在Vista系統下.NET開發者應該考慮的五個安全問題

2019-11-28 04:28:00

字體：大中小

來源：轉載

供稿：網友

在微軟的眼中，Windows Vista的主要賣點之一就是它改良后的安全模式。從它的身份識別標示元系統（metasystem），也就是Windows CardSpace到有時令人郁悶的用戶賬戶控制（User Account Control）, 這里有許多新的安全措施需要.NET開發者去考慮，無論是在桌面應用軟件還是Web應用軟件。

在Tech Ed 2007上，Rafal Lukawiecki，Project Botticelli的一名戰略性顧問，概述了Windows Vista的安全模式和解釋了開發者應該怎樣利用他們發揮最大的功效。

自從Vista發布以來，大體上說最吸引大家注意的就是用戶賬戶控制（User Account Control）。這源于這么樣的一個事實，UAC顛覆了長期形成的開發習慣，并且在管理者角色運行應用程序的習慣，Lukawiecki說道。

他接著說：“如果開發者想看管理員登錄時內容信息，請返回改變登錄方式。否則你是看不到提示對話框的…你必須要以管理員的身份設置一些選項。

為了改掉開發者一直以理員的角色工作的習慣，Lukawiecki給了我們八個提示，以便在開發Windows Vista應用程序高效使用UAC：

1 判斷應用程序是否需要管理員特權。他說：“這個判斷應該在一開始就應該做出來”。
2 以普通用戶（standard user）的角色測試你的應用程序。
3 如果你想存儲二進制文件和用戶的配置數據，你要知道這些存儲在硬盤上的數據并不是很安全。
4 盡可能清楚的列舉出你的安全需要級別
5 如果終端用戶想提升他們的權限，必須確保你彈出的對話框所表達的意思要清楚。
6 盡可能學一些Windows完整性機制，這是一種新的方式來提高進程間通訊的安全性。
7 要小心謹慎讓你的應用程序驗證當前用戶是不是管理員，特別是用戶進行打開文件和對象操作的時候。
8 最后，Lukawiecki說: “在vista中Max_allowed并不是一件好事，在過去的操作系統中它用起來或許很方便，但是現在卻不是那么回事了。”

UAC技術的引入，使得Windows Vista在安全上有了新的變化，表現在登錄體驗上。它聲明了一下兩種方式：

首先，微軟認識到這里有許多的方式取登錄到一個應用程序，從生物的測定學到只能卡，到語音，微軟已經引入了Credential Service Provider UI。這能與多種credential providers相合，并且為多因素證明提供支持。Lukawiecki說道。

第二，微軟采取了身份識別標示元系統（metasystem），引入了Windows CardSpace, 這個使得用戶完成多重在在線認證。

因此確保安全性作為你軟件開發中的一個重要部分，那么我們要考慮五個方面：

1 周期，托管，托管安全測試
2 應用程序開發中所有組件應該描述安全級別
3 把威脅模型分析應用到你的設計階段
4 開發計劃中要有安全檢查和測試部分
5 為研發團隊建立安全標準

Lukawiecki說：“針對現在的開發者很少關注安全性問題，微軟已經開始提倡安全開發生命周期。”

上一篇：Vista系統下硬盤IDE模式安裝后開啟AHCI的方法

下一篇：完整版的Windows Vista系統開機加速全攻略