Windows XP 开发人员的安全性考虑

　　简介
　　Microsoft® Windows® XP Embedded 是 Microsoft Windows NT® Embedded 4.0 的后续产品。Windows XP Embedded 采用与 Windows XP Professional 相同的二进制文件，使您能够快速开发可靠的、功能齐全的连接设备。
　　
　　Windows XP Embedded 组件数据库包括大约 10,000 个组件。您可以建立许多 Windows XP Embedded 运行时映像，从安全要求最低的基本仅内核配置到功能齐全的设备（包含联网、多媒体、安全保护以及其他通常在安装有 Windows XP Professional 的计算机上可以找到的功能）。
　　
　　独特的安全性和可靠性优点
　　Windows XP Embedded 继承了 Windows XP Professional 中的所有安全保护功能。
　　
　　此外，Windows XP Embedded 还具有以下优点：
　　
　　代码更少 - 您可以忽略您的产品不需要的组件，从而降低操作系统 (OS) 的复杂性并增强可靠性。
　　硬件更少 - 您可以只包括设计中所需要的硬件，从而提高可靠性。这也有助于实现一个更为安全的系统，因为其中的硬件访问点更少。
　　可完全控制访问点 - 您可以控制用户接触到的输入和输出设备，从而能够精确指定支持哪些设备。嵌入式设备可以配置为一个封闭式系统，并且可以有选择地支持设备。例如，您可以通过谨慎选择设备驱动程序组件，禁止支持可以从外部访问的设备，例如 USB 设备、鼠标、键盘、游戏控制器、软盘驱动器和网络等。
　　单一目标配置 - 您可以针对单一目标来配置设备。可以控制设备上能够运行哪些应用程序以及是否可以安装第三方应用程序，这样可以减少出现应用程序兼容性问题或受到安全攻击的可能性。
　　网络脆弱性降低 - 通过只选择目标设备所需要的组件，降低安全方面的脆弱性。例如，如果不是出于维护的需要，您可以删除网络的 Telnet 功能，从而避免为攻击者提供一个可能的入口点。
　　防止修改系统数据或应用程序 - 您可以使用增强型写入筛选器 (EWF) 组件使只读存储卷在 OS 上显示为读/写设备。这是通过将磁盘写入操作重定向到一个替代的可写存储位置（例如，系统内存）或者重定向到一个特殊磁盘覆盖分区来实现的。例如，当 El Torito CD-ROM 启动组件与 EWF（配置为将磁盘写入操作重定向到系统内存）一起使用时，您可以从只读 CD-ROM 介质启动。
　　禁止安装劣质应用程序 - 可以使用增强型写入筛选器 (EWF) 禁止安装劣质应用程序，并禁止更改其他永久性配置。如果设计中不包含读/写存储设备，则在启动之间该设计将被视为无状态，因为必须保证系统每次都以同样的方式启动。启动之间对 OS 所做的任何更改都只保存在系统内存中，并且在系统重新启动时这些更改将丢失。例如，这种技术可以用于赌博性游戏设备，某些国家（地区）的法律要求这些设备在系统启动之间不能保留任何信息。
　　备份和恢复优势 - 以下两个优点使您能够创建一个更加安全的备份和恢复环境：
　　系统备份和恢复速度更快。由于设备减少了存储所占用的空间，因此可以更快更可靠地执行备份和恢复操作。
　　默认恢复。使用默认恢复时，无状态的 El Torito CD-ROM 系统将自动使系统在重新启动或重新开机时恢复到原始状态。这样可以免去专门的备份或恢复过程以及与备份和恢复相关的相应安全问题。
　　无需移动式部件 - 通过使用不带硬盘驱动器的存储设备（例如电子盘 [Disk On Chip]、闪存设备以及其他基于硅元件的存储设备），可以使您的设计更加强壮。
　　简化了设计测试和验证 - 较少的设计量可以减少系统的测试工作，从而允许您更专注于嵌入式应用程序的测试。
　　
　　针对基准配置的安全性考虑
　　您可以通过以下基准配置之一使用目标设计器来建立您的基本设计配置：
　　
　　仅内核 - 仅内核配置不支持 Microsoft Win32® 应用程序编程接口 (API)，并且不包含任何内置安全保护功能或工具。
　　Minlogon - 与 Winlogon 相比，Minlogon 配置的登录进程的可靠性要差一些。默认情况下，Minlogon 不包括本地安全验证子系统进程 (LSASS)。
　　选择 Minlogon 之前，请确保您不要求 LSASS 用户身份验证。
　　
　　如果没有 LSASS，Minlogon 就没有标准的 Windows XP Professional 中所提供的交互式登录和身份验证功能，而总是将用户登录为系统用户。
　　
　　即使选择了 Minlogon 组件，目标设计器也可以在运行时映像中包括 LSASS。如果所包括的其他组件要求使用 LSASS，或者手动添加了本地安全授权子系统组件，就会发生这种情况。
　　
　　LSASS 组件的可见性设置较低，因此，您需要降低可见性级别才能在目标设计器中看到该组件。有关详细信息，请参阅 Windows XP Embedded 帮助文档。
　　
　　Winlogon - Winlogon 配置使用 Windows XP Professional 提供的标准 Windows 登录进程。
　　在 Windows XP Professional 中，会话管理器 Smss.exe 是系统中创建的第一个用户模式进程。而会话管理器将启动 Windows 子系统进程和标准的 Windows 登录进程。标准的 Windows 登录进程要求本地安全验证子系统进程 (LSASS)。
　　
　　LSASS 是一种用户模式进程，它负责以下几个方面的工作：
　　
　　本地系统安全策略，例如，允许哪些用户登录到计算机、密码策略、授予用户和组的权限以及系统安全审核设置。
　　用户身份验证。
　　将安全审核消息发送到事件日志。
　　即使开始指定了仅内核或 Minlogon 配置，您添加到设计中的某些组件也可能会需要 Winlogon 基准配置。这些组件表明自己需要 Winlogon，从而导致在运行目标设计器相关性检查时会自动将 Winlogon 组件添加到您的设计中。
　　
　　注意：默认的用户密码为空白，应将其更改为一个可靠的密码，以确保适当的身份验证安全保护。
　　
　　下表显示了可用的设计模板以及它们是支持 Minlogon 还是 Winlogon。