在新增了一些安全特性的同时,Windows XP还改进了Windows 2000中原有的一些安全特性。本章将会对域环境中Windows XP的这些安全特性做一概述,不过这其中并不包括独立工作站的Windows XP系统。
增强的安全特性
以下这些安全特性是来自Windows 2000并在XP中得到加强的:
Everyone 组的关系
在Windows NT和Windows 2000中,系统内建的Everyone组包括匿名用户(空连接),这意味着任何一个空连接都有等同于Everyone组的访问权限。默认情况下,Windows XP中的Everyone组不再包括匿名用户。
可管理的所有权
在Windows NT和Windows 2000中,任何由Administrators组成员创建的对象都会自动给所有Administrators组成员指派所有权。在Windows XP中,Administrators组的成员可以创建仅自己具有所有权的对象。
打印机的安装
在Windows XP中,只有属于Power Users组或者Administrators组的成员才有安装本地打印机的权限。除此之外,用户还必须有装载/卸载设备驱动程序的权限。
注意:默认情况下Administrators组成员已经有了装载/卸载设备驱动程序的权限。
空密码限制
Windows XP的本地账户如果没有密码那就只能用控制台登录,而不能通过网络登录。
注意:该限制不对域账户生效,同时也不影响Guest账户。若Guest账户被启用并且使用了空密码,那任何人都可以使用该账户远程登录系统并获得Guest的访问权限。
Convert.exe
在Windows NT和Windows 2000中,使用命令行工具convert.exe把FAT32文件系统的硬盘分区转换为NTFS文件系统后,会导致Everyone组对整个硬盘分区具有完全控制的权限。然而在Windows XP中,convert.exe会在文件系统转换完成后自动给整个分区设置系统默认的NTFS权限。
子系统
Windows NT和Windows 2000对OS/2和POSIX子系统提供了支持。然而Windows XP不再支持这些子系统,对POSIX的支持现在包含在Microsoft Windows Interix 2.2中,详细信息请访问这里。
加密文件系统
加密文件系统(Encrypting File System,EFS)允许用户加密文件和文件夹或者整个硬盘分区。Windows XP中的EFS包括了以下一些新特性:
·其他用户可以通过授权访问被加密的文件
·离线文件也可以被加密
·数据恢复代理是可选的
·triple-DES (3DES)加密算法可以用来取代DESX
·密码重设盘可以重设一个用户的密码
·加密过的文件可以保存在Web文件夹中
新增的安全特性
本段将讨论Windows XP中新增的安全特性。
软件限制策略
有越来越多间谍程序通过互联网传播,大量蠕虫病毒通过电子邮件传播,这些程序可能会收集用户的私人信息或者直接使电脑系统崩溃。现在Windows XP提供了一种全新的机制,使得管理员可以决定哪些程序是可信赖的而哪些是不可信赖的。
通过软件限制策略,可以通过配置如下类型的规则禁止一个软件运行:
·路径–可以通过存储路径决定一个应用程序是否允许被运行,路经规则还可以包含通配符,例如通过指定*.vbs就可以禁止所有的VB脚本运行。
·Hash–可以通过应用程序文件的Hash值决定一个程序是否被允许运行,文件的Hash值是与文件本身的内容以及标识符相关的,如果一个文件被使用某种方法修改过,那么文件的Hash值就会发生变化。
·证书–通过检查随应用程序附带的证书可以决定一个程序是否被允许运行。
·Internet 区域–应用程序可以根据下载它们的网站所在的Internet区域的不同而设置是否允许被运行,以下区域都可以指定:Internet、本地Intranet、受限制的站点、受信任的站点,还有我的电脑。但是这些规则仅对使用Windows Installer安装技术安装的软件生效。
·强制属性–决定软件库文件(包含常见变量和函数定义的文件)是否包含在软件限制策略中。同时这个选项也可以避免软件限制策略被应用到本地Administrators组成员。
·特定的文件类型–允许对可执行代码的文件类型进行增加或者减少。
·被信任的发行商–决定哪个用户可以选择被信任的发行商。
新的服务账户
为了运行特定的服务,两个新的服务账户Network Service和Local Service取代了原来的LocalSystem,以下将会就此问题详细说明。
LocalSystem 账户
LocalSystem是预设的拥有本机所有权限的本地账户,这个账户跟通常的用户账户没有任何关联,也没有用户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MacHINESecurity键,当LocalSystem访问网络资源时,它是作为计算机的域账户使用的。
举例来说,以LocalSystem账户运行的服务主要有:WindowsUpdate ClIEnt、 Clipbook、Com+、DHCP Client、Messenger Service、Task Scheduler、Server Service、Workstation Service,还有Windows Installer。
Network Service 账户
Network Service账户是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、Everyone组,还有认证用户有权限访问的资源。
举例来说,以Network Service账户运行的服务主要有:Distributed Transaction Coordinator、DNS Client、Performance Logs and Alerts,还有RPC Locator。
Local Service 账户
Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。Local Service账户通常可以访问Local Service、Everyone组还有认证用户有权限访问的资源。
举例来说,以Local Service账户运行的服务主要有:Alerter、Remote Registry、Smart Card、SSDP,还有WebClient。