• Artículo

Seguridad

Introducción a la seguridad en Windows 7

Chris Corio

Partes de este artículo se basan en código preliminar. Toda la información de este documento está sujeta a cambios.

En resumen:

  • Windows Framework biométrico
  • Ampliación de los perfiles de autenticación
  • BitLocker para ir
  • Mejoras de UAC

Contenido

Windows Framework biométrico
Ampliación de protocolos de autenticación
Mejoras de principales de BitLocker
BitLocker para ir
Mejoras de UAC
AppLocker
Las SACL globales y auditoría granular
Ajustar hacia arriba

Windows Vista presentó una variedad de nuevas tecnologías de seguridad que tenía un efecto significativo en el ecosistema de Windows. El control de cuentas de usuario realizó claro que Microsoft desea facilitar que los usuarios ejecuten Windows sin tener en el grupo de administradores. BitLocker presentó cifrado de volumen completo para el cliente de Windows. Internet Explorer de modo protegido ayudado a hacer la exploración de Internet una experiencia más segura.

En Windows 7, Microsoft ha continuado su inversión en la seguridad por agregar nuevas tecnologías, así como mejorar muchas de las tecnologías incluidas en Windows Vista. En este artículo, se proporcionar una introducción a las características de seguridad nuevas y mejoras que encontrará en 7 de Windows.

Windows Framework biométrico

Windows Vista incluye volver a diseñar la estructura de la experiencia de inicio de sesión en Windows. Esta experiencia quita de la infraestructura de GINA (autenticación e identificación gráfica) y agrega el modelo de extensión de proveedor de credenciales. La infraestructura de proveedor de credenciales fue un conjunto de interfaces que permite la coherencia cuando terceros extender la experiencia del usuario alrededor de los usuarios escribir credenciales y integra en el cuadro de diálogo común de credencial de Windows.

Para Windows 7, Microsoft ha agregado el nuevo Windows biométrica Framework (WBF). Con la huella digital lectores convertirse mucho más comunes, que se hizo desactive que define un marco común para exponer, administrar y utilizar estas tecnologías era necesario unidad de desarrollo y la confiabilidad. El WBF está pensado para facilitar la compatibilidad con dispositivos de autenticación biométrica. En Windows 7 WBF admite sólo los lectores de huella digital, pero puede ampliarse en el futuro.

La plataforma principal WBF consta de estos componentes principales:

  • Interfaz del controlador biométrico (WBDI) de Windows
  • Servicio biométrico (EDT) de Windows
  • API DE WBF
  • Experiencia del usuario WBF y puntos de integración
  • Administración de WBF

La interfaz de controlador de biométrico (WBDI) de Windows está diseñada para proporcionar una interfaz común de controlador para los dispositivos biométricos. Se compone de una gran variedad de interfaces que exponer el estructuras de datos adecuado y IOCTL (controles de entrada/salida) para los dispositivos biométricos para integrar en el marco de trabajo biométrica. Los controladores se pueden implementar en cualquiera de los marcos de controlador común, como modelo de controlador de Windows, controlador de modo kernel Framework y Framework de controlador de modo de usuario (UMDF). UMDF, sin embargo, es el marco de controlador recomendado para los dispositivos biométricos porque proporciona la ventaja adicional de mayor confiabilidad de Windows en caso de que se produce un error en el controlador de dispositivo biométrico.

El servicio biométrica de Windows (EDT) es el componente clave que vincula juntos WBF. EDT interactúa con los controladores de dispositivo biométrico y también expone la biométrica Framework API de Windows, lo que permite que aplicaciones interactuar con estos dispositivos.

Una característica importante de WBS es que nunca revela datos de identificación biométrica real de un usuario a las aplicaciones sin privilegios. Esto es importante porque, a diferencia de una contraseña, es muy difícil para alguien cambiar su firma biométrica una vez que se ha comprometida. En su lugar, la WBS expone un identificador (normalmente, un GUID o un SID) que permite que las aplicaciones trabajar con los datos biométricos indirectamente.

EDT también administra grupos de dispositivos de autenticación biométrica. Esta permite controlar cómo los dispositivos biométricos se utilizan. Algunos dispositivos pueden utilizarse con cualquier cuadro de diálogo credenciales, como el mensaje de inicio de sesión o un mensaje UAC. Por ejemplo, puede configurar el control parental en el sistema principal y, cuando se se requiera la elevación en el sistema, simplemente puede swipe el dedo para proporcionar la elevación. Este grupo de los dispositivos biométricos se denomina el grupo del sistema. Hay otros dos grupos de dispositivos. Es la agrupación privada, que permite a las aplicaciones para ofrecer autenticación que no está integrada con la infraestructura de autenticación de Windows. Y no existe la agrupación no asignada, que es para dispositivos que, como habrá adivinado, caben ninguno de los grupos de dos anteriores.

Cada dispositivo que forme parte de un grupo de dispositivo realmente se abstrae inmediatamente por la WBS mediante una clase de datos llamada una unidad biométrica. La unidad biométrica se conecta a la WBS biométrica servicio de proveedor (BSP), que implementa las directivas y los comportamientos específicos de un conjunto de los dispositivos biométricos. La unidad biométrica permite la BSP proporcionar las instalaciones que no es posible que admita en un dispositivo concreto, como almacenamiento de datos de huella digital o procesar datos de huellas digitales después de ella se ha adquirido por un dispositivo.

El componente principal tercero de la WBF es el conjunto de API, también conocido como las API de WinBio *, que puede utilizarse por aplicaciones y componentes de modo de usuario para interactuar directamente con los dispositivos. Esto incluye la interacción con un dispositivo durante el proceso de inscripción original para obtener la huella digital de un usuario y correlación de con una cuenta de usuario concreta, así como la tarea de comprobación de un usuario para inicio de sesión o UAC. Estas API también exponen datos sobre el dispositivo biométrico específico y sus características. Además, las API WBF puede ampliarse para permitir que una aplicación interactuar con aspectos propietarios de un dispositivo determinado.

El WBF expone dos métodos para configurar el uso de los dispositivos biométricos. Para los usuarios finales, hay un subprograma del Panel de control, que se expone en unas pocas ubicaciones. Puede encontrar el panel de control dispositivos biométricos en hardware y sonido. Desde esta ubicación, el usuario puede iniciar una aplicación de administración de otro fabricante huella digital. 7 De Windows no proporciona una aplicación de administración de huellas dactilares integrada, de modo que cualquier proveedor de terceros o OEM tendrá que escribir su propio. (Tenga en cuenta que el marco biométrica Windows admite local y el inicio de sesión de dominio, así como huella digital, en función de UAC a través del proveedor de credenciales biometría integrado.)

El marco biométrica de Windows también pueden administrarse a través de la directiva de grupo. Un administrador puede habilitar o deshabilitar el marco de trabajo completo, así como administrar lo que pueden utilizar tipos de inicios de sesión biometría (para los inicios de sesión en el ejemplo se, local y de dominio pueden configurarse de forma diferente).

Ampliación de protocolos de autenticación

Windows 7 mejora la experiencia de red domésticas y pequeñas con una característica denominada Homegroup. Los usuarios pueden compartir datos, como archivos multimedia, entre equipos en un hogar y utilizar un IDENTIFICADOR en línea para autenticar entre estos equipos. Los usuarios deben vincular explícitamente su cuenta de usuario de Windows a un ID en línea para que esta funcionalidad para trabajar. Autenticación se habilita un nuevo protocolo llamado basado en claves públicas usuario a usuario o PKU2U.

Windows 7 también presenta una extensión al paquete de autenticación Negotiate, Spnego.dll. SpNego es la característica que decide qué protocolo de autenticación debe utilizarse al autenticar. Antes de Windows 7, es normalmente una opción entre Kerberos y NTLM (desafío/respuesta de Windows). La extensión NegoEx se trata como un protocolo de autenticación en Windows y es compatible con dos proveedores de soporte técnico de seguridad de Microsoft: PKU2U y directo. También es extensible para permitir el desarrollo de otros proveedores de soporte técnico de seguridad.

Ambos de estas características funcionan al conectar con otro equipo en el Homegroup con un Id. en línea Cuando un equipo se conecta a otro, la extensión de negociar llama al PKU2U seguridad compatibilidad con proveedor en el equipo de inicio de sesión. El proveedor de soporte técnico de seguridad de PKU2U obtiene un certificado del motor de directiva de entidad emisora de certificado de y intercambia la directiva (junto con otros metadatos) entre los equipos del mismo nivel. Cuando se valida en el equipo del mismo nivel, se envía el certificado para el interlocutor de inicio de sesión para la validación, el certificado del usuario está asignado a un token de seguridad y termine el proceso de inicio de sesión.

Mejoras de principales de BitLocker

Con Windows Vista, Microsoft introdujo BitLocker. Ésta es una solución de cifrado de volumen completo diseñada para proteger los datos en equipos portátiles y equipos de escritorio, como servidores de office de sucursal, incluso si el equipo se pierde o cae en las manos equivocadas. En Windows 7, se han realizado numerosas mejoras para la administración de BitLocker. Estos incluyen cumplimiento coherente a través de todos los interfaces (la interfaz de usuario, la herramienta de línea de comandos bde, administrar y el proveedor de WMI) y separan la configuración de directiva de grupo para unidades de datos fijos. También hay nuevas opciones de directiva de grupo que permiten actualizar sus contraseñas e integrar con tarjetas inteligentes en las unidades del sistema OPERATIVO no, y también puede cambiar el comportamiento relacionado con el desbloqueo automático.

En Windows Vista, ha habido quejas sobre ella se difícil de partición de la unidad de sistema OPERATIVO para preparar una instalación de BitLocker, especialmente cuando el sistema operativo está ya instalado. Este problema se ha solucionado con dos mejoras en Windows 7. En primer lugar, de forma predeterminada durante la instalación de Windows 7, los usuarios recibirán una partición independiente del sistema activo, que se requiere para BitLocker trabajar en las unidades del sistema OPERATIVO. Esto elimina un segundo paso que se requería en muchos entornos. Además, se puede dividir una unidad para BitLocker como parte de la configuración de BitLocker si ya no tienen una partición de sistema independiente. (consulte la figura 1 ).

fig01.gif

Figura 1 la preparación de una unidad de BitLocker

BitLocker para ir

Una de las adiciones más visibles y más importantes es BitLocker A ir, diseñado para proteger los datos en unidades extraíbles datos. Permite configurar el cifrado de unidad BitLocker en las unidades flash USB y unidades de disco duros externas. Se llama objetivos de diseño para BitLocker ir para que la característica esté fácil de usar, para que funcione en las unidades existentes, para permitir la recuperación de datos si es necesario y para permitir los datos se puedan utilizar en sistemas Windows Vista y Windows XP.

Hay muchas mejoras de administración para los administradores de TI aprovechar las ventajas de con esta característica. Más notable es una nueva configuración de directiva de grupo que le permite configurar las unidades extraíbles como de sólo lectura a menos que se cifran con BitLocker ir. Éste es un excelente paso hacia delante de garantizar que está protegidos datos corporativos importantes cuando una unidad flash USB es extraviar por un empleado.

También notable es la capacidad de recuperar datos desde cualquier dispositivo BitLocker ir cuando los datos son inaccesibles. Esta tecnología, denominada un agente de recuperación de datos, se ha adaptado de la característica del sistema de archivos cifrados (EFS) y permite fácil de recuperación de datos corporativos en una unidad portátil con la clave creada por la empresa.

Obtener la funcionalidad de BitLocker ir a trabajar en Windows XP y Windows Vista requiere algunos reestructuración de la característica BitLocker principal. Para ello, el equipo va a refactorizar el método que BitLocker protege volúmenes FAT. Comportamiento de BitLocker se modificó para superponer un volumen de descubrimiento en el volumen original, físico y virtualizar los bloques de sobrescribir. El volumen de descubrimiento contiene el BitLocker para empaquetar publicaciones lector, así como un archivo Léame. Esto se denomina una unidad de BitLocker híbrido. De forma predeterminada, cuando se cifra una unidad FAT, se crea un híbrido de unidad BitLocker. La unidad de detección es visible sólo en los sistemas operativos Windows XP y Windows Vista.

El lector también estará disponible en el Centro de descarga de Microsoft una vez se lanzado Windows 7. La aplicación proporciona acceso de sólo lectura a las unidades BitLocker que usan el protector de clave de contraseña. Tenga en cuenta que autenticación mediante tarjeta inteligente no está disponible cuando se utiliza el BitLocker para empaquetar publicaciones lector.

Mejoras de UAC

Control de cuentas de usuario (UAC) es una tecnología a menudo rival. En primer lugar, es realmente una colección de características en vez de sólo un mensaje. Estas características incluyen archivos y redirección del registro, detección del instalador, el mensaje UAC, el servicio de instalador de ActiveX y más. Todas estas características están diseñadas para permitir que los usuarios Windows ejecutar con las cuentas de usuario que no son miembros del grupo Administradores. Estas cuentas generalmente se conocen como usuarios estándar y se describen ampliamente como ejecutar con privilegios mínimos. La clave es que cuando los usuarios ejecuten con cuentas de usuario estándar, la experiencia es normalmente mucho más seguro y confiable.

Muchos desarrolladores han iniciado como destino de sus aplicaciones para que funcionen bien para usuarios estándar. Las empresas ahora tienen una ruta más clara hacia la implementación de las cuentas de usuario estándar, permitir que estas empresas a reducir los costos de soporte técnico y el total TCO (costo total de propiedad) de sus equipos. En el hogar, familias pueden utilizar las cuentas de usuario estándar para los niños junto con el control parental para crear un entorno más seguro.

Windows 7 incluye numerosas mejoras para mejorar la experiencia de usuario estándar y nueva configuración proporcionar más control sobre el mensaje de control de cuentas de usuario cuando se ejecuta en modo de aprobación de administrador. El objetivo es mejorar la facilidad de uso mientras continúa que desactívela para proveedores de software independientes que el contexto de seguridad de predeterminado debe ser destino es de un usuario estándar. En la práctica, estos cambios significa que no se solicite a los usuarios de las tareas administrativas comunes de Windows 7. Ésta es la configuración que dice "notificación me sólo cuando programas intentan realizar cambios en mi equipo."

El modo de que funcionamiento de este es bastante sencillo. Durante la creación del proceso, la directiva se comprueba para ver si se habilita esta opción. Si el proceso que se va a crear es parte de Windows, que se comprueba comprobando los archivos de catálogo de Windows para su firma, el proceso se crea sin un aviso. Esta configuración no pregunta cuando cambie la configuración de Windows, pero en su lugar permite centrarse en cambios administrativos que se va a solicitadas por aplicaciones que no sean de Windows (como instalar software nuevo). Para las personas que desea mayor control cambiar configuración de Windows con frecuencia, sin las notificaciones adicionales, esta configuración tiene como resultado menos mensajes globales y permite a los usuarios a cero en la clave restante las notificaciones que verán.

El otro cambio importante es que varios componentes ya no requieren privilegios de administrador. Por ejemplo, los usuarios pueden configurar si sus escritorios se deben mostrar en PPP alta modo, una característica utilizada como pantallas de equipos Obtenga mayores y obtener menor tamaño de píxel. Otro ejemplo es que los usuarios estándar ahora puede restablecer su conexión de red cuando físicamente iniciado sesión en el equipo, una solicitud común Microsoft ha oído de los usuarios domésticos y a las empresas.

fig02.gif

La figura 2, control de cuentas de usuario al instalar un control ActiveX

También reduce mensajes significa simplificación de las áreas donde se han encontrado varios mensajes para una acción de usuario único. En Windows 7, por ejemplo, instalar controles ActiveX en Internet Explorer es mucho más suave. En Windows Vista, Internet Explorer 7 se cree el proceso de IEInstal.exe para realizar la instalación de un control ActiveX. Esto dio como resultado un mensaje UAC que le pregunte si desea "instalar un Internet Explorer agregar en" ejecutar con privilegios de administrador. Este mensaje no proporciona mucho contexto sobre exactamente lo que se instaló y Internet Explorer se inmediatamente le pedirá que apruebe un control determinado. En Windows 7 con Internet Explorer 8, se ha modificado el proceso de instalación utilizar el servicio de instalador de ActiveX, que se extraer información de publisher el control ActiveX y mostrarlo durante el proceso de instalación (consulte la figura 2 ). El nuevo enfoque también quita la segunda pregunta durante la instalación de un control ActiveX.

AppLocker

La capacidad de controlar las aplicaciones que un usuario o conjunto de usuarios, puede ejecución ofrece importantes aumenta en la confiabilidad y seguridad de los escritorios de empresa. En general, una directiva de bloqueo de aplicación puede reducir el TCO de equipos de una empresa. Windows 7 agrega AppLocker, una característica nueva que controla la ejecución de aplicaciones y resulta aún más fácil crear una directiva de bloqueo de aplicación de empresa.

Durga Prasad Sayana y se describen las directivas de bloqueo de aplicación de problema de seguridad del año anterior en un artículo titulado" Bloqueo de seguridad de aplicación con directivas de restricción de software." En este artículo, nos habían detallada una serie de desafíos que una empresa debe superar al crear una directiva de este tipo. Algunos de estos desafíos son:

  • Comprender qué software se utiliza en su entorno
  • Saber qué aplicaciones distintos usuarios debe se permite la ejecución
  • Saber cómo crear la directiva necesaria
  • Determinar si una directiva funcionará correctamente cuando se implementa

Para solucionar estos obstáculos, AppLocker ofrece un enfoque nuevo que se puede auditar el funcionamiento de una directiva de bloqueo de aplicación. Proporciona la capacidad para controlar cómo los usuarios ejecutar todos los tipos de aplicaciones, archivos ejecutables, secuencias de comandos, los archivos de Windows Installer y DLL. Y ofrece bloqueo de aplicación nuevo primitivas de directiva que son más específicos y no son sujetos a salto como fácilmente cuando se actualiza una aplicación. Windows 7 también incluye compatibilidad para las reglas de directiva de restricción de software (SRP) heredadas, pero no hay ninguna compatibilidad para las nuevas reglas AppLocker en Windows XP y Windows Vista.

Los modos de cumplimiento se implementan en parte superior de agente cumplimiento subyacente del AppLocker, que se implementa en el controlador appid.sys. Este controlador ofrece la capacidad para que kernel modo regla comprobación de los eventos, como creación de procesos y carga de DLL. Para las aplicaciones que implementar la aplicación en modo de usuario, se utiliza la API SaferIdentifyLevel heredada para determinar si se puede ejecutar una aplicación. Pero IdentifyLevel safer-ahora se entregar la comprobación de cumplimiento a través a un servicio para realizar la comprobación real de los binarios y directiva. Se trata de una mejora significativa arquitectura sobre la característica de directivas de restricción de software heredada.

AppLocker está diseñada para facilitar a los profesionales de TI crear un conjunto sencillo de reglas que expresan todas las aplicaciones que se permite ejecutar y garantizar que las reglas son flexibles a las actualizaciones de aplicación.

Para crear directivas AppLocker, hay un nuevo UX de complemento de MMC AppLocker en el UX de complemento Editor de objetos de directiva de grupo, que ofrece una mejora increíble en el proceso de creación de reglas AppLocker. Hay un asistente que le permite crear una sola regla y otro asistente genera automáticamente las reglas en función de sus preferencias de regla y la carpeta que seleccione (consulte la figura 3 ).

fig04.gif

La figura 3 generar automáticamente las reglas de directiva de AppLocker.

Puede revisar los archivos de analizar y quitar de la lista antes de crean reglas para ellos. Incluso se puede obtener estadísticas útiles acerca de con qué frecuencia se ha bloqueado un archivo o probar AppLocker directiva para un equipo determinado.

En la directivas de restricción de software anteriores, era especialmente difícil crear directivas que estuvieron seguro pero no interrumpir también de las actualizaciones de software. Esto se debía a la falta de granularidad de las reglas de certificado y se actualizó la fragilidad de reglas de hash que podría interrumpir cuando una aplicación binario. Para solucionar este problema, AppLocker permite crear una regla que combina un certificado y un nombre de producto, nombre de archivo y versión del archivo. Esto facilita especificar que puede ejecutarse nada firmados por un proveedor concreto para un nombre de producto específico.

Las directivas de AppLocker en Windows 7 tener otras ventajas, además, el como la separación entre los diferentes tipos de ejecución (es decir, archivos EXE, DLL y MSI o secuencias de comandos de hosts). Estos tipos de archivos se encajan en cuatro depósitos denominadas colecciones de regla, y aplicación se configura por separado para cada uno. Por ejemplo, los administradores pueden habilitar AppLocker busca los archivos ejecutables sin habilitar comprobaciones de los archivos de secuencias de comandos.

La directiva AppLocker se almacena en la clave HKLM\Software\Policies\Microsoft\Windows\SrpV2. La directiva se almacena en un formato XML y se convierte por el servicio de identidad de aplicaciones (AppID). Cuando se procesa la directiva, se notifica el controlador appid.sys acerca de la nueva directiva por el servicio a través de la IOCTL_SRP_POLICY y vuelva a cargar el controlador de la directiva.

La primera tarea cuando acercando cambios al entorno de TI es evaluar cómo está funcionando actualmente el entorno. A continuación, cuidadosamente puede planear y probar los cambios para garantizar que pueden implementarse sin problemas. Esto es el propósito del modo de aplicación sólo auditoría.

Auditoría de la aplicación de la directiva de almacén de la aplicación es muy importante. No sólo esto le permite probar una directiva antes de se aplica, pero también ofrece la capacidad para ver cómo se realiza la directiva durante su duración. .. .Te definitivamente desea saber si un determinado conjunto de usuarios necesita una aplicación para que funcione en algún momento. Esto puede determinarse mediante la conexión a un sistema y revisar la información de auditoría AppLocker para ver si una directiva de bloqueo de aplicación impedir una aplicación concreta que se ejecute.

El canal principal para los eventos de AppLocker está en las aplicaciones y los registros de servicio que se pueden ver en los sucesos aplicación Visor (eventvwr.msc). Para ver estas entradas del registro, busque el archivo EXE y DLL y los registros de MSI y secuencias de comandos en el canal de eventos Microsoft\Windows\AppLocker\. Se pueden generar muchos sucesos diferentes, incluido si se permite una aplicación o se bloquea y si se aplicó una directiva a un sistema.

Validación de DNSSec

En los últimos años de dos, ataques relacionados con el DNS han convertido en un problema más común en Internet. Hay un mejor conocimiento de cómo daños DNS servidores y los atacantes están empezando a hacer uso de esa información. Lo que esto significa que un usuario puede potencialmente visitar un sitio Web y no estar absolutamente seguro de que no está visitando un sitio de Web diferente, malintencionado.

Windows Server 2008 R2 y Windows 7 presentan compatibilidad con DNSSEC según los de estándares actuales (4033 de solicitud de cambio, 4034 de solicitud de cambio y 4035 de solicitud de cambio). Windows Server 2008 R2 se permiten los Server DNS proporcionan artefactos de integridad de entidad emisora y datos de origen. Básicamente, un servidor podrá adjuntar firmas digitales a datos DNS en respuestas, así como validar los datos recibidos desde otros servidores DNS.

Windows 7 es el primer sistema de operativo de cliente para incluir las piezas necesarias para permitir que el cliente comprobar que está comunicando forma segura con un servidor DNS y comprobar que el servidor ha realizado la validación de DNSSEC en su nombre. Esta tecnología actualmente se está probando para asegurar la máxima compatibilidad con infraestructura actual de Internet y pretende desempeñan un papel continuo de proteger los datos de DNS en el futuro.

Las SACL globales y auditoría granular

Windows 7 extiende anteriores mecanismos de auditoría que ofrecen nuevas características que le permiten administrar la auditoría para los usuarios en vez de objetos sólo y que proporcionan más información sobre errores AccessCheck para los objetos de archivo. Esto permite nuevos escenarios de auditoría y proporciona un cambio de paradigma importantes relacionados con la auditoría.

En otras versiones de Windows, determinar si desea auditar el acceso a objetos se basó en si el descriptor de seguridad de un objeto incluye una entrada de control de acceso (ACE) de su SACL especifica que se debe auditar. Esto realiza muy fácil supervisar determinados clave del registro o archivo para ver qué acceso se está produciendo en ese objeto. Por desgracia, no había ningún método para ver lo que estaba obteniendo acceso un usuario determinado. Si desea que esta situación, podría probablemente deberá activar la auditoría de cada recurso que el usuario, posiblemente, puede interactuar con y, por tanto, podría acabar cada acceso por cualquier usuario del recurso en el registro de auditoría.

Habilitar la auditoría en una amplia suficiente conjunto de datos para capturar lo que un usuario puede tener acceso es un proceso extremadamente ardua. Cada recurso tiene que actualizarse para incluir la directiva de auditoría de la SACL y los cambios realizados en esta directiva requeriría cada SACL que actualizarse. Para superar esta limitación, Windows 7 presenta global objeto acceso auditoría, que se administra mediante auditpol.exe y se puede configurar mediante la directiva de grupo.

La auditoría de acceso A Ojbect global incluye una "SACL global" que es una cadena SDDL almacenada en el registro con otros datos relacionados con auditoría. Han agregado dos nuevas API a administrar la SACL global: AuditSetGlobalSacl y AuditQueryGlobalSacl. Actualización de la SACL global requiere el SeSecurityPrivilege, que protege la SACL global se actualice a un usuario sin privilegios de administrador.

Auditoría de seguridad de Windows 7 también permite comprender por qué acceso a un objeto de error o se realizó correctamente. Esto está información importante si está depurar un error de la aplicación o intentar comprender si la directiva de seguridad es eficaz. Tanto la funcionalidad de auditoría de acceso A objetos global y la inclusión de datos de auditoría de acceso adicionales se implementan en un nuevo kernel seguridad de modo API, SeAccessCheckEx. Los administradores de dos recursos para consumir esta API será NTFS y el compartir archivos detallado en 7 de Windows, y cuando se habilita, la API pondrá información en el registro de auditoría acerca de por qué un intento de acceso correcta o error. Por tanto, estas características se aplican a los recursos compartidos del sistema y archivo de archivos por ahora y pueden ampliarse a otros administradores de recursos en futuras versiones de Windows.

Ajustar hacia arriba

Windows 7 permite nuevos escenarios y hace uso de Windows una experiencia más segura. Muchas de estas características tenga un fuerte enfoque en la experiencia del usuario (para los usuarios domésticos, usuarios empresariales y los profesionales de TI) y permiten que Windows 7 sistemas funcionan incluso mejor.

Chris Corio era miembro del grupo de seguridad de Windows de Microsoft más de cinco años. Su objetivo principal de Microsoft era las tecnologías de seguridad de aplicaciones y tecnologías de administración para la protección de Windows. Pueden llegar a Carlos en winsecurity@chriscorio.com.