Segurança
Uma introdução à segurança no Windows 7
Chris Corio
Partes deste artigo são baseadas no código pré-lançamento. Todas as informações aqui contidas estão sujeitas a alterações.
Visão geral:
- Windows Framework biométrica
- Estendendo os perfis de autenticação
- O BitLocker para ir
- Aprimoramentos do UAC
Conteúdo
Windows Framework biométrica
Estendendo os protocolos de autenticação
Aprimoramentos principais de disco BitLocker
O BitLocker para ir
Aprimoramentos do UAC
AppLocker
As SACLs globais e completas de auditoria
Quebra automática para cima
O Windows Vista introduziu uma variedade de novas tecnologias de segurança que tiveram um impacto significativo no ecossistema do Windows. O controle de conta de usuário tornou desmarque que Microsoft queria para facilitar para os usuários executa o Windows sem estar no grupo Administradores. O BitLocker introduziu criptografia de volume total para o cliente do Windows. O modo protegido do Internet Explorer ajudou a tornar a navegação na Internet uma experiência mais segura.
No Windows 7, Microsoft continuou seu investimento em segurança pelo adicionando novas tecnologias, bem como aumentar a muitas das tecnologias do introduzido no Windows Vista. Neste artigo, fornecerá uma visão geral dos recursos de segurança novos e aprimoramentos que você encontrará no Windows 7.
Windows Framework biométrica
O Windows Vista incluído um redesign da experiência do Winlogon. Essa experiência removido a infra-estrutura da GINA (Graphical Identification and Authentication) e adicionado o modelo de extensão do provedor de credenciais. A infra-estrutura do provedor de credenciais foi um conjunto de interfaces que permitido consistência quando terceiros estendido a experiência do usuário ao redor de inserir credenciais de usuários, e ele se integra a caixa de diálogo credenciais comuns do Windows.
Para Windows 7, a Microsoft adicionou o Framework biométrica do novo Windows (WBF). Com impressão digital leitores se tornando muito mais comum, ficou desmarque que define uma estrutura comum para expor, gerenciando e usando essas tecnologias era necessário para o desenvolvimento de unidade e confiabilidade. O WBF destina a facilitar a oferecer suporte a dispositivos autenticação biométrica. No Windows 7, WBF oferece suporte a apenas os leitores de impressão digital, mas ele pode ser expandido no futuro.
A plataforma de núcleo WBF consiste esses componentes principais:
- Interface do driver biométrica (WBDI) do Windows
- Windows Service biométrica (EDT)
- API DE WBF
- Experiência do usuário WBF e pontos de integração
- Gerenciamento de WBF
A interface de driver de biométrica (WBDI) do Windows tem como objetivo fornecer uma interface comum do driver para dispositivos biométricos. Ele consiste em uma variedade de interfaces que expõem as estruturas de dados apropriado e IOCTLs (controles de entrada/saída) para dispositivos biométricos para integrar a estrutura biométrica. Drivers podem ser implementados em qualquer um das estruturas de driver comuns, incluindo modelo de driver do Windows, o Framework de driver de modo kernel e User-Mode Driver Framework (UMDF). UMDF, no entanto, é a estrutura de driver recomendado para dispositivos biométricos porque fornece a vantagem adicional de maior confiabilidade para o Windows no caso uma falha no driver de dispositivo biométrica.
O Windows biométrica Service (EDT) é o componente chave que vincula juntos WBF. EDT interage com os drivers de dispositivos biométricos e também expõe as biométrica Framework APIs do Windows, permitindo que os aplicativos interagem com esses dispositivos.
Um recurso importante de EDT é que ele nunca revela dados biométrico real de um usuário para aplicativos não privilegiados. Isso é importante porque, ao contrário de uma senha, é muito difícil para alguém alterar sua assinatura biométrica depois que ela está comprometida. Em vez disso, a estrutura de divisão de trabalho expõe um identificador (normalmente um GUID ou um SID) que permite que aplicativos trabalhar com os dados biométricos indiretamente.
EDT também gerencia pools de dispositivos de autenticação biométrica. Este permite controlar dispositivos biométricos como é usadas. Determinados dispositivos podem ser usados com qualquer caixa de diálogo credenciais, como o prompt de logon ou um prompt do UAC. Por exemplo, você pode configurar controles dos pais no seu sistema base, e quando elevação for necessária no sistema, você pode simplesmente swipe o dedo para fornecer a elevação. Esse pool de dispositivos biométricos é conhecido como o pool do sistema. Há dois outros pools de dispositivos. Há o pool particular, que permite que aplicativos oferecer autenticação que não está integrada a infra-estrutura de autenticação do Windows. E há o pool não atribuído, que é para dispositivos que, como você deve ter adivinhado, ajustar nenhuma os pools de dois anteriores.
Cada dispositivo que faz parte de um pool de dispositivo, na verdade, é abstraído imediatamente por essa estrutura usando uma classe de dados chamada uma unidade de biométrica. A unidade biométrica se conecta para essa estrutura biométrica Service Provider (BSP), que implementa as diretivas e comportamentos específicos para um conjunto de dispositivos biométricos. A unidade biométrica permite que o BSP fornecer os recursos que um determinado dispositivo pode não suporte, como armazenar dados de impressão digital ou processar dados de impressão digital depois dela é foi adquirido através de um dispositivo.
O terceiro componente principal do WBF é o conjunto de APIs, também conhecido como as APIs de WinBio *, que pode ser usado por aplicativos e componentes do modo de usuário para interagir diretamente com os dispositivos. Isso inclui a interação com um dispositivo durante o processo de registro original para obter impressão digital de um usuário e correlacioná-lo com uma conta de usuário específica, bem como a tarefa de verificação de um usuário para logon ou o UAC. Essas APIs também expor dados sobre o dispositivo biométrico específico e suas características. Além disso, as APIs WBF pode ser estendidas para permitir que um aplicativo interagir com aspectos proprietários de um determinado dispositivo.
O WBF expõe duas maneiras principais de configurar o uso de dispositivos biométricos. Usuários finais, há um miniaplicativo de painel de controle, que é exposto em alguns locais. Você pode encontrar o Painel de controle dispositivos biométrica em hardware e sons. Desse local, o usuário pode iniciar um aplicativo de gerenciamento de impressão digital de terceiros. Windows 7 não fornece um aplicativo de gerenciamento de impressão digital internos, para qualquer fornecedor de terceiros ou um OEM que escrever seu próprio. (Observe que o Windows biométrica Framework dá suporte local e logon de domínio, bem como impressão digital-com o UAC através do provedor interno de credenciais biométrica.)
O Framework biométrica Windows também podem ser gerenciado por meio da diretiva de grupo. Um administrador pode ativar ou desativar a estrutura inteira, bem como gerenciar o que tipos de logons podem usar biométrica (para logons de exemplo, locais e de domínio podem ser configurados diferentemente).
Estendendo os protocolos de autenticação
Windows 7 melhora a experiência de rede doméstica e de pequeno com um recurso chamado Homegroup. Os usuários podem compartilhar dados, como arquivos de mídia, entre computadores em uma casa e usar uma identificação online para autenticar entre esses computadores. Os usuários explicitamente devem vincular sua conta de usuário do Windows para uma identificação online para que essa funcionalidade para trabalhar. Autenticação é habilitada por um novo protocolo chamado de chave pública-com base em usuário para usuário ou PKU2U.
Windows 7 também apresenta uma extensão ao pacote de autenticação de negociação, Spnego.dll. SpNego é o recurso que decide qual protocolo de autenticação deve ser usado durante a autenticação. Antes de Windows 7, geralmente era uma escolha entre Kerberos e NTLM (Desafio/Resposta do Windows). A extensão NegoEx é tratada como um protocolo de autenticação pelo Windows e oferece suporte a dois provedores de suporte de segurança Microsoft: PKU2U e ao vivo. Também é extensível para permitir o desenvolvimento de outros provedores de suporte de segurança.
Esses dois recursos funcionam quando conectando a outro computador in the Homegroup usando uma identificação de on-line. Quando um computador se conecta a outro, a extensão de negociação chama o provedor de suporte de segurança PKU2U o computador de logon. O provedor de suporte de segurança PKU2U obtém um certificado do mecanismo de diretiva de autoridade de certificado e a diretiva (junto com outros metadados) entre os computadores de mesmo nível de troca. Quando validado no computador de mesmo nível, o certificado é enviado para o ponto de logon para validação, o certificado do usuário é mapeado para um token de segurança e o processo de logon for concluído.
Aprimoramentos principais de disco BitLocker
Com o Windows Vista, a Microsoft introduziu o BitLocker. Essa é uma solução de criptografia de volume completo criada para proteger os dados em laptops e computadores desktops, como servidores de escritório de filial, mesmo se o computador for perdido ou ficar em mãos erradas. No Windows 7, muitos aprimoramentos foram feitos para o gerenciamento de disco BitLocker. Essas incluem a aplicação consistente através de todas as interfaces (a interface do usuário, a ferramenta de gerenciamento-bde linha de comando e o provedor WMI) e separam as configurações de diretiva de grupo para unidades de dados fixa. Também existem novas configurações de diretiva de grupo que permitem que você atualize suas senhas e integrar com cartões inteligentes em unidades de não-OS e você também pode alterar o comportamento relacionado ao desbloqueio automático.
No Windows Vista, houve reclamações sobre ele sejam difíceis de particionar a unidade de sistema operacional para se preparar para uma instalação do BitLocker, especialmente quando o sistema operacional é já instalado. Esse problema foi abordado com dois aprimoramentos encontrados no Windows 7. Em primeiro lugar, por padrão durante a instalação do Windows 7, os usuários receberão uma partição separada do sistema ativo, o que é necessária para o BitLocker funcione em unidades de sistema operacional. Isso elimina uma segunda etapa era necessária em muitos ambientes. Além disso, você pode particionar uma unidade para o BitLocker como parte da instalação BitLocker se você já não tiver uma partição separada do sistema. (veja a Figura 1 ).
Figura 1 Preparando-se uma unidade de disco BitLocker
O BitLocker para ir
Uma das adições mais visíveis e mais importantes é o BitLocker para viagem, criado para proteger dados nas unidades de dados removível. Ele permite que você configurar a criptografia de unidade de disco BitLocker em unidades flash USB e unidades de disco externas. Metas de design para BitLocker ir chamada para o recurso para ser fácil de usar, para que isso funcione em unidades existentes, para permitir a recuperação de dados se necessário e habilitar os dados a ser usado em sistemas Windows Vista e Windows XP.
Há muitos aprimoramentos de gerenciamento para os gerentes de TI aproveitar com esse recurso. O mais relevante é uma nova configuração de diretiva de grupo que lhe permite configurar unidades removíveis como somente leitura, a menos que eles são criptografados com BitLocker ir. Isso é uma etapa excelente frente em assegurar que os dados corporativos críticos sejam protegidos quando uma unidade flash USB é mal colocada por um funcionário.
Também notável é a capacidade de recuperar dados de qualquer dispositivo de disco BitLocker ir quando os dados são inacessíveis. Essa tecnologia, denominada um agente de recuperação de dados, foi portada do recurso de sistema de arquivos criptografados (EFS) e permite a fácil recuperação de dados corporativos em uma unidade portátil usando a chave criada da empresa.
Obter a funcionalidade de disco BitLocker ir trabalhar no Windows XP e Windows Vista necessário alguns reengineering do recurso de disco BitLocker principal. Para fazer isso, a equipe refatorar o método pelo qual o BitLocker protege volumes FAT. Comportamento de BitLocker foi modificado para sobrepor "volume descoberta" no volume físico, original e virtualizar os blocos substituídos. O volume de descoberta contém o BitLocker para ir Reader, bem como um arquivo Leiame. Isso é chamado de uma unidade BitLocker híbrida. Por padrão, quando uma unidade FAT é criptografada, um unidade de disco BitLocker híbrido é criado. A unidade de descoberta está visível somente nos sistemas operacionais Windows XP e Windows Vista.
O leitor também estará disponível no Centro de download Microsoft após o lançamento do Windows 7. O aplicativo fornece acesso somente leitura para unidades de disco BitLocker que utilizam o protetor de chave de senha. Observe que autenticação de cartão inteligente não está disponível ao usar o BitLocker para ir Reader.
Aprimoramentos do UAC
Controle de conta de usuário (UAC) é uma tecnologia freqüentemente mal compreendida. Primeiro, é realmente um conjunto de recursos em vez de apenas um prompt. Esses recursos incluem arquivos e o redirecionamento do registro, detecção do instalador, o prompt do UAC, o serviço do ActiveX Installer e mais. Todos esses recursos são projetados para permitir que os usuários Windows executem com contas de usuário que não são membros do grupo Administradores. Essas contas são geralmente chamadas de usuários padrão e são amplamente descritas como executando com privilégios mínimos. A chave é que quando os usuários executam com contas de usuário padrão, a experiência é geralmente muito mais seguro e confiável.
Muitos desenvolvedores começaram direcionar seus aplicativos funcionem bem para usuários padrão. As empresas agora tem um caminho mais claro para implantação de contas de usuário padrão, permitindo que essas empresas para reduzir os custos de suporte e o TCO (custo total de propriedade) geral de seus computadores. Em casa, famílias podem usar contas de usuário padrão para crianças juntamente com os controles dos pais para criar um ambiente mais seguro.
Windows 7 inclui vários aprimoramentos para melhorar a experiência do usuário padrão e novas configurações fornecem mais controle sobre prompt de controle de conta de usuário quando executado no modo de aprovação de administrador. O objetivo é aumentar a usabilidade enquanto continua a torná-lo desmarque para fornecedores independentes de software que o contexto de segurança padrão deve ser direcionamento é de um usuário padrão. Na prática, essas alterações significam que os usuários não são solicitados para tarefas administrativas comuns no Windows 7. Esta é a configuração que diz "Avisar apenas quando programas tenta fazer as alterações para o meu computador."
A maneira que isso funciona é bastante direta. Durante a criação do processo, a diretiva é verificada para se essa configuração está ativada. Se o processo que está sendo criado é parte do Windows, que é verificada, verificando os arquivos de catálogo de sua assinatura, Windows o processo será criado sem um prompt. Essa configuração não solicita quando você alterar as configurações do Windows mas em vez disso, permite que você focalizar alterações administrativas que está sendo solicitadas pelo aplicativos não-Windows (como o novo software é instalado). Para as pessoas que desejar maior controle alteração as configurações do Windows com freqüência, sem as notificações adicionais, essa configuração resulta em menos solicitações gerais e permite que os usuários zero na chave restante notificações que eles estiver vendo.
A outra alteração significativa é que vários componentes não mais exigem privilégios de administrador. Por exemplo, os usuários podem configurar se suas áreas de trabalho devem ser exibidas no modo de DPI alta, um recurso comumente usado que aumentam as telas de computador e tamanhos de pixel ficam menores. Outro exemplo é que usuários padrão agora pode redefinir a sua conexão de rede quando conectado fisicamente ao computador, uma solicitação comum Microsoft tenha ouvido do usuários domésticos e empresas.
A Figura 2 controle de conta de usuário ao instalar um controle ActiveX
Reduzir prompts também significa simplificando áreas onde vários avisos foram encontrados para uma ação de usuário único. No Windows 7, por exemplo, instalando controles ActiveX no Internet Explorer é muito mais suave. No Windows Vista, Internet Explorer 7 criaria o processo de IEInstal.exe para executar a instalação de um controle ActiveX. Isso resultou em um prompt do UAC que perguntado se você quisesse "instalar um IE adicionar em" Executar com privilégios de administrador. Esse prompt não forneceu muito contexto sobre exatamente o que estava sendo instalado e Internet Explorer deve imediatamente solicitará que você para aprovar um controle específico. No Windows 7 com o Internet Explorer 8, o processo de instalação foi modificado para usar o serviço de Installer ActiveX, que irá extrair informações do editor do controle ActiveX e exibi-lo durante a experiência de instalação (veja a Figura 2 ). A nova abordagem também remove o segundo prompt durante a instalação de um controle ActiveX.
AppLocker
A capacidade de controlar os aplicativos que um usuário ou conjunto de usuários, pode executar oferece significativo aumenta na confiabilidade e segurança de áreas de trabalho da empresa. Em geral, uma diretiva de bloqueio de aplicativo pode reduzir o TCO de computadores em uma empresa. Windows 7 adiciona AppLocker, um novo recurso que controla a execução do aplicativo e torna ainda mais fácil criar uma diretiva de bloqueio de aplicativo empresarial.
Durga Prasad Sayana e discutido diretivas de bloqueio de aplicativo no problema de segurança do ano passado em um artigo chamado" Bloqueio de aplicativo com as diretivas de restrição de software." No artigo, nós detalhadas vários desafios que uma empresa precisa ser superadas ao criar uma diretiva. Alguns desses desafios incluem o seguinte:
- Noções básicas sobre qual software é usado em seu ambiente
- Saber quais aplicativos vários usuários deve ter permissão para executar
- Saber como criar a diretiva necessária
- Determinar se uma diretiva funcionará corretamente quando implantado
Para resolver essas dificuldades, AppLocker oferece uma nova abordagem que pode fazer a auditoria como uma diretiva de bloqueio de aplicativo funcionará. Ele fornece a capacidade de controlar como os usuários executar todos os tipos de aplicativos, arquivos executáveis, scripts, arquivos do Windows Installer e DLLs. E oferece bloqueio de aplicativo novos primitivos de diretiva que são mais específicos e não estão sujeitos a interrupção como facilmente quando um aplicativo é atualizado. Windows 7 também inclui suporte para regras de diretiva de restrição de software (SRP) herdado, mas não há suporte para as novas regras de AppLocker no Windows XP e no Windows Vista.
Todos os modos de aplicação são implementados na parte superior de agente de imposição subjacente do AppLocker, o que é implementado no driver appid.sys. Esse driver oferece a capacidade para que regra de modo kernel verificando tais eventos como a criação do processo e carregamento de DLL. Para aplicativos que implementam aplicação no modo de usuário, a API herdada SaferIdentifyLevel é usado para determinar se um aplicativo pode ser executado. Mas IdentifyLevel Safer-será agora entregar a verificação de aplicação para um serviço para executar a verificação real de binários e de diretiva. Este é um aprimoramento de arquitetura significativo sobre o recurso de diretivas de restrição de software herdado.
AppLocker deve facilitar para profissionais de TI criar um conjunto simples de regras que expresse todos os aplicativos que são permissão para executar e garantir que as regras sejam resistentes a atualizações de aplicativos.
Para criar diretiva AppLocker, há um novo UX snap-in do MMC AppLocker in the UX de snap-in Editor de objeto de diretiva de grupo, que oferece um aperfeiçoamento incrível no processo de criação de regras de AppLocker. Há um assistente que permite que você crie uma única regra e outro Assistente gera automaticamente as regras com base em suas preferências de regra e a pasta que você selecionar (veja a Figura 3 ).
A Figura 3 Gerar automaticamente regras de diretiva de AppLocker.
Você pode examinar os arquivos analisados e removê-los da lista antes que as regras sejam criadas para eles. Você pode até mesmo obter estatísticas úteis sobre a freqüência um arquivo foi bloqueado ou testar AppLocker diretiva para um determinado computador.
Nas diretivas de restrição de software anteriores, era particularmente difícil criar diretivas que foram seguro, mas também não quebrar de atualizações de software. Isso foi devido à falta de granularidade de regras de certificado e a fragilidade de regras de hash que poderia interromper quando um aplicativo binário foi atualizada. Para resolver esse problema, AppLocker permite que você criar uma regra que combina um certificado e um nome de produto, nome de arquivo e versão do arquivo. Isso facilita especificar que qualquer assinado por um fornecedor específico para um nome de produto específico pode executar.
As diretivas de AppLocker no Windows 7 têm outros benefícios, além disso, incluindo a separação entre diferentes tipos de execução (como EXEs, DLLs e MSI ou script de hosts). Esses tipos de arquivo são ajustam quatro classificações chamadas conjuntos de regra, e imposição é configurada separadamente para cada um. Por exemplo, os administradores podem permitir AppLocker procura arquivos executáveis sem ativar verificações de arquivos de script.
A diretiva AppLocker é armazenada na chave HKLM\Software\Policies\Microsoft\Windows\SrpV2. A diretiva é armazenada em um formato XML e é convertida pelo serviço de identidade do aplicativo (AppID). Quando diretiva é processada, o driver appid.sys é notificado sobre a nova diretiva pelo serviço por meio a IOCTL_SRP_POLICY e o driver será recarregar a diretiva.
A primeira tarefa quando se aproximando de alterações para o ambiente de TI é avaliar como o ambiente está funcionando no momento. Em seguida, você pode planejar cuidadosamente e testar quaisquer alterações para garantir que eles podem ser implementados sem problemas. Essa é a finalidade do modo de aplicação apenas auditoria.
Auditoria a aplicação da diretiva Bloqueador de aplicativo é extremamente importante. Não apenas isso permitem testar uma diretiva antes que ela é aplicada, mas ele também oferece você a capacidade para observar como a diretiva executa durante sua existência. Definitivamente, você vai querer saber se um determinado conjunto de usuários necessário um aplicativo funcione em algum momento. Isso pode ser determinado conectando-se a um sistema e revisar as informações de auditoria AppLocker para ver se uma diretiva de bloqueio de aplicativo foi impedindo um aplicativo específico em execução.
O canal primário para eventos de AppLocker está nos aplicativos e logs de serviço que pode ser exibido em eventos aplicativo Visualizador (eventvwr.msc). Para exibir essas entradas do log, procure no EXE e DLL e os logs MSI e scripts no canal de evento Microsoft\Windows\AppLocker\. Muitos eventos diferentes podem ser gerados, incluindo se um aplicativo foi permitido ou bloqueado e se uma diretiva foi aplicada a um sistema.
Validação de DNSSec
Nos últimos dois anos, relacionados ao DNS explorações tornaram um problema mais comum na Internet. Há uma melhor compreensão sobre como suspeitas servidores DNS e os invasores estão começando a fazer uso de informações. Isso significa que um usuário pode não ter certeza absoluta de que ele não é visitar um site diferente, mal-intencionado e potencialmente visitar um site.
O Windows Server 2008 R2 e o Windows 7 apresenta suporte para DNSSEC de acordo com os atuais padrões (RFC 4033, RFC 4034 e RFC 4035). O Windows Server 2008 R2 permitirá que o servidor DNS fornecer os artefatos de integridade de autoridade e dados de origem. Basicamente, um servidor poderão anexar assinaturas digitais a dados DNS nas respostas bem como validar os dados recebidos de outros servidores DNS.
Windows 7 é o primeiro sistema de operacional do cliente para incluir as partes necessárias para permitir que o cliente verificar se ele está se comunicando com segurança com um servidor DNS e verificar que o servidor executou DNSSEC validação em seu nome. Essa tecnologia no momento está sendo testada para garantir a compatibilidade máxima com infra-estrutura da Internet atual e visa desempenham um papel contínuo na proteção de dados DNS no futuro.
As SACLs globais e completas de auditoria
Windows 7 estende anteriores mecanismos de auditoria para oferecem novos recursos que permitem que você gerenciar a auditoria de usuários em vez de apenas objetos e fornecer mais informações sobre falhas de AccessCheck para objetos de arquivos. Isso permite novos cenários de auditoria e fornece uma mudança de paradigma significativa relacionada a auditoria.
Em outras versões do Windows, determinar se será feita uma auditoria de acesso a objetos foi baseado em se o descritor de segurança de um objeto incluída uma entrada de controle de acesso (ACE) no seu SACL especificando que devem ser auditada. Isso facilitou muito monitorar certos chave do Registro ou arquivo para ver o acesso foi ocorrendo no objeto. Infelizmente, não havia nenhum método para observar que um usuário específico foi acessar. Se você quisesse nessa situação, provavelmente seria necessário ativar a auditoria para cada recurso que o usuário, possivelmente, pode interagir com e, portanto, cada acesso por qualquer usuário do recurso acabaria no log de auditoria.
Ativando a auditoria em um nível suficiente conjunto de dados para capturar o que um usuário pode acessar é um processo extremamente árduo. Cada recurso precisa ser atualizado para incluir a diretiva de auditoria dentro a SACL e quaisquer alterações nessa diretiva pode ser necessário cada SACL ser atualizado. Para superar essa limitação, Windows 7 apresenta global objeto acesso auditoria, que é gerenciado pelo auditpol.exe e é configurável usando a diretiva de grupo.
A auditoria de acesso de Ojbect global inclui uma "SACL global" que é uma seqüência SDDL armazenada no registro com outros dados relacionados à auditoria. Duas APIs novos foram adicionados ao gerenciar a SACL global: AuditSetGlobalSacl e AuditQueryGlobalSacl. Atualizando a SACL global requer SeSecurityPrivilege, que protege a SACL global sejam atualizados por um usuário sem privilégios de administrador.
Auditoria de segurança no Windows 7 também permite para entender o porquê acesso a um objeto falha ou bem-sucedida. São informações importantes se você estiver depurando uma falha de aplicativo ou tentando compreender se a diretiva de segurança é eficaz. Tanto a funcionalidade de auditoria de acesso de objeto global e a inclusão de dados de auditoria de acesso adicionais são implementadas em um novo kernel modo segurança API, SeAccessCheckEx. Os gerentes de dois recursos para consumir essa API será NTFS e o compartilhamento de arquivos detalhadas no Windows 7, e quando ativado, a API será colocada informações no log de auditoria sobre por que uma tentativa de acesso com êxito ou falha. Assim, esses recursos se aplicam aos compartilhamentos de sistema e o arquivo do arquivo por enquanto e podem ser expandidos para outros gerenciadores de recursos em futuras versões do Windows.
Quebra automática para cima
Windows 7 permite novos cenários e faz usando o Windows uma experiência mais segura. Muitos desses recursos tem um foco forte na experiência do usuário (para usuários domésticos, usuários comerciais e profissionais de TI) e permitir que sistemas Windows 7 funcione melhor.
Chris Corio era membro da equipe de segurança do Windows na Microsoft há mais de cinco anos. Seu foco principal na Microsoft foi tecnologias de segurança de aplicativos e tecnologias de gerenciamento para proteger o Windows. Você pode acessar Chris em winsecurity@chriscorio.com.