Søg

Den ultimative sikkerhedsguide til Windows 7: Del 5

Læs hvordan du får mest ud af de største sikkerhedsforbedringer i Windows 7. Om managed service accounts, virtual service accounts og programkontrol med App Locker.

29. juni 2010 kl. 12.21
Artikel top billede
Roger A. Grimes Roger A. Grimes

Computerworld News Service:
Managed service accounts. Såkaldte service accounts sættes ofte højt, men er svære at administrere.

Best practice-anbefalingerne lyder, at man ofte ændrer kodeordene for service accounts for at nedsætte risikoen for kodeordsangreb.

Men Windows service accounts kræver ofte to eller flere koordinerede, synkroniserede kodeordsændringer, for at tjenesten kan fortsætte uden afbrydelse.

Forenkle administrationen

Før Windows 7 og Windows Server 2008 R2 var det ikke nogen nem sag at administrere service accounts.

Hvis en service account er slået til som en managed service account, vil Windows overtage kodeordsadministrationen og forenkle administrationen af Kerberos SPN (service principal names).

Ligesom DirectAccess stiller managed service accounts høje krav - heriblandt til en skemaopdatering og obligatorisk anvendelse af PowerShell 2.

Men hvis service accounts er besværlige i dit miljø - og det ved du, de er - så overvej at slå denne nye funktion til, når din infrastruktur er klar.

Virtual service accounts

(VSA'er) er relaterede til managed service account, på den måde, at Windows overtager kodeordsadministrationen.

Men VSA'er er til lokale service accounts og kræver hverken skemaopdatering eller er nær så besværlige at konfigurere og anvende.

Når en VSA kontrollerer en tjeneste, har tjenesten adgang til netværket med computerens identitet (i et domænemiljø), hvilket minder meget om, hvordan de indbyggede LocalSystem- eller network service accounts gør, på nær at VSA'er giver hver tjeneste mulighed for at have sit eget separate sikkerhedsdomæne og tilsvarende isolation.

Nem at oprette

Det er rimeligt let at oprette en virtual service account. Åbn Tjenester (Services.msc), og modificer tjenestens logon-brugernavn, så det er det samme som tjenestens korte navn - såsom NT SERVICE\ServiceName$.

Genstart derefter tjenesten, og så er det gjort.

Hvis din infrastruktur understøtter det, bør du overveje at benytte managed og virtual service accounts til at håndtere kodeordssikkerheden for service accounts.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Programkontol med AppLocker

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Den største årsag til inficeringer kan godt komme som en overraskelse.

De fleste maskiner bliver ikke inficerede på grund af manglende sikkerhedsopdateringer (selvom det er den næststørste årsag), 0-dagssårbarheder (næsten aldrig en faktor) drive-by download eller fejlkonfigurationer.

Nej, de fleste systemer inficeres, fordi brugere bliver narret til selv at installere programmer, som et website eller en e-mail fortæller dem, de har brug for.

Disse trojanske heste, der benytter såkaldt social engineering, kan være forklædt som antivirus-scannere, video-codec til en medieafspiller, falske opdateringer og stort set enhver anden lokkemad, som kriminelle kan finde på for at narre brugere til at installere deres trojanere.

Lad være med at installere programmerne

Den mest effektive måde at undgå disse trusler i et virksomhedsmiljø på er at forhindre slutbrugerne i at installere programmer, der ikke på forhånd er godkendte.

Hvis du lader beslutningen være op til slutbrugerne, vil de ofte vælge forkert.

Hvis det ikke var sandt, så ville malware ikke være lige så udbredt, som det er i dag.
Microsofts mest sofistikerede løsning på problemet er AppLocker.

Det er en funktion til kontrol af applikationer. Den er indbygget i Windows 7 Enterprise og Ultimate samt Windows Server 2008 R2.

AppLocker udgør en forbedring af de Software Restriction Policies (SRP), der blev introduceret i Windows XP Professional.

AppLocker gør det muligt at definere regler og undtagelser for eksekvering af programmer baseret på fil-attributter, såsom sti, udgiver, produktnavn, filnavn, filversion og andre.

Du kan tildele sådanne politikker til computere, brugere, sikkerhedsgrupper og organisatoriske enheder via Active Directory.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Oversat af Thomas Bøndergaard.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    CISO Challenges 2026 - København

    Sikkerhed | Klampenborg

    CISO Challenges 2026 - København

    Computerworld stiller skarpt på, hvordan du som CISO eller sikkerhedsansvarlig, kan leve op til alle krav om sikkerhed og risikostyring, gennem dialog og erfaringsudveksling. Gennem både korte oplæg og rundbordsdiskussioner, vil du blive klædt på...

    Se alle vores events inden for it

    Netcompany A/S

    IT Consultant

    Midtjylland

    TV2

    Platform Engineer til Cloud & Infrastructure Platform teamet hos TV 2

    Fyn

    Jyske Bank

    Engageret forretningsudvikler til Securities and Asset Management

    Midtjylland

    Sparekassen Danmark

    Dataudvikler til IT og Operations i Hobro

    Nordjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    Netip A/S har pr. 1. marts 2026 ansat Maria Lyng Refslund som Marketing Project Manager ved netIP Herning. Hun kommer fra en stilling som Marketing Project Manager hos itm8. Nyt job

    Maria Lyng Refslund

    Netip A/S

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år, som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job

    Alexander Skou Henkel

    Pinksky

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nu kommer den: Om få dage lanceres Danmarks nye id-app AltID - det kommer det til at betyde for dig
    2 Microsoft klar med ny serie af pc'er designet til AI-agenter: "Den største revolution i 40 år"
    3 Skat gør klar til opgør med dyre legacy-systemer: Vil satse på særlig type systemer for at vriste sig fri af jerngreb
    4 Forsvarsministeriet har skjult vigtig information om dårlig it-sikkerhed: "Mangelfulde og modstridende oplysninger"
    5 Test: Sennheisers nye Momentum 5-hovedtelefoner er tæt på at være perfekte
    6 Microsoft-huset Norriq skiftede kurs og fordoblede omsætningen på tre år: Nu er målet en milliard og 1.000 ansatte
    7 Nomineret til årets CIO: Som helt ung fik Frederik Sjørslev ansvaret for 40 værnepligtige - nu skal han hos Tryg føre 550 it-folk gennem en gigantisk it-transformation
    8 Morgen-briefing: Dansk venturefond rejser milliardbeløb / AI-godfather: Vi kan undgå en katastrofe ved at træne AI anderledes / Innovationschef i Aarhus Kommune modtager digital frihedspris

    Se seneste uge