| Windows Server 2003安全性方面的一些改进 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
作者: Sowhat 转自:安全焦点论坛
算是对Mikhow下面文章的摘要,具体的可以查看MSDN
Development Impacts of Security Changes in Windows Server 2003
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure09112003.asp
Michael Howard
Secure Windows Initiative
June 16, 2003
1.IIS 6.0不再以SYSTEM权限运行任何用户代码,改用低权限的Network Service帐户
2.只有admin才能impersonation。2003上的命名管道劫持vulns就彻底被扼杀了?
3.dll文件搜索的顺序变了。不再是先搜索当前目录了。而是先搜索所有的系统目录,再搜索
当前目录,最后才是各种用户指定的路径
主要是用来对付某些trojan攻击,不过也会带来一些负面效果,呵呵。
还有这个SetDllDirectory函数,看MSDN上说,调用这个函数后,dll文件的搜索顺序应该是:
当前路径->SetDllDirectory指定的路径->GetSystemDrectory->16为系统路径->GetWindowsDirectory->PATH环境变量中指定的路径
4.IE的安全性大大提高
5.根目录的ACL增强。以前系统根目录是Everyone:F,嘎危险啊。现在是:
Admin, SYS, Creator – Full Control
Everyone – Read/Execute
Users – Read/Execute
Create Folders/Append Data (this and sub folders)
Create Files/Write Data (sub folders)
6.共享的ACL也从Everyone:F改为Everyone:Read
7.事件日志的ACL更严格了。而且你可以通过下面这个键来修改这些ACL
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
如果要修改系统日志的ACL,就修改对应的
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
项,应该以SDDL语法格式描述:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)
(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
更多关于SDDL的介绍:_descriptor_string_format.asp">http://msdn.microsoft.com/library/en-us/security/security/security_descriptor_string_format.asp
8.限制远程执行控制台程序。
这个对某些人还是有些影响的,呵呵。一些比较重要的控制台程序的ACL设置的比较严格,比如cmd.exe
比较一下WIN2K和2003下cmd.exe的ACL就知道了:
Windows 2000
Administrators (Full Control)
System (Full Control)
Users (Read & Execute)
Windows Server 2003
Administrators (Full Control)
System (Full Control)
Interactive (Read & Execute)
Services (Read & Execute)
怎么样?只有Interactive用户才可以执行 :)
9.还有对内存中数据的加密。这个开发人员应该多关心一下,黑人就不用了,你只要知道你的findpass不能用了就行了。
 |
|
| 上一篇文章: 在网吧如何防止病毒和快速杀毒 |
| 下一篇文章: 局域网共享资源安全防护大全 |
|
|
|
|
