Lagdeling i Windows Vista
Tenkte bare å ta med kort om hvordan de ulike lagene i Windows Vista er, illustrert av figuren under:
- Helt ytterst har vi IE 7 som kjører i protected mode for eksempel, den har meget begrenset tilgang til systemet, kan kun skrive til et fåtall spesifikke og trygge steder i systemet, alt annet blir virtualisert transperant og havner i trygge Virtual Store. Dette av kompabilitetshensyn. I motsetning til servicer har prosesser som kjører i Low Right laget tilgang til hverandre.
- Servicene er segmentert, atskilt helt fra hverandre og har ikke tilgang til hverandre, ACL basert på Servic SID'ene.
- Enkelte servicer kjører som før med mye rettigheter, men over 50% av standard Windows Servicene er flyttet ut som begrensa servicer.
- Helt ytterst kjører som sagt programer med veldig lave rettigheter og for å hindre noen typer sikkerhetsutfordringer ble det også implementert en enkel for for filtrering for "windows messages" og, slik at den typen systemmeldinger ikke kan sendes fra "Low right" til programmer med høyere rettigheter.
En meget god film på Channel 9 om dette og: