一、SCM管理服務(wù)

Windows服務(wù)是由服務(wù)控制管理器(SCM)管理的一些程序，SCM包含已安裝服務(wù)的數(shù)據(jù)庫(kù)，負(fù)責(zé)管理每項(xiàng)服務(wù)的狀態(tài)。

二、高權(quán)限意味著高風(fēng)險(xiǎn)

在以前的Windows操作系統(tǒng)中，大多數(shù)服務(wù)在“本地系統(tǒng)”賬戶下運(yùn)行，該賬戶擁有高級(jí)別的權(quán)限。這意味著，萬(wàn)一服務(wù)受到危及，攻擊者就可能造成重大破壞，因?yàn)樗麄儙缀蹩梢栽L問(wèn)一切。

三、以盡可能低的權(quán)限運(yùn)行服務(wù)

在Vista和Longhorn中，用來(lái)在“本地系統(tǒng)”賬戶下運(yùn)行的許多服務(wù)如今在“網(wǎng)絡(luò)服務(wù)”或“本地服務(wù)”賬戶下運(yùn)行，這兩個(gè)賬戶的權(quán)限級(jí)別比較低。服務(wù)不需要的任何權(quán)限都被取消，這有助于縮小攻擊面。

四、用“隔離”技術(shù)保護(hù)服務(wù)

隔離技術(shù)包括Session 0隔離，這可以阻止用戶的應(yīng)用程序在Session 0中運(yùn)行，這可以保護(hù)服務(wù)遠(yuǎn)離其他程序的操作。

五、為每項(xiàng)服務(wù)分配安全識(shí)別符

為每項(xiàng)服務(wù)分配SID讓服務(wù)可以彼此隔離開(kāi)來(lái)，并使操作系統(tǒng)能夠應(yīng)用Windows訪問(wèn)控制模型，從而限制服務(wù)對(duì)資源的訪問(wèn)，這與限制用戶和用戶組賬戶的訪問(wèn)采用的方式一樣。

六、訪問(wèn)控制列表可用于服務(wù)

ACL是一組訪問(wèn)控制條目(ACE)。網(wǎng)絡(luò)上的每項(xiàng)資源都有一個(gè)安全描述符，包含分配給它的ACL。定義誰(shuí)可以訪問(wèn)該資源的許可權(quán)保存在ACL里面。

七、將網(wǎng)絡(luò)防火墻策略用于服務(wù)

該策略與服務(wù)的SID相關(guān)聯(lián)，因而用戶可以控制如何允許服務(wù)訪問(wèn)網(wǎng)絡(luò)、防止它以不應(yīng)該的方式使用網(wǎng)絡(luò)。

八、可以限制特定服務(wù)，那樣它們就無(wú)法編輯注冊(cè)表、寫入系統(tǒng)文件及進(jìn)行其他操作

如果某服務(wù)需要執(zhí)行上述操作才能正常使用，那么可以限制它，以便它只能寫入到注冊(cè)表或者文件系統(tǒng)的特定區(qū)域。也可以防止服務(wù)改動(dòng)配置設(shè)置、執(zhí)行有可能被攻擊者利用的其他操作。

九、每項(xiàng)服務(wù)事先被分配了服務(wù)加固配置文件

該配置文件定義了服務(wù)可以執(zhí)行哪些操作?；谠撆渲梦募?，SCM只為服務(wù)分配必要的權(quán)限。這一切都以透明方式進(jìn)行，不需要任何配置或者管理開(kāi)銷。

十、服務(wù)加固不能阻止攻擊者危及服務(wù)安全

Windows防火墻及其他保護(hù)層倒是旨在防止這種攻擊。服務(wù)加固的目的是，萬(wàn)一服務(wù)果真受到危及，就盡量減小破壞程度。它通過(guò)Vista的多層安全策略來(lái)提高內(nèi)層保護(hù)。

微軟的網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP)允許用戶監(jiān)控試圖連接到網(wǎng)絡(luò)的所有計(jì)算機(jī)(而不僅僅是遠(yuǎn)程訪問(wèn)客戶機(jī))的安全狀況，并且確保它們符合安全策略。