Protezione
Un'introduzione alla protezione in Windows 7
Chris Corio
Parti di questo articolo si basano sul codice preliminare. Tutte le informazioni nel presente documento sono soggette a modifiche.
In un riepilogo delle:
- Windows biometrico Framework
- Estende l'autenticazione di profili
- BitLocker A Vai
- Miglioramenti per il controllo dell'account utente
Contenuto
Windows biometrico Framework
Estensione di protocolli di autenticazione
Miglioramenti di base di BitLocker
BitLocker A Vai
Miglioramenti per il controllo dell'account utente
AppLocker
Questi elenchi globali e controllo granulare
Disposizione dei
Windows Vista ha introdotto numerose nuove tecnologie di protezione che aveva un impatto significativo sull'ecosistema Windows. Il controllo dell'account utente reso deselezionare che Microsoft desidera semplificare agli utenti di eseguire Windows senza che nel gruppo Administrators. BitLocker è stata introdotta crittografia volume completa per il client Windows. La modalità protetta di Internet Explorer contribuito a rendere l'esplorazione di Internet un'esperienza sicura.
In Windows 7, Microsoft ha continua relativo investimento di protezione da aggiunta di nuove tecnologie e migliorare numerose tecnologie introdotte in Windows Vista. In questo articolo verrà fornita una panoramica delle funzionalità di protezione nuove e miglioramenti che sono disponibili in Windows 7.
Windows biometrico Framework
Windows Vista è inclusa una riprogettazione dell'esperienza Winlogon. Questa esperienza rimosso l'infrastruttura di GINA (Graphical Identification e autenticazione) e aggiunto al modello di estensione del provider di credenziali. L'infrastruttura di provider di credenziali è un insieme di interfacce consentito coerenza quando terze parti esteso l'esperienza utente intorno agli utenti di immettere le credenziali e integra la finestra di credenziali Windows comune.
Per Windows 7, Microsoft ha aggiunto il nuovo Windows biometrico Framework (WBF). Con impronte digitali lettori diventare molto più comune, che è diventato deselezionare tale definizione di un framework comune per l'esposizione, gestione e utilizzo di queste tecnologie era necessario per lo sviluppo di unità e l'affidabilità. Il WBF è progettato per semplificare il supporto di dispositivi autenticazione biometrico. In Windows 7 WBF supporta solo i lettori di impronte digitali, ma possono essere espansi in futuro.
La piattaforma di base WBF è costituito da questi componenti principali:
- Interfaccia del driver biometrico (WBDI) di Windows
- Windows Service biometrico (WBS)
- API WBF
- Esperienza utente WBF e punti di integrazione
- Gestione WBF
È necessario fornire un'interfaccia driver comuni per dispositivi biometrico Windows biometrico driver Interface (WBDI). È costituito da un'ampia gamma di interfacce che espongono le strutture di dati appropriato e IOCTLs (controlli di input/output) per i dispositivi biometrico integrare il framework biometrico. Driver possono essere implementati in uno dei più comuni Framework di driver, inclusi il modello di driver di Windows, Framework driver modalità kernel e User-Mode Driver Framework (UMDF). UMDF, tuttavia, è il framework driver consigliata per i dispositivi biometrico perché offre il vantaggio aggiuntivo di maggiore affidabilità per Windows in caso un arresto anomalo del driver di dispositivo biometrico.
Windows biometrico Service (WBS) è il componente chiave che collega insieme WBF. WBS si interfaccia con i driver di dispositivo biometrico che espone anche le biometrico Framework API di Windows, consentendo applicazioni interagire con tali periferiche.
Un'importante caratteristica delle WBS è che non rivela mai dati biometrico effettivo un utente per le applicazioni non privilegiate. Questo aspetto è importante quanto, diversamente dalla password di un, è molto difficile per un utente a modificare firma biometrico dopo che è stata compromessa. Al contrario, la struttura funzionale del progetto espone un handle (in genere un GUID o un SID) consente alle applicazioni di utilizzare indirettamente i dati biometrico.
WBS gestisce anche i pool di dispositivi di autenticazione biometrico. Questo consente di vengono utilizzati per controllare come biometrico dispositivi. Alcune periferiche utilizzabile con qualsiasi finestra di dialogo credenziali, ad esempio il prompt di accesso o una richiesta di controllo dell'account utente. Ad esempio, è possibile configurare Controllo genitori nel sistema principale e quando viene richiesto l'elevazione dei privilegi nel sistema, semplicemente possibile swipe il dito per fornire l'elevazione dei privilegi. Il pool di dispositivi biometrico viene detto il pool di sistema. Esistono due altri pool di dispositivi. È disponibile il pool private, che consente alle applicazioni di offrire l'autenticazione non è integrata con l'infrastruttura di autenticazione di Windows. E il pool non assegnato, ovvero per i dispositivi, come si può immaginare, adatta Nessuna di pool di due precedenti.
Ogni dispositivo che fa parte di un pool di dispositivo è effettivamente estratti stoccaggio da WBS utilizzando una classe dei dati denominata un'unità biometrico. L'unità biometrico orecchie nel WBS biometrico servizio provider (BSP), che implementa i criteri e comportamenti specifici di un insieme di dispositivi biometrico. L'unità biometrico consente BSP fornire le funzionalità che una determinata periferica non supporta, ad esempio la memorizzazione dei dati di impronte digitali o di elaborazione dati di impronte digitali dopo di esso è stato acquisito da un dispositivo.
Il terzo componente principale del WBF è il set di API, noto anche come le WinBio * API, che può essere utilizzato dalle applicazioni e componenti di modalità utente per interagire direttamente con i dispositivi. Include l'interazione con un dispositivo durante il processo di registrazione originale per ottenere Impronta digitale di un utente e la correlazione con un account utente specifico, nonché l'attività di verifica di un utente per l'accesso o il controllo dell'account utente. Queste API espongono anche dati relativi al dispositivo biometrico specifico e le relative caratteristiche. Inoltre, le API WBF può essere esteso per consentire un'applicazione di interagire con gli aspetti proprietari di un particolare dispositivo.
Il WBF espone due metodi principali per configurare l'utilizzo di dispositivi biometrico. Per gli utenti finali è un'applet Pannello di controllo, che viene esposta in alcune posizioni. È possibile trovare il Pannello di controllo dispositivi biometrico in hardware e suoni. Da questa posizione, l'utente può avviare un'applicazione di terze parti Impronta digitale gestione. Windows 7 non fornisce un'applicazione di gestione di impronte digitali incorporata, in modo che abbia qualsiasi fornitore di terze parti o OEM scrivere il proprio. (Si noti che Windows biometrico Framework supporta locale e nome di dominio, nonché controllo account utente in base impronte digitali tramite il provider di credenziali Biometrics incorporati).
Windows biometrico Framework possono anche essere gestiti tramite Criteri di gruppo. Un amministratore può attivare o disattivare il framework intero, nonché gestire ciò che tipi di accessi possono utilizzare biometrics (per esempio, locali e di dominio accessi possono essere configurati in modo diverso).
Estensione di protocolli di autenticazione
Windows 7 migliora l'esperienza di rete principale e piccole dimensioni con una funzionalità denominata Homegroup. Gli utenti è in possono di condividere dati, ad esempio file di supporto, tra il computer in una posizione iniziale e utilizzare un ID in linea per l'autenticazione tra questi computer. Gli utenti in modo esplicito necessario collegare i relativi account utente di Windows a un ID in linea nella affinché questa funzionalità per l'utilizzo. L'autenticazione è attivata da un nuovo protocollo denominata chiave pubblica, in base utente a utenti o PKU2U.
Windows 7 introduce anche un'estensione al pacchetto di autenticazione con negoziazione spnego.dll. SpNego è la funzionalità che decide quale protocollo di autenticazione va utilizzata quando l'autenticazione. Prima di Windows 7, in genere è una scelta tra Kerberos e NTLM (Challenge/Response di Windows). L'estensione NegoEx viene considerato un protocollo di autenticazione da Windows e supporta due provider di supporto di protezione di Microsoft: PKU2U e Live. È inoltre estensibile per consentire lo sviluppo di altri provider supporto Protezione.
Entrambe queste funzionalità utilizzare quando la connessione a un altro computer nella Homegroup utilizzando un ID in linea. Quando un computer si connette a un altro, l'estensione negotiate chiama il provider di supporto di protezione PKU2U sul computer di accesso. Il provider supporto Protezione di PKU2U ottiene un certificato dal modulo di criteri di certificato dell'autorità e scambia i criteri (insieme con altri metadati) tra il computer peer. Quando viene convalidato sul computer peer, il certificato viene inviato al peer di accesso per la convalida, il certificato dell'utente è mappato a un token di protezione e il processo di accesso viene completato.
Miglioramenti di base di BitLocker
Con Windows Vista, Microsoft ha introdotto BitLocker. Questo è una soluzione di crittografia volume completa progettata per proteggere i dati sul computer portatili e computer desktop, ad esempio branch office server, anche se il computer viene persa o se nelle mani errate. In Windows 7 numerosi miglioramenti sono stato apportati alla gestione di BitLocker. Questi includono applicazione coerente mediante tutte le interfacce (l'interfaccia utente, lo strumento bde di gestione della riga di comando e il provider WMI e separare impostazioni Group Policy per unità di dati fisso. Esistono anche nuove impostazioni Group Policy che consentono di aggiornare la password e integrare con smart card in unità del sistema operativo non ed è possibile modificare il comportamento relativi a lo sblocco automatico.
In Windows Vista, sono stati reclami informazioni da difficile partizionare l'unità del sistema operativo per preparare per un'installazione di BitLocker, soprattutto quando installato il sistema operativo è già. Questo problema è stato risolto con due miglioramenti trovati nel Windows 7. Per impostazione predefinita durante l'installazione di Windows 7, innanzitutto, gli utenti riceveranno una partizione di separato sistema attivo, che è richiesto per BitLocker per unità del sistema operativo. Consente di eliminare un passaggio secondo era necessaria in molti ambienti. Oltre è possibile eseguire la partizione un'unità per BitLocker come parte del programma di installazione di BitLocker se non si dispone già di una partizione di sistema separato. (vedere la Figura 1 ).
Figura 1 Preparazione di un'unità per BitLocker
BitLocker A Vai
Una delle aggiunte più visibili e più importante è BitLocker per Vai, progettato per proteggere dati su unità rimovibili dati. Consente di configurare crittografia unità BitLocker su unità memoria flash USB e unità disco rigido esterne. Obiettivi di progettazione per BitLocker Vai chiamato per la funzionalità da facili da utilizzare, per il lavorare su unità esistenti per consentire il ripristino dei dati, se necessario e per abilitare i dati da utilizzabile nei sistemi Windows Vista e Windows XP.
Esistono numerosi miglioramenti di gestione per i responsabili IT sfruttare questa funzionalità. Più significativa è un'impostazione dei criteri di gruppo nuova che consente di configurare le unità rimovibili come di sola lettura a meno che sono crittografati con BitLocker Vai. Si tratta di un passaggio eccellente avanti di garantire che i dati aziendali critici sono protetto quando un'unità memoria flash USB è malposta da un dipendente.
Inoltre importante è la possibilità per recuperare i dati da qualsiasi dispositivo BitLocker portatile quando i dati sono inaccessibili. Questa tecnologia, denominata un agente recupero dati, è stato migrare dalla funzionalità di crittografia file System (EFS) e consente di facile ripristino dei dati aziendali in un'unità Mobile utilizzando la chiave creata da dell'organizzazione.
Ottenere funzionalità di BitLocker Vai per lavorare su Windows XP e Windows Vista necessario alcuni reengineering della funzionalità di BitLocker principali. A tale scopo, il team di refactoring il metodo con cui BitLocker consente di proteggere volumi FAT. Funzionamento di BitLocker è stato modificato per sovrapporre un volume individuazione nel volume fisico, originale e Virtualizzare i blocchi sovrascritti. Il volume di individuazione contiene BitLocker per Vai reader, nonché un file readme. Questo è denominato un'unità BitLocker misti. Per impostazione predefinita, quando un'unità FAT è crittografata, viene creato un ibrido unità BitLocker. L'unità di individuazione è visibile solo nei sistemi operativi Windows XP e Windows Vista.
Il Visualizzatore saranno inoltre disponibile nel centro di download di Microsoft dopo il rilascio di Windows 7. L'applicazione fornisce l'accesso lettura a unità BitLocker che utilizzano le protezioni con chiave password. Si noti che l'autenticazione della smart card non è disponibile quando si utilizza BitLocker in Vai reader.
Miglioramenti per il controllo dell'account utente
Controllo dell'account utente (UAC) è una tecnologia spesso misunderstood. Innanzitutto, è effettivamente un insieme di funzionalità, anziché solo una richiesta. Queste funzionalità includono file e il reindirizzamento del Registro di sistema, il rilevamento di programma di installazione, la richiesta di controllo dell'account utente, il servizio ActiveX Installer e più. Tutte queste funzionalità sono progettate per consentire agli utenti di Windows di eseguire con gli account utente che non sono membri del gruppo Administrators. Questi conti vengono in genere definiti gli utenti standard e ampiamente sono descritti come in esecuzione con privilegi minimi. La chiave è che quando gli utenti eseguono con account utente standard, l'esperienza è in genere molto più protetta e affidabile.
Molti sviluppatori hanno avviato per le applicazioni per l'utilizzo anche per utenti standard di destinazione. Le aziende avere ora un percorso più chiaro verso la distribuzione di account utente standard, consentendo queste aziende per ridurre i costi di supporto e TCO generale costo totale di proprietà del computer. Della casa famiglie possono utilizzare gli account utente standard per i bambini unitamente genitori per creare un ambiente più sicuro.
Windows 7 inclusa numerosi miglioramenti per ottimizzare l'esperienza di utente standard e nuove impostazioni di configurazione è disponibile la richiesta di controllo dell'account utente in modalità Approvazione amministratore per un maggiore controllo. L'obiettivo è migliorare la facilità di utilizzo pur continuando a renderlo deselezionare per i fornitori di software indipendenti che il contesto di protezione predefinito che deve essere destinazione è quello di un utente standard. In pratica, queste modifiche indicano che gli utenti non viene chiesto di specificare attività amministrative comuni in Windows 7. Si tratta dell'impostazione che indica "notifica utente solo quando programmi ha tenta di apportare modifiche al computer."
Questo funzionamento è abbastanza semplice. Durante la creazione del processo, il criterio viene controllato per Se questa impostazione è attivata. Se il processo di creazione è parte di Windows, viene verificata dal controllo dei file catalogo di Windows per la firma il processo viene creato senza un prompt. Questa impostazione non viene richiesto se si modificano le impostazioni di Windows ma consente invece di manipolare le modifiche amministrative richiesta dalle applicazioni non per Windows (ad esempio Installazione software nuovo). Per gli utenti che desidera avere un maggiore controllo modificando le impostazioni di Windows frequentemente, senza le notifiche aggiuntive Questa impostazione produce meno complessive richieste e consente agli utenti su zero in per la chiave rimanente notifiche vengono visualizzati.
L'altri modifica significativa è che alcuni componenti non più bisogno dei privilegi di amministratore. Ad esempio, gli utenti possono configurare se ai desktop devono essere visualizzati in modalità alto DPI, una funzionalità comuni come ottenere maggiore schermi di computer e le dimensioni dei pixel ottenere più piccoli. Un altro esempio è che gli utenti standard ora possibile ripristinare propria connessione di rete quando fisicamente connesso al computer, una richiesta comune Microsoft ha sentito dagli utenti privati e organizzazioni.
Nella figura 2 controllo dell'account utente durante l'installazione di un controllo ActiveX
Riduzione di richieste comporta anche semplificare le aree in cui sono state rilevate più richieste per un'azione utente singolo. In Windows 7, ad esempio, l'installazione di controlli ActiveX in Internet Explorer è molto più uniforme. In Windows Vista, Internet Explorer 7 necessario creare il processo di IEInstal.exe per eseguire l'installazione di un controllo ActiveX. Ciò ha causato una richiesta di controllo dell'account utente viene chiesto se si desidera "Installazione di un Internet EXPLORER Aggiungi on" per eseguire con privilegi di amministratore. Questa richiesta non fornire molto contesto sull'esattamente ciò che è stato l'installazione e Internet Explorer viene immediatamente richiesto per approvare un particolare controllo. In Windows 7 con Internet Explorer 8, il processo di installazione è stato modificato per utilizzare il servizio di programma di installazione ActiveX, in modo da estrarre informazioni autore del controllo ActiveX e visualizzarla durante l'esperienza di installazione (vedere la Figura 2 ). Il nuovo approccio Rimuove inoltre la seconda richiesta durante l'installazione di un controllo ActiveX.
AppLocker
La possibilità di controllare le applicazioni che un utente o insieme di utenti, può eseguire offre significativi aumenta l'affidabilità e protezione del desktop dell'organizzazione. Nel complesso, un criterio di blocco di applicazione può ridurre TCO di computer in un'organizzazione. Windows 7 aggiunge AppLocker, una nuova caratteristica che controlla l'esecuzione dell'applicazione e lo rende ancora più semplice creare un criterio di blocco dell'applicazione dell'organizzazione.
Durga Prasad Sayana e illustrati criteri di blocco dell'applicazione nel problema di protezione dell'anno precedente in un articolo intitolato" Blocco dell'applicazione con i criteri di restrizione software." Nell'articolo, è dettagliato di un numero di verifiche un'organizzazione deve superare durante la creazione di un criterio di tale. Tra questi problemi sono incluse le operazioni seguenti:
- Comprendere quale software viene utilizzato in ambiente
- Sapere quali applicazioni vari utenti deve essere consentita l'esecuzione
- Sapere come creare i criteri necessari
- Determina se un criterio verrà eseguite correttamente durante la distribuzione
Per risolvere questi ostacoli, AppLocker offre un approccio nuovo che possono essere controllati funzionamento un criterio di blocco dell'applicazione. Consente di controllare come gli utenti eseguire tutti i tipi di applicazioni, gli eseguibili, script, file di Windows Installer e DLL. E offre nuovo blocco di applicazione primitive di criteri più specifici che non sono soggetti a interruzioni facilmente in un'applicazione aggiornato. Windows 7 include inoltre il supporto per le regole dei criteri di restrizione software (SRP) legacy, ma non è disponibile alcun supporto per le nuove regole AppLocker in Windows XP e Windows Vista.
Tutte le modalità di applicazione sono implementate di agente imposizione sottostante Dell'AppLocker, che viene implementato nel driver appid.sys. Questo driver consente di cercare tali eventi come creazione di processi e durante il caricamento di DLL regola in modalità kernel. Per le applicazioni che implementano l'imposizione in modalità utente, l'API SaferIdentifyLevel legacy consente di determinare se è possibile eseguire un'applicazione. Ma IdentifyLevel safer, verrà ora mano il controllo di imposizione tramite a un servizio per eseguire la verifica effettiva del file binario e criteri. Si tratta di un significativo miglioramento dell'architettura sopra la caratteristica i criteri di restrizione software legacy.
AppLocker è destinata a semplificare i professionisti IT per la creazione di un semplice insieme di regole che esprimono tutte le applicazioni che sono autorizzate a eseguire e verificare che le regole sono flessibile gli aggiornamenti dell'applicazione.
Per creare criteri AppLocker, c'è un nuovo UX snap-in di MMC AppLocker nel UX di snap-in Editor oggetti Criteri di gruppo, che offre un miglioramento incredibile il processo di creazione regole AppLocker. È presente una procedura guidata che consente di creare una singola regola e un'altra procedura guidata genera automaticamente le regole per base le preferenze di regola e la cartella selezionata (vedere la Figura 3 ).
Nella figura 3 generare automaticamente le regole per AppLocker del criterio.
È possibile esaminare i file analizzati e rimuovere dall'elenco prima della creazione delle regole per i. È anche possibile ottenere le statistiche utili sulla frequenza con cui è stato bloccato un file o verificare AppLocker criteri per un determinato computer.
Nelle precedenti Software Restriction Policies era particolarmente difficile creare criteri che sono state protette ma si non interrompono dagli aggiornamenti software. Questo è stato per mancanza di granularità di regole certificati e fragility delle regole di hash che si interrompe quando un'applicazione binario è stato aggiornato. Per risolvere questo problema, AppLocker consente di creare una regola che combina un certificato e un nome del prodotto, nome di file e versione del file. Questo semplifica specificare che qualsiasi firma di un determinato fornitore per un nome di prodotto specifico può essere eseguito.
I criteri di AppLocker in Windows 7 sono altri vantaggi, nonché, tra cui la separazione tra tipi diversi di esecuzione (ovvero EXE, DLL e MSI o script host). Questi tipi di file sono rientrano in bucket quattro insiemi di regole di chiamata e imposizione è configurato separatamente per ciascuno. Gli amministratori possono ad esempio attivare verifica AppLocker eseguibili senza abilitare la verifica dei file script.
Il criterio AppLocker viene archiviato nella chiave HKLM\Software\Policies\Microsoft\Windows\SrpV2. I criteri sono memorizzato in un formato XML e viene convertito dal servizio di identità di applicazione (AppID). Riceve una quando viene elaborata criterio, il driver appid.sys notifica sui nuovi criteri dal servizio tramite il IOCTL_SRP_POLICY e il driver verrà ricaricare il criterio.
Il primo quando si avvicina le modifiche apportate al proprio ambiente IT è necessario valutare l'ambiente è attualmente funzionamento. Prestare attenzione è possibile quindi pianificare e testare le modifiche per assicurarsi che possano essere implementati correttamente. Questo è lo scopo della modalità applicazione solo controllo.
L'applicazione del Raccoglitore applicazione criterio di controllo è estremamente importante. Non solo questo è possibile verificare un criterio prima dell'imposta, ma anche offre è la possibilità di controllare il modo in cui il criterio viene eseguita durante la durata. Può essere assegnato in modo definito opportuno sapere se un gruppo di utenti è necessaria un'applicazione per lavorare in un punto. Questo può essere determinato da si connette a un sistema e rivedere le informazioni di controllo AppLocker per verificare se un criterio di blocco dell'applicazione è stata impedisce una particolare applicazione in esecuzione.
Canale primario per gli eventi AppLocker è nelle applicazioni e registri di servizio che può essere visualizzato in eventi applicazione Visualizzatore (eventvwr.msc). Per visualizzare le voci del registro, cercare il file EXE e DLL e i registri MSI e script con il canale di eventi Microsoft\Windows\AppLocker\. È possibile generare numerosi eventi diversi, inclusi se un'applicazione è consentire o bloccare e se è stato applicato un criterio a un sistema.
Convalida DNSSec
Negli anni di due precedenti, attacchi correlate DNS sono diventati un problema più comune in Internet. È presente una migliore comprensione di come non elaborabile DNS server e pirati informatici iniziano utilizzare tali informazioni. Che cosa ciò significa è che un utente può potenzialmente visitare un sito Web e non essere assolutamente certi che egli non visitano un sito Web di diverso, dannoso.
R2 di Windows Server 2008 e Windows 7 introdurre il supporto per DNSSEC come per gli standard correnti (RFC 4033, RFC 4034 e RFC 4035). Windows Server 2008 R2 consentirà il server di DNS per fornire gli elementi di integrità autorità e i dati origine. In sostanza, un server potranno essere collegare le firme digitali a dati DNS di risposte nonché convalidare i dati ricevuti da altri server DNS.
Windows 7 è il primo sistema di operativo client per includere gli elementi necessari per consentire il client di verificare che è comunicazione protetta con un server DNS e verificare che il server è eseguita la convalida DNSSEC per suo conto. Questa tecnologia è attualmente testata per garantire la massima compatibilità con infrastruttura di Internet corrente e mira a svolgere un ruolo di protezione dei dati di DNS in futuro continua.
Questi elenchi globali e controllo granulare
Windows 7 estende precedenti meccanismi di controllo per offerta nuove funzionalità che consentono di gestire il controllo per utenti anziché solo gli oggetti e forniscono ulteriori informazioni sugli errori di AccessCheck per oggetti file. Questo consente di nuovi scenari di controllo e si fornisce una modifica significativa paradigma relativi a controllo.
In altre versioni di Windows, determina se controllare l'accesso agli oggetti è basato su se il descrittore di protezione dell'oggetto inclusa una voce di controllo di accesso (ACE, Access Control Entry) nell'elenco relativo SACL che specifica che deve essere controllato. Questo reso molto semplice di monitorare un determinato chiave del Registro di sistema o file per verificare che l'accesso è stato in corso su tale oggetto. Sfortunatamente, si è verificato alcun metodo per controllare un particolare utente è stato accedere. Se si desidera inserire questo scenario, probabilmente sarebbe necessario attivare il controllo per ogni risorsa che l'utente probabilmente possibile interagire con e pertanto ad ogni accesso da qualsiasi utente della risorsa si terminano le nel registro di controllo.
Attivare il controllo su un livello sufficiente set di dati per acquisire un utente può accedere è un processo incredibilmente cui. Ogni risorsa deve essere aggiornato per includere il criterio di controllo nell'elenco SACL e modifiche questo criterio si richiedono ogni SACL da aggiornare. Per ovviare a questa limitazione, Windows 7 introduce globale oggetto Access verifica, che è gestito da auditpol.exe ed è configurabile tramite Criteri di gruppo.
Il controllo di accesso globale Ojbect include un SACL globale che è una stringa SDDL memorizzata nel Registro di sistema con altri dati relativi a controllo. Due nuove API aggiunti a gestire l'elenco SACL globale: AuditSetGlobalSacl e AuditQueryGlobalSacl. L'aggiornamento il SACL globale richiede SeSecurityPrivilege, che impedisce che il SACL globale aggiornamento da un utente senza privilegi di amministratore.
Controllo della protezione in Windows 7 inoltre consente di comprendere perché accesso a un oggetto non è riuscito o ha avuto esito positivo. Questo è importanti informazioni se è sta il debug di un errore dell'applicazione o cercando di comprendere se i criteri di protezione sono efficaci. Sia la funzionalità di controllo accesso oggetto globale e l'inclusione di dati di controllo di accesso aggiuntive sono implementate in un nuovo kernel di modalità di protezione API, SeAccessCheckEx. I gestori delle risorse due utilizzano questa API sarà NTFS e la condivisione di file dettagli in Windows 7 e quando attivato, l'API verrà inserire informazioni nel registro di controllo relative perché un tentativo di accesso ha avuto esito positivo o non riuscita. Pertanto queste funzionalità alle condivisioni di file di sistema e file per il momento e possono espandere per altri gestori delle risorse nelle future versioni di Windows.
Disposizione dei
Windows 7 consente di nuovi scenari e rende Windows un'esperienza più sicura. Molte delle funzionalità con attenzione sicuro sull'esperienza utente (per utenti privati, gli utenti aziendali e i professionisti IT) e si consentano di sistemi Windows 7 di lavoro ancora meglio.
Chris Corio è un membro del team Windows Security presso Microsoft per più di cinque anni. Suo obiettivo principale di Microsoft era tecnologie di protezione di applicazioni e tecnologie di gestione per la protezione di Windows. È possibile contattare Chris a winsecurity@chriscorio.com.