创建一个虚拟服务帐户非常简单。打开服务控制台(Services .msc)并修改服务的登录帐户名,使其与服务的短名称相同,例如恩。NT SERVICE \服务名称$。然后重新启动该服务。而已。
当基础设施能够支持的话,可以考虑使用托管和虚拟服务帐户的功能来管理服务帐户密码的安全性。
AppLocker应用程序控制恶意软件感染的主要原因可能会让你大吃一惊。由于缺少补丁(尽管这是第二大原因)、没有打补丁的零天数(几乎从来不是一个因素)、驱动程序下载或错误配置,大多数机器都没有被利用。不,大多数系统被感染是因为用户被欺骗,故意安装网站或电子邮件说他们需要的程序。这些社会工程木马以反病毒扫描器、媒体播放器所需的编解码器、假补丁和几乎任何其他诱饵的形式出现,坏人可以编造诱饵来引诱终端用户安装他们的木马可执行程序。
在企业环境中挫败这些威胁的最有效的手段是防止最终用户安装未经批准的程序。如果你离开的决定最多的最终用户,他们几乎总是做出错误的选择。如果他们没有,恶意软件几乎不会共同因为它是今天。
微软最先进的解决问题的方法是AppLocker的,包含在Windows 7(旗舰版和企业版)和Windows Server 2008 R2的应用控制功能。AppLocker的是在使用Windows XP专业版推出的软件限制策略(SRP)的改善。AppLocker的允许您根据文件定义应用程序的执行规则和例外属性,如道路,出版商,产品名称,文件名,文件版本,等等。您可以通过Active Directory然后分配政策,以计算机,用户,安全组和组织单位。
配置AppLocker。您可以使用本地计算机策略对象(gpedit.msc)或通过Active Directory和组策略对象(GPOs)在本地配置AppLocker。AppLocker依赖于内置的应用程序标识服务,默认情况下该服务通常设置为手动启动类型。管理员应该将服务配置为自动启动。
在本地或组策略对象中,AppLocker是在\计算机配置\Windows设置\安全设置\应用程序控制策略容器下启用和配置的。
默认情况下,AppLocker规则不允许用户打开或运行未明确允许的任何文件。首次测试将允许的AppLocker创建“安全规则”使用创建默认规则选项默认设置中受益。默认的规则授权在Windows和程序文件的所有文件来看,随着Administrators组运行任何东西让成员一起。
其中一个在SRP最显着的改进是使用自动生成规则选项对任何一台计算机上运行的AppLocker能够快速创建基准一套规则的能力。过了几分钟,几十到几百的规则可以对已知的干净图像制作,随时随地节约管理员从数小时到数天。
遵守规则。AppLocker的支持四种类型的规则的集合:可执行文件,DLL,Windows安装程序,并脚本。SRP管理员会发现,微软不再有注册规则或Internet区域选项。每个规则集涵盖了一组有限的文件类型。例如,可执行规则涵盖32位和64位和.EXE文件.COMs;所有的16位应用程序可以通过防止执行ntdvm.exe过程被阻塞。脚本规则涵盖.VBS,.JS,.PS1,.CMD和.bat的文件类型。DLL规则集合覆盖.DLL文件(包括静态链接库)和OCX控件。
如果特定规则集合不存在AppLocker规则,共享相同格式的所有文件都被允许运行。但是,一旦建立特定集合的规则,只有文件明确允许在规则中可以执行。例如,如果您创建可执行规则,允许在.exe文件% SystemDrive % \ FilePath至来看,只有位于该路径可执行文件被允许运行。
AppLocker为每个规则集合支持三种类型的规则条件:路径规则、文件散列规则和发布规则。任何规则条件都可以用于允许或拒绝执行,并且可以为特定的用户或组定义它。路径和文件哈希规则是不言自明的;两者都接受通配符。发布规则相当灵活,允许任何数字签名文件的多个字段与特定值或通配符匹配。通过使用AppLocker GUI中的一个方便的滑动条,您可以快速地用通配符替换特定的值。每个新规则都方便地允许出现一个或多个异常。默认情况下,发布者规则会将文件的更新版本视为与原始版本相同,或者您可以强制执行精确匹配。
规则的例外。如果需要为不在AppLocker的策略表中定义的文件类型制定规则,则必须使用一些创造力来获得预期的效果。例如,为了防止扩展名为. pl的Perl脚本文件执行,您必须创建一个可执行规则来阻止Perl.exe脚本解释器。这将阻塞或允许所有Perl脚本,并需要一些智谋来获得更细粒度的控制。这不是一个独特的问题,因为许多其他应用程序控制产品也有类似的限制。
AppLocker的配置和规则可以很容易地导入和导出为可读的XML文件。另外,在紧急情况下可以快速清除规则,并且可以使用Windows PowerShell管理一切。报告和警报仅限于从正常事件日志中提取的内容。但即使有这些限制,AppLocker还是为最新的微软商店提供了一种有效的方法,防止用户的错误影响到他们的机器,更不用说公司的网络了。
软件制造商经常牺牲一些安全可用性的缘故,而微软也不例外。我已经建立了上教人如何在其默认状态硬化Microsoft Windows的职业生涯。但随着Windows 7中,最老的建议是没有存在的必要。微软现在提供了一个产品,是显著更安全的开箱即用。管理员不必下载NSA安全模板或修改系统以任何方式使用户相当从一开始就固定。在大多数情况下,他们只需要知道哪些安全功能,微软提供,以及如何把他们的工作。
更多的Windows善:
- 顶级免费的Windows故障排除工具
- 更伟大的免费故障排除工具为Windows
- 排名前10位的Windows工具的IT专业人员
- 最好的免费开源软件的Windows
- 下载InfoWorld的Windows 7的深潜报告
这个故事, ”最终引导到Windows 7的安全性”,最初发表于InfoWorld.com。按照最新的发展视窗,Windows 7和安全在InfoWorld.com上。
阅读更多关于安全中心的信息在InfoWorld的安全中心频道。
这个故事,“最终引导到Windows 7安全”最初发表信息世界 。