفي هذه الحاله لا يمكن ان يكون خدمة للاستغلال عن بعد ، ولكن لا يمكن ان أصنع العلاقات الى داءره الخدمات عن بعد. However, not every service really needs network access. ومع ذلك ، لا يحتاج في كل خدمة الوصول الى الشبكه.

Windows Vista’s service-level network access restrictions hardening feature works in a similar fashion, as the service isolation feature in that the restrictions are implemented through the use of service-level SIDs. ويندوز فيستا للمستوى الخدمات القيود المفروضة على الوصول الى شبكة تعمل في تصلب الميزه بطريقة مماثلة ، كما في داءره العزله سمة ان القيود التي تنفذ من خلال استخدام الخدمة على مستوى الدول الجزريه الصغيرة الناميه.

Session 0 isolation الدورة العزله 0

For this section, the assumption is that you are using Vista as a desktop, and not as a server serving remote users. لهذا الباب ، والافتراض هنا هو ان كنت تستخدم على النحو فيستا سطح المكتب ، وليس بصفته خادم الناءيه التي تخدم المستخدمين.

Under Windows XP, when a user logs into the console, all services and applications run in what is called Session 0. ويندوز اكس بي ، عندما يقوم المستخدم في سجلات console ، جميع خدمات وتطبيقات البعيد في ما يسمى الدورة 0. When Fast User Switching is enabled in Windows XP, the first user’s applications are assigned to Session 0, along with all of the system’s running services. عندما تتحول بسرعة تمكين المستخدم في ويندوز اكس بي ، وهو اول المستخدم التطبيقات المخصصه للدورة 0 ، جنبا الى جنب مع كل من نظام تشغيل الخدمات. As additional users log into the system via Fast User Switching, each additional user’s applications are run inside a new session. كما إضافية للمستخدمين تسجيل الدخول الى النظام عبر التحويل السريع للمستخدم ، كل مستخدم اضافية للتشغيل التطبيقات داخل دورة جديدة. So the second user’s applications run in Session 1, and the third user’s applications run in Session 2. حتى الثاني المستخدم في تشغيل التطبيقات (1) ، والثالثة المستخدم في تشغيل تطبيقات (2). However, regardless of how many people log in to the system, all services, as well as the original user’s applications, continue to run in Session 0. ولكن ، بغض النظر عن عدد الاشخاص الذين تسجيل الدخول الى النظام ، وجميع الخدمات ، فضلا عن تطبيقات المستخدم الاصلي ، الاستمرار في تشغيل 0 في الدورة.

Mixing services, many of which run with considerable privileges, with user applications can create significant security issues. خلط الخدمات ، وكثير مما يتعارض مع امتيازات كبيرة ، ويمكن للمستخدم انشاء تطبيقات هامة في المسائل الامنية. If an application is poorly written, falls victim to an exploit, or if that application is running in the same session as services, those services are more vulnerable to compromise than they would be if the applications were running in a separate box. اذا طلب هو سيئ خطية ، تقع ضحيه لاستغلال ، أو اذا كان هذا هو التطبيق الحالي في الدورة نفسها على النحو الخدمات ، هذه الخدمات هم أكثر عرضه من غيرهم لتقديم تنازلات اكثر مما لو كانت الطلبات على التوالي في خانة مستقلة.

In order to combat this potential threat, Windows Vista does not allow any user applications to be run in Session 0. من اجل مكافحة هذا التهديد المحتمل ، ويندوز فيستا لا تسمح بأي التطبيقات المستخدمة لتشغيلها في الدورة 0. All other applications must run in Session 1 or higher. جميع التطبيقات الاخرى يجب ان تبدأ الدورة في 1 او أعلى. Only services and other non-user-facing applications run in Session 0, thus maintaining isolation between services and user applications. فقط الخدمات وغيرها من المنظمات غير التي يواجهها المستخدم في تشغيل التطبيقات في الدورة 0 ، ومن ثم المحافظة على العزله بين الخدمات والتطبيقات المستخدمة.

New and improved service security جديدة ومحسنه خدمة الامن

Through these changes to the Windows Vista service model, Windows Vista aims to better protect your system in the event of a breach. من خلال هذه التغييرات الى نموذج للخدمات ويندوز فيستا ، ويندوز فيستا يهدف الى تحسين حمايه النظام الخاص بك في حالة خرق. With the exception of Session 0 Isolation, Vista’s Service Hardening features are not necessarily designed to block attacks on services hosted in Vista. وفيما عدا الدورة 0 العزله ، فيستا خدمة تصلب ميزات ليست بالضروره تهدف الى منع الهجمات على الخدمات استضافت في فيستا. Instead, Vista’s Service Hardening features are designed to limit the potential damage that can be done when a service is breached. وبدلا من ذلك ، فيستا خدمة تصلب ميزات تهدف الى الحد من الأضرار المحتملة التي يمكن القيام به عندما الخدمة الذي اخل به.

Service Hardening, when combined with other Vista services, such as its new firewall, can provide a formidable defence. تصلب الخدمة ، وعندما يقترن فيستا غيرها من الخدمات ، مثل الجدار الناري الجديد ، يمكن ان توفر هاءله الدفاع. Between these and other services, Vista provides multiple layers of defence, designed to keep your system safe and secure. بين هذه وغيرها من الخدمات ، ويقدم فيستا طبقات متعددة من الدفاع ، وتستهدف المحافظة على النظام الخاص بك آمنة ومامونه.

[ via [عبر — -- ] [

Written by Madhukara H. Read more great feeds at is source كتب madhukara حاء أقرأ المزيد كبيرة في الفيد هو المصدر WEBSITE موقع ويب
no comments لا يوجد تعليقات . .
Read more articles on أقرأ المزيد المواد المتعلقة Damage الضرر . .

• [+] Digg [+] البحث بعمق : Feature this article : سمات هذه المادة
• [+] Del.icio.us [+] Del.icio.us : Bookmark this article : علامة هذه المادة
• [+] Furl [+] Furl : Bookmark this article : علامة هذه المادة