Windows XP Embedded(嵌入式) 开发人员的安全性考虑

windows XP Embedded 开发人员的安全性考虑Microsoft Corporation 2002 年 3 月 适用于:   Microsoft windows XP Embedded摘要:Microsoft windows XP Embedded 为开发人员提供了一个 windows XP 操作系统的组件化版本。开发人员可以精确挑选满足其设计需要的组件,从而减少他们
摘要由CSDN通过智能技术生成

windows XP Embedded 开发人员的安全性考虑


Microsoft Corporation
2002 年 3 月

 

适用于:
   Microsoft windows XP Embedded

摘要:Microsoft windows XP Embedded 为开发人员提供了一个 windows XP 操作系统的组件化版本。开发人员可以精确挑选满足其设计需要的组件,从而减少他们的设计所占用的空间。本文从技术角度概述了 windows XP Embedded 提供的组件化环境中的安全性考虑。

目录

简介

Microsoft® windows® XP Embedded 是 Microsoft windows NT® Embedded 4.0 的后续产品。Windows XP Embedded 采用与 windows XP Professional 相同的二进制文件,使您能够快速开发可靠的、功能齐全的连接设备。

windows XP Embedded 组件数据库包括大约 10,000 个组件。您可以建立许多 windows XP Embedded 运行时映像,从安全要求最低的基本仅内核配置到功能齐全的设备(包含联网、多媒体、安全保护以及其他通常在安装有 windows XP Professional 的计算机上可以找到的功能)。

独特的安全性和可靠性优点

windows XP Embedded 继承了 windows XP Professional 中的所有安全保护功能。

此外,Windows XP Embedded 还具有以下优点:

  • 代码更少 - 您可以忽略您的产品不需要的组件,从而降低操作系统 (OS) 的复杂性并增强可靠性。
  • 硬件更少 - 您可以只包括设计中所需要的硬件,从而提高可靠性。这也有助于实现一个更为安全的系统,因为其中的硬件访问点更少。
  • 可完全控制访问点 - 您可以控制用户接触到的输入和输出设备,从而能够精确指定支持哪些设备。嵌入式设备可以配置为一个封闭式系统,并且可以有选择地支持设备。例如,您可以通过谨慎选择设备驱动程序组件,禁止支持可以从外部访问的设备,例如 USB 设备、鼠标、键盘、游戏控制器、软盘驱动器和网络等。
  • 单一目标配置 - 您可以针对单一目标来配置设备。可以控制设备上能够运行哪些应用程序以及是否可以安装第三方应用程序,这样可以减少出现应用程序兼容性问题或受到安全攻击的可能性。
  • 网络脆弱性降低 - 通过只选择目标设备所需要的组件,降低安全方面的脆弱性。例如,如果不是出于维护的需要,您可以删除网络的 Telnet 功能,从而避免为攻击者提供一个可能的入口点。
  • 防止修改系统数据或应用程序 - 您可以使用增强型写入筛选器 (EWF) 组件使只读存储卷在 OS 上显示为读/写设备。这是通过将磁盘写入操作重定向到一个替代的可写存储位置(例如,系统内存)或者重定向到一个特殊磁盘覆盖分区来实现的。例如,当 El Torito CD-ROM 启动组件与 EWF(配置为将磁盘写入操作重定向到系统内存)一起使用时,您可以从只读 CD-ROM 介质启动。
  • 禁止安装劣质应用程序 - 可以使用增强型写入筛选器 (EWF) 禁止安装劣质应用程序,并禁止更改其他永久性配置。如果设计中不包含读/写存储设备,则在启动之间该设计将被视为无状态,因为必须保证系统每次都以同样的方式启动。启动之间对 OS 所做的任何更改都只保存在系统内存中,并且在系统重新启动时这些更改将丢失。例如,这种技术可以用于赌博性游戏设备,某些国家(地区)的法律要求这些设备在系统启动之间不能保留任何信息。
  • 备份和恢复优势 - 以下两个优点使您能够创建一个更加安全的备份和恢复环境:
    • 系统备份和恢复速度更快。由于设备减少了存储所占用的空间,因此可以更快更可靠地执行备份和恢复操作。
    • 默认恢复。使用默认恢复时,无状态的 El Torito CD-ROM 系统将自动使系统在重新启动或重新开机时恢复到原始状态。这样可以免去专门的备份或恢复过程以及与备份和恢复相关的相应安全问题。
  • 无需移动式部件 - 通过使用不带硬盘驱动器的存储设备(例如电子盘 [Disk On Chip]、闪存设备以及其他基于硅元件的存储设备),可以使您的设计更加强壮。
  • 简化了设计测试和验证 - 较少的设计量可以减少系统的测试工作,从而允许您更专注于嵌入式应用程序的测试。

针对基准配置的安全性考虑

您可以通过以下基准配置之一使用目标设计器来建立您的基本设计配置:

  • 仅内核 - 仅内核配置不支持 Microsoft Win32® 应用程序编程接口 (API),并且不包含任何内置安全保护功能或工具。
  • Minlogon - 与 Winlogon 相比,Minlogon 配置的登录进程的可靠性要差一些。默认情况下,Minlogon 不包括本地安全验证子系统进程 (LSASS)。

    选择 Minlogon 之前,请确保您不要求 LSASS 用户身份验证。

    如果没有 LSASS,Minlogon 就没有标准的 windows XP Professional 中所提供的交互式登录和身份验证功能,而总是将用户登录为系统用户。

    即使选择了 Minlogon 组件,目标设计器也可以在运行时映像中包括 LSASS。如果所包括的其他组件要求使用 LSASS,或者手动添加了本地安全授权子系统组件,就会发生这种情况。

    LSASS 组件的可见性设置较低,因此,您需要降低可见性级别才能在目标设计器中看到该组件。有关详细信息,请参阅 windows XP Embedded 帮助文档。

  • Winlogon - Winlogon 配置使用 windows XP Professional 提供的标准 windows 登录进程。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值