Søg

Den ultimative sikkerhedsguide til Windows 7: Del 5

Læs hvordan du får mest ud af de største sikkerhedsforbedringer i Windows 7. Om managed service accounts, virtual service accounts og programkontrol med App Locker.

29. juni 2010 kl. 12.21
Artikel top billede
Roger A. Grimes Roger A. Grimes

Computerworld News Service:
Managed service accounts. Såkaldte service accounts sættes ofte højt, men er svære at administrere.

Best practice-anbefalingerne lyder, at man ofte ændrer kodeordene for service accounts for at nedsætte risikoen for kodeordsangreb.

Men Windows service accounts kræver ofte to eller flere koordinerede, synkroniserede kodeordsændringer, for at tjenesten kan fortsætte uden afbrydelse.

Forenkle administrationen

Før Windows 7 og Windows Server 2008 R2 var det ikke nogen nem sag at administrere service accounts.

Hvis en service account er slået til som en managed service account, vil Windows overtage kodeordsadministrationen og forenkle administrationen af Kerberos SPN (service principal names).

Ligesom DirectAccess stiller managed service accounts høje krav - heriblandt til en skemaopdatering og obligatorisk anvendelse af PowerShell 2.

Men hvis service accounts er besværlige i dit miljø - og det ved du, de er - så overvej at slå denne nye funktion til, når din infrastruktur er klar.

Virtual service accounts

(VSA'er) er relaterede til managed service account, på den måde, at Windows overtager kodeordsadministrationen.

Men VSA'er er til lokale service accounts og kræver hverken skemaopdatering eller er nær så besværlige at konfigurere og anvende.

Når en VSA kontrollerer en tjeneste, har tjenesten adgang til netværket med computerens identitet (i et domænemiljø), hvilket minder meget om, hvordan de indbyggede LocalSystem- eller network service accounts gør, på nær at VSA'er giver hver tjeneste mulighed for at have sit eget separate sikkerhedsdomæne og tilsvarende isolation.

Nem at oprette

Det er rimeligt let at oprette en virtual service account. Åbn Tjenester (Services.msc), og modificer tjenestens logon-brugernavn, så det er det samme som tjenestens korte navn - såsom NT SERVICE\ServiceName$.

Genstart derefter tjenesten, og så er det gjort.

Hvis din infrastruktur understøtter det, bør du overveje at benytte managed og virtual service accounts til at håndtere kodeordssikkerheden for service accounts.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Programkontol med AppLocker

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Den største årsag til inficeringer kan godt komme som en overraskelse.

De fleste maskiner bliver ikke inficerede på grund af manglende sikkerhedsopdateringer (selvom det er den næststørste årsag), 0-dagssårbarheder (næsten aldrig en faktor) drive-by download eller fejlkonfigurationer.

Nej, de fleste systemer inficeres, fordi brugere bliver narret til selv at installere programmer, som et website eller en e-mail fortæller dem, de har brug for.

Disse trojanske heste, der benytter såkaldt social engineering, kan være forklædt som antivirus-scannere, video-codec til en medieafspiller, falske opdateringer og stort set enhver anden lokkemad, som kriminelle kan finde på for at narre brugere til at installere deres trojanere.

Lad være med at installere programmerne

Den mest effektive måde at undgå disse trusler i et virksomhedsmiljø på er at forhindre slutbrugerne i at installere programmer, der ikke på forhånd er godkendte.

Hvis du lader beslutningen være op til slutbrugerne, vil de ofte vælge forkert.

Hvis det ikke var sandt, så ville malware ikke være lige så udbredt, som det er i dag.
Microsofts mest sofistikerede løsning på problemet er AppLocker.

Det er en funktion til kontrol af applikationer. Den er indbygget i Windows 7 Enterprise og Ultimate samt Windows Server 2008 R2.

AppLocker udgør en forbedring af de Software Restriction Policies (SRP), der blev introduceret i Windows XP Professional.

AppLocker gør det muligt at definere regler og undtagelser for eksekvering af programmer baseret på fil-attributter, såsom sti, udgiver, produktnavn, filnavn, filversion og andre.

Du kan tildele sådanne politikker til computere, brugere, sikkerhedsgrupper og organisatoriske enheder via Active Directory.

Læs også:

Del 1: User Account Control.

Del 2: BitLocker-drevkrypterinng og nem kryptering af sidefilen.

Del 3: Kryptografi og sikrere webbrowsing.

Del 4: Firewall-regler, forbedret gendannelse og nem fjernadgang med DirectAccess.

Oversat af Thomas Bøndergaard.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Platform X 2026: Forretning, teknologi og transformation

    Event: Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27. maj 2026 | Gratis deltagelse

    Erhvervsakademi Aarhus

    Underviser/konsulent indenfor AI

    Midtjylland

    Lægemiddelstyrelsen

    Sektionsleder for Digital Udvikling – bliv en del af ledelsen af Lægemiddelstyrelsens IT-projekter, udvikling og arkitektur

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Netværksspecialister (flere roller) til opbygning af Forsvaret nye IT-platform

    Midtjylland

    KMD A/S

    Vendor Security Compliance Specialist

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Norriq Danmark A/S har pr. 1. september 2025 ansat Alexander Bendix som Consultant. Han skal især beskæftige sig med tilføre nye, friske perspektiver og værdifuld viden til NORRIQS Data & AI-afdeling. Nyt job

    Alexander Bendix

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Hans Christian Thisen som AI Consultant. Han skal især beskæftige sig med at bidrage til udvikling og implementering af AI- og automatiseringsløsninger. Nyt job

    Hans Christian Thisen

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Mange millioner smartphones får snart tvangsinstalleret en statlig sikkerheds-app, der bliver umulig at slette
    2 Pris-chok: For tre måneder siden købte jeg 96 gigabyte ram for 1400 kroner – nu er prisen mere end seksdoblet
    3 Massiv konkurrence presser ChatGPT: Nu erklærer Sam Altman en "kode rød"
    4 En stribe kommuner i Storkøbenhavn går sammen om ny it-platform til 100 millioner
    5 Test: Apple Macbook Pro med M5-kræfter er den billigste Pro'er længe - men den yder alligevel i top
    6 BEC melder sig ud af kampen om at blive it-leverandør for Danmarks nye storbank: Bankdata står stærkt til at snuppe opgaven
    7 Outsourcing til Indien: En tikkende bombe under bankernes digitale strategi?
    8 Sådan vil to MF’ere med it-baggrund bruge regeringens millioner afsat til digital suverænitet: Et af svarene vil overraske dig

    Se seneste uge