一、SCM管理服務(wù)

Windows服務(wù)是由服務(wù)控制管理器(SCM)管理的一些程序，SCM包含已安裝服務(wù)的數(shù)據(jù)庫，負(fù)責(zé)管理每項服務(wù)的狀態(tài)。

二、高權(quán)限意味著高風(fēng)險

在以前的Windows操作系統(tǒng)中，大多數(shù)服務(wù)在“本地系統(tǒng)”賬戶下運行，該賬戶擁有高級別的權(quán)限。這意味著，萬一服務(wù)受到危及，攻擊者就可能造成重大破壞，因為他們幾乎可以訪問一切。

三、以盡可能低的權(quán)限運行服務(wù)

在Vista和Longhorn中，用來在“本地系統(tǒng)”賬戶下運行的許多服務(wù)如今在“網(wǎng)絡(luò)服務(wù)”或“本地服務(wù)”賬戶下運行，這兩個賬戶的權(quán)限級別比較低。服務(wù)不需要的任何權(quán)限都被取消，這有助于縮小攻擊面。

四、用“隔離”技術(shù)保護(hù)服務(wù)

隔離技術(shù)包括Session 0隔離，這可以阻止用戶的應(yīng)用程序在Session 0中運行，這可以保護(hù)服務(wù)遠(yuǎn)離其他程序的操作。

五、為每項服務(wù)分配安全識別符

為每項服務(wù)分配SID讓服務(wù)可以彼此隔離開來，并使操作系統(tǒng)能夠應(yīng)用Windows訪問控制模型，從而限制服務(wù)對資源的訪問，這與限制用戶和用戶組賬戶的訪問采用的方式一樣。

六、訪問控制列表可用于服務(wù)

ACL是一組訪問控制條目(ACE)。網(wǎng)絡(luò)上的每項資源都有一個安全描述符，包含分配給它的ACL。定義誰可以訪問該資源的許可權(quán)保存在ACL里面。

七、將網(wǎng)絡(luò)防火墻策略用于服務(wù)

該策略與服務(wù)的SID相關(guān)聯(lián)，因而用戶可以控制如何允許服務(wù)訪問網(wǎng)絡(luò)、防止它以不應(yīng)該的方式使用網(wǎng)絡(luò)。

八、可以限制特定服務(wù)，那樣它們就無法編輯注冊表、寫入系統(tǒng)文件及進(jìn)行其他操作

如果某服務(wù)需要執(zhí)行上述操作才能正常使用，那么可以限制它，以便它只能寫入到注冊表或者文件系統(tǒng)的特定區(qū)域。也可以防止服務(wù)改動配置設(shè)置、執(zhí)行有可能被攻擊者利用的其他操作。

九、每項服務(wù)事先被分配了服務(wù)加固配置文件

該配置文件定義了服務(wù)可以執(zhí)行哪些操作。基于該配置文件，SCM只為服務(wù)分配必要的權(quán)限。這一切都以透明方式進(jìn)行，不需要任何配置或者管理開銷。

十、服務(wù)加固不能阻止攻擊者危及服務(wù)安全

Windows防火墻及其他保護(hù)層倒是旨在防止這種攻擊。服務(wù)加固的目的是，萬一服務(wù)果真受到危及，就盡量減小破壞程度。它通過Vista的多層安全策略來提高內(nèi)層保護(hù)。

微軟的網(wǎng)絡(luò)訪問保護(hù)(NAP)允許用戶監(jiān)控試圖連接到網(wǎng)絡(luò)的所有計算機(jī)(而不僅僅是遠(yuǎn)程訪問客戶機(jī))的安全狀況，并且確保它們符合安全策略。