La sicurezza di calcolatore del Windows Vista

Per migliorare la sicurezza di calcolatore e per indurire il sistema operativo contro l'attacco, Windows Vista modifica molte zone della configurazione di sicurezza del calcolatore locale. Alcuni dei cambiamenti più ampi riguardano le regolazioni di sicurezza per le politiche locali, che possono essere dirette con la politica attiva del gruppo dell'indice o con la politica del gruppo locale. Per dirigere la politica attiva del gruppo dell'indice, potete utilizzare il redattore dell'oggetto di politica del gruppo o la sezione comandi di amministrazione di politica del gruppo. Per dirigere la politica del gruppo locale su un calcolatore locale, potete accedere alle regolazioni di sicurezza usando la sezione comandi di amministrazione di configurazione di sicurezza. Le sezioni che seguono discutono i cambiamenti alla politica di verifica, all'assegnazione di diritti di utente ed alle opzioni di sicurezza.

Cambi politici di navigazione di verifica

La politica di verifica è usata per raccogliere le informazioni per quanto riguarda uso di privilegio e delle risorse. Permettendo alle politiche di verifica, potete configurare la sicurezza che annota per seguire gli eventi importanti di sicurezza, come quando un utente entra al calcolatore o quando un utente cambia le regolazioni di cliente.

Potete seguire questi punti per accedere alla politica di verifica nella sezione comandi delle regolazioni di sicurezza locale:

Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.
Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.
Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di politica di verifica.

La tabella sotto i rovides che di p una descrizione della configurazione di politica di verifica di difetto ha utilizzato in Windows Xp ed in Windows Vista. Come la tabella mostra, in Windows Xp, verificante non è permessa a per difetto. In Windows Vista, tuttavia, i riusciti inizio attività sono seguiti per tutti i tipi di clienti.

Paragone della politica di verifica in Windows Xp e Windows Vista
Politica	Regolazione di sicurezza di difetto in Windows Xp	Regolazione di sicurezza di difetto in Windows Vista
Eventi di inizio attività di cliente di verifica	Nessuna verifica	Successo
Amministrazione di cliente di verifica	Nessuna verifica	Nessuna verifica
Accesso di servizio d'informazione di verifica	Nessuna verifica	Nessuna verifica
Eventi di inizio attività di verifica	Nessuna verifica	Successo
Accesso dell'oggetto di verifica	Nessuna verifica	Nessuna verifica
Cambio politico di verifica	Nessuna verifica	Nessuna verifica
Uso di privilegio di verifica	Nessuna verifica	Nessuna verifica
Inseguimento di processo di verifica	Nessuna verifica	Nessuna verifica
Eventi di sistema di verifica	Nessuna verifica	Nessuna verifica

Cambiamenti di navigazione di assegnazione di diritti di utente

Le politiche di assegnazione di diritti di utente determinano che cosa un utente o un gruppo può fare su un calcolatore. Segua questi punti per accedere alle politiche di assegnazione di diritti di utente nella sezione comandi delle regolazioni di sicurezza locale:

Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.
Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.
Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di assegnazione di diritti di utente.

Come la tabella sotto le esposizioni, i diritti di utente di difetto sono cambiato sostanzialmente fra Windows Xp e Windows Vista. Un motivo chiave per questi cambia riguarda controllo di cliente di utente. Il controllo di cliente di utente assicura un nuovo strato della protezione per i calcolatori accertandosi che ci sia la separazione allineare di clienti del coordinatore e dell'utente. A causa di controllo di cliente di utente, ci sono molti cambiamenti all'assegnazione di diritti di utente in Windows Vista.

Paragone dell'assegnazione di diritti di utente in Windows Xp e Windows Vista
Politica	Regolazione di sicurezza di difetto in Windows Xp	Regolazione di sicurezza in Windows Vista
Accedi al responsabile credenziale come visitatore di fiducia	Non applicabile	Nessuna regolazione di difetto
Accedi a questo calcolatore dalla rete	Tutto, coordinatori, utenti, utenti di potere, operatori di sostegno	Tutto, coordinatori, utenti, operatori di sostegno
Atto come componente del sistema operativo	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Aggiunga le stazioni di lavoro al dominio	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Registri le quote di memoria per ottenere un processo	SERVIZIO LOCALE, SERVIZIO IN RETE, coordinatori	SERVIZIO LOCALE, SERVIZIO IN RETE, coordinatori
Permetta l'inizio attività localmente	Non applicabile	Ospite, coordinatori, utenti, operatori di sostegno
Permetta l'inizio attività con i servizi terminali	Coordinatori, utenti da tavolino a distanza	Coordinatori, utenti da tavolino a distanza
Lime di sostegno ed indici	Coordinatori, operatori di sostegno	Coordinatori, operatori di sostegno
Controllo della traversa di esclusione	Tutto, coordinatori, utenti, utenti di potere, operatori di sostegno	Tutto, coordinatori, utenti, operatori di sostegno
Cambi il tempo di sistema	Coordinatori, utenti di potere	SERVIZIO LOCALE, coordinatori
Cambi la fascia oraria	Non applicabile	SERVIZIO LOCALE, coordinatori, utenti
Generi un Pagefile	Coordinatori	Coordinatori
Generi un oggetto simbolico	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Generi gli oggetti globali	Coordinatori, INTERATTIVI, SERVIZIO	Coordinatori, SERVIZIO
Generi gli oggetti comuni permanenti	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Generi i collegamenti simbolici	Nessuna regolazione di difetto	Coordinatori
Metta a punto i programmi	Coordinatori	Coordinatori
Neghi l'accesso a questo calcolatore dalla rete	SUPPORTO, ospite	Ospite
Neghi l'inizio attività come job tipo batch	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Neghi l'inizio attività come servizio	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Neghi l'inizio attività localmente	SUPPORTO, ospite	Ospite
Neghi l'inizio attività con i servizi terminali	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Permetta ai clienti di utente e del calcolatore da fidarsi di per la delegazione	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Arresto della forza da un sistema a distanza	Coordinatori	Coordinatori
Generi le verifiche di sicurezza	SERVIZIO LOCALE, SERVIZIO IN RETE	SERVIZIO LOCALE, SERVIZIO IN RETE
Impersonate un cliente dopo l'autenticazione	Coordinatori, SERVIZIO	Coordinatori, SERVIZIO
Aumenti un insieme di funzionamento trattato	Nessuna regolazione di difetto	Utenti
Aumenti la priorità di Scheduling	Coordinatori	Coordinatori
Carichi e scarichi i driver di dispositivo	Coordinatori	Coordinatori
Chiuda le pagine a chiave nella memoria	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Inizio attività come job tipo batch	SUPPORTO, coordinatore	Coordinatori, operatori di sostegno
Inizio attività come servizio	SERVIZIO IN RETE
Inizio attività localmente	Ospite, coordinatori, utenti, utenti di potere, operatori di sostegno	Non applicabile
Diriga il ceppo di sicurezza e di verifica	Coordinatori	Coordinatori
Modifichi un'etichetta dell'oggetto	Non applicabile	Nessuna regolazione di difetto
Modifichi i valori dell'ambiente dei firmware	Coordinatori	Coordinatori
Effettui le attività di manutenzione del volume	Coordinatori	Coordinatori
Singolo processo di profilo	Coordinatori, utenti di potere	Coordinatori
Prestazione di sistema di profilo	Coordinatori	Coordinatori
Rimuova il calcolatore dalla stazione di aggancio	Coordinatori, utenti, utenti di potere	Coordinatori, utenti
Sostituisca un segno livellato trattato	SERVIZIO LOCALE, SERVIZIO IN RETE	SERVIZIO LOCALE, SERVIZIO IN RETE
Lime ed indici di restauro	Coordinatori, operatori di sostegno	Coordinatori, operatori di sostegno
Interrompa il sistema	Coordinatori, utenti, utenti di potere, operatori di sostegno	Coordinatori, utenti, operatori di sostegno
Sincronizzi i dati di servizio d'informazione	Nessuna regolazione di difetto	Nessuna regolazione di difetto
Prenda la proprietà delle lime o di altri oggetti	Coordinatori	Coordinatori

Quando confrontate i diritti di utente assegnati in Windows Vista a quelli assegnati in Windows Xp, vederete molti cambiamenti. Windows Vista ha eliminato il gruppo di utenti di potere ed ora effettua questo gruppo soltanto per la compatibilità a rovescio con le applicazioni dell'eredità. Di conseguenza, il gruppo di utenti di potere non è assegnato i diritti di utente in Windows Vista.

Windows Vista comprende parecchi nuovi diritti di utente, includenti:

Accedi al responsabile credenziale come un visitatore di fiducia permette un utente o raggruppi per stabilire un collegamento di fiducia al responsabile credenziale. In Windows Vista, il responsabile credenziale è usato per dirigere le credenziali dell'utente. Lle credenziali sono un'associazione di tutte le informazioni state necessarie per il collegamento e che sono autenticate su un assistente particolare o ad un luogo particolare, quali un nome di utente e una parola d'accesso o un certificato. Le credenziali forniscono l'identificazione e la prova dell'identificazione. Gli esempi delle credenziali sono nomi e parole d'accesso di utente, Smart Card e certificati.
Permetta l'inizio attività localmente permette che un utente o un gruppo entri alla tastiera. Questa destra di utente originale è stata chiamata inizio attività localmente ed è stata cambiata titolo in Windows Vista in modo che ci fosse ora sia permettesse l'inizio attività localmente che negasse i diritti di utente di inizio attività localmente.
Cambi la fascia oraria permette un utente o raggruppano per cambiare la fascia oraria. Poichè gli utenti hanno questa destra per difetto, gli utenti possono cambiare la fascia oraria del calcolatore senza usando i privilegi del coordinatore.

In Windows Vista, utente-o più specificamente, i processi iniziati vicino utente-possono ora aumentare l'insieme di funzionamento per un processo. Questo cambiamento è importante per le applicazioni che funzionano usando le credenziali standard dell'utente. Perché? L'insieme di funzionamento di un processo è la quantità di memoria fisica assegnata a quel processo dal sistema operativo. Windows Vista limita le mansioni che le applicazioni possono effettuare e le zone di sistema a cui possono scrivere. Se i privilegi dell'utente non potessero essere usati per aumentare l'insieme di funzionamento di un processo, un'applicazione che funziona nel modo standard dell'utente potrebbe funzionare dalla memoria.

Cambiamenti di navigazione di opzioni di sicurezza

Le opzioni di sicurezza permettono o rendono invalide alle regolazioni di sicurezza per un calcolatore. Segua questi punti per accedere alle opzioni di sicurezza nella sezione comandi delle regolazioni di sicurezza locale:

Scatti l'inizio, il punto a tutti i programmi, accessori ed allora scatti il funzionamento.
Scriv secpol.msc a macchina nella casella di testo aperta ed allora scatti l'APPROVAZIONE.
Espanda il locale sorveglia il nodo nella lastra di vetro di sinistra ed allora scattano il nodo di opzioni di sicurezza.

Come la tabella sotto le esposizioni, le opzioni di sicurezza di difetto sono cambiato sostanzialmente fra Windows Xp e Windows Vista. Come con l'assegnazione di diritti di utente, molti dei cambiamenti sono a causa di controllo di cliente di utente

Paragone delle opzioni di sicurezza in Windows Xp e Windows Vista
Politica	Regolazione di sicurezza di difetto in Windows Xp	Regolazione di sicurezza in Windows Vista
Clienti: Condizione di cliente del coordinatore	Non applicabile	Permesso a
Clienti: Condizione di cliente dell'ospite	Non applicabile	Ha reso invalida
Clienti: Uso locale di cliente di limite delle parole d'accesso in bianco consolare inizio attività soltanto	Permesso a	Permesso a
Clienti: Cambi titolo il cliente del coordinatore	Coordinatore	Coordinatore
Clienti: Cambi titolo il cliente dell'ospite	Ospite	Ospite
Verifica: Verifichi l'accesso degli oggetti di Global System	Ha reso invalido	Ha reso invalido
Verifica: Verifichi l'uso del privilegio di restauro e di sostegno	Ha reso invalido	Ha reso invalido
Verifica: Sistema interrotto immediatamente se incapace di annotare le verifiche di sicurezza	Ha reso invalida	Ha reso invalida
DCOM: Limitazioni di accesso della macchina in sintassi di lingua di definizione di descrittore di sicurezza (SDDL)	Non definito	Non definito
DCOM: Limitazioni del lancio della macchina in sintassi di lingua di definizione di descrittore di sicurezza (SDDL)	Non definito	Non definito
Dispositivi: Concedi si sganciano senza dovere entrare	Permesso a	Permesso a
Dispositivi: Ha conceduto formattare ed espellere i mezzi smontabili	Coordinatori	Non definito
Dispositivi: Impedisca agli utenti di installare i driver di stampatore	Ha reso invalido	Ha reso invalido
Dispositivi: Limiti l'accesso del CD-ROM a localmente Annotare-sull'utente soltanto	Ha reso invalido	Non definito
Dispositivi: Limiti l'accesso floscio a localmente Annotare-sull'utente soltanto	Ha reso invalido	Non definito
Dispositivi: Comportamento senza firma dell'installazione del driver	Avverta ma permetta l'installazione	Riesca silenziosamente
Regolatore di dominio: Permetta che gli operatori dell'assistente programmino le mansioni	Non definito	Non definito
Regolatore di dominio: Requisiti di sign dell'assistente di LDAP	Non definito	Non definito
Regolatore di dominio: Cambiamenti di parola d'accesso di cliente di macchina dei rifiuti	Non definito	Non definito
Membro di dominio: Digital cifra o firma assicura i dati della Manica (sempre)	Permesso a	Permesso a
Membro di dominio: Digital cifra assicura i dati della Manica (una volta possibile)	Permesso a	Permesso a
Membro di dominio: Il segno di Digital assicura i dati della Manica (una volta possibile)	Permesso a	Permesso a
Membro di dominio: Cambiamenti di parola d'accesso di cliente di macchina di Disable	Ha reso invalida	Ha reso invalida
Membro di dominio: Età massima di parola d'accesso di cliente di macchina	30 giorni	30 giorni
Membro di dominio: Richieda la forte (Windows 2000 o più successivamente) chiave di sessione	Ha reso invalida	Ha reso invalida
Inizio attività interattivo: Non visualizzi l'ultimo nome di utente	Ha reso invalido	Ha reso invalido
Inizio attività interattivo: Non richieda Ctrl+Alt+Del	Non definito	Non definito
Inizio attività interattivo: Testo di messaggio per gli utenti che tentano di entrare
Inizio attività interattivo: Titolo del messaggio per gli utenti che tentano di entrare	Non definito	Non definito
Inizio attività interattivo: Numero degli inizio attività precedenti al nascondiglio (nel caso il regolatore di dominio non sia disponibile)	10 inizio attività	10 inizio attività
Inizio attività interattivo: Utente rapido per cambiare parola d'accesso prima della scadenza	14 giorni	14 giorni
Inizio attività interattivo: Richieda l'autenticazione del regolatore di dominio di sbloccare la stazione di lavoro	Ha reso invalida	Ha reso invalida
Inizio attività interattivo: Richieda lo Smart Card	Non definito	Ha reso invalido
Inizio attività interattivo: Comportamento di rimozione dello Smart Card	Nessun'azione	Nessun'azione
Cliente della rete di Microsoft: Comunicazioni del segno di Digital (sempre)	Ha reso invalido	Ha reso invalido
Cliente della rete di Microsoft: Comunicazioni del segno di Digital (se l'assistente accosente)	Permesso a	Permesso a
Cliente della rete di Microsoft: Trasmetta la parola d'accesso Unencrypted agli assistenti di terzi di SMB	Ha reso invalido	Ha reso invalido
Servizio rete di Microsoft: Quantità di tempo richiesto al minimo prima della sospensione della sessione	15 minuti	15 minuti
Servizio rete di Microsoft: Comunicazioni del segno di Digital (sempre)	Ha reso invalido	Ha reso invalido
Servizio rete di Microsoft: Comunicazioni del segno di Digital (se il cliente accosente)	Ha reso invalido	Ha reso invalido
Servizio rete di Microsoft: Stacchi i clienti quando le ore di inizio attività espirano	Permesso a	Permesso a
Accesso di rete: Permetta la traduzione anonima di SID/Name	Non applicabile	Ha reso invalida
Accesso di rete: Non permetta l'enumerazione anonima dei clienti del SAM	Permesso a	Permesso a
Accesso di rete: Non permetta l'enumerazione anonima dei clienti e delle parti del SAM	Ha reso invalido	Ha reso invalido
Accesso di rete: Non permetta l'immagazzinaggio delle credenziali o dei passaporti di .NET per l'autenticazione della rete	Ha reso invalida	Ha reso invalida
Accesso di rete: Lasciato tutto i permessi si applicano agli utenti anonimi	Ha reso invalido	Ha reso invalido
Accesso di rete: Canali denominati che possono essere raggiunti anonimo	COMNAP, COMNODE, SQL \ DOMANDA, SPOOLSS, LLSRPC, browser	SQL \ DOMANDA, SPOOLSS, Netlogon, Lsarpc, Samr, browser
Accesso di rete: Percorsi a distanza accessibili di registrazione	(Percorsi multipli definiti come accessibili)	Non definito
Accesso di rete: Percorsi e Secondario-Percorsi a distanza accessibili di registrazione	Non applicabile	Non definito
Accesso di rete: Limiti l'accesso anonimo ai canali denominati ed alle parti	Non applicabile	Permesso a
Accesso di rete: Parti che possono essere raggiunte anonimo	COMCFG, DFS$
Accesso di rete: Modello di sicurezza e di compartecipazione per i clienti locali	Ospite soltanto - gli utenti locali autenticano come ospite	Classico - gli utenti locali autenticano come essi stessi
Sicurezza della rete: Non memorizzi il valore di Hash del responsabile di lan sul cambiamento seguente di parola d'accesso	Ha reso invalido	Permesso a
Sicurezza della rete: Fine attività della forza quando le ore di inizio attività espirano	Ha reso invalido	Ha reso invalido
Sicurezza della rete: Livello di autenticazione del responsabile di lan	Trasmetta le risposte di NTLM & di LM	Trasmetta la risposta NTLMv2 soltanto
Sicurezza della rete: Requisiti di sign del cliente di LDAP	Negozii la sign	Negozii la sign
Sicurezza della rete: Sicurezza minima di sessione per i clienti basati SSP di NTLM (RPC sicuro compreso)	Nessun minimo	Nessun minimo
Sicurezza della rete: Sicurezza minima di sessione per gli assistenti basati SSP di NTLM (RPC sicuro compreso)	Nessun minimo	Nessun minimo
Sezione comandi di recupero: Permetta l'inizio attività amministrativo automatico	Ha reso invalido	Ha reso invalido
Sezione comandi di recupero: Permetta la copia floscia ed accedi a a tutti gli azionamenti ed a tutti i dispositivi di piegatura	Ha reso invalida	Ha reso invalida
Arresto: Permetta che il sistema sia interrotto senza dovere entrare	Permesso a	Permesso a
Arresto: Memoria virtuale libera Pagefile	Ha reso invalido	Ha reso invalido
Crittografia del sistema: Forte protezione chiave della forza per le chiavi dell'utente immagazzinate sul calcolatore	Non applicabile	Non definito
Crittografia del sistema: Usi le procedure compiacenti di FIP per la crittografia, l'indirizzamento casuale e firmare	Ha reso invalida	Ha reso invalida
Oggetti di sistema: Il proprietario di difetto per gli oggetti ha generato da Members Of che i coordinatori raggruppano	Creatore dell'oggetto	Creatore dell'oggetto
Oggetti di sistema: Richieda l'insensibilità di caso per i sottosistemi di Non-Windows	Permesso a	Permesso a
Oggetti di sistema: Rinforzi i permessi di difetto degli oggetti di sistema interni (per esempio, collegamenti simbolici)	Permesso a	Permesso a
Regolazioni del sistema: Sottosistemi facoltativi	Non applicabile	Posix
Regolazioni del sistema: Usi le regole del certificato su Windows Executables per le politiche di limitazione del software	Non applicabile	Ha reso invalida
Controllo di cliente di utente: Comportamento del richiamo di altezza per i coordinatori nel modo di approvazione di Admin	Non applicabile	Richiamo per consenso
Controllo di cliente di utente: Comportamento del richiamo di altezza per gli utenti standard	Non applicabile	Richiamo per le credenziali
Controllo di cliente di utente: Rilevi le installazioni ed il richiamo di applicazione per l'altezza	Non applicabile	Permesso a
Controllo di cliente di utente: Elevi soltanto Executables che è firmato e convalidato	Non applicabile	Ha reso invalido
Controllo di cliente di utente: Faccia funzionare tutti i coordinatori nel modo di approvazione di Admin	Non applicabile	Permesso a
Controllo di cliente di utente: Commuti al tavolo sicuro quando richiamano per l'altezza	Non applicabile	Permesso a
Controllo di cliente di utente: Virtualizzi la lima e la registrazione scrive i guasti alle posizioni dell'Per-Utente	Non applicabile	Permesso a

Alcuni dei cambiamenti di sicurezza più significativi in Windows Vista riguardano le seguenti regolazioni di difetto per accesso di rete e sicurezza della rete:

L'accesso a distanza di registrazione in Windows Xp, percorsi multipli di registrazione è a distanza accessibile per difetto. In Windows Vista, non ci sono zone della registrazione a distanza accessibili per difetto. Questo cambiamento migliora la sicurezza di registrazione. Ulteriormente, Windows Vista comprende una nuova opzione di sicurezza per dirigere l'accesso ai subpaths di registrazione.
L'accesso anonimo ai canali denominati ed alle parti Windows Vista aggiunge un'opzione di sicurezza per limitare l'accesso anonimo ai canali denominati ed alle parti. Questo cambiamento ostruisce l'accesso anonimo ai canali denominati ed alle parti.
Il modello di sicurezza e di compartecipazione per il local spiega in Windows Xp, il difetto che si riparte ed il modello di sicurezza per i clienti locali è di autenticare gli utenti locali come ospiti. In Windows Vista, gli utenti locali sono autenticati come essi stessi. Questo cambiamento aumenta la sicurezza accertandosi che gli utenti debbano avere permessi adatti accedere a tutte le zone del file system.
Memorizzando i valori di hash del responsabile di lan in Windows Xp, quando un utente cambia una parola d'accesso, il valore di hash del responsabile di lan usato per aiutare nell'autenticazione successiva può essere memorizzato sul calcolatore. Windows Vista assicura che questi valori di hash non siano memorizzati sul calcolatore. Ciò migliora la sicurezza richiedendo ad un utente di ottenere un nuovo valore di hash in qualsiasi momento una parola d'accesso è cambiata.
L'autenticazione del responsabile di lan in Windows Xp, calcolatori del cliente usa l'autenticazione di NTLM e di LM e mai non usa la sicurezza di sessione di versione 2 di NTLM. In Windows Vista, i calcolatori del cliente usano l'autenticazione di versione 2 di NTLM soltanto e possono anche usare la sicurezza di sessione di versione 2 di NTLM se l'assistente la sostiene. Poiché la versione 2 di NTLM è più sicura del LM e di NTLM, il processo di autenticazione è più sicuro

un articolo ha presentato dal muschio del Peter Y.

Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.
Avviso di traduzione: L'articolo la sicurezza di calcolatore del Windows Vista è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che possono accadere. Grazie per la vostra comprensione.