De meeste onder ons kennen waarschijnlijk nog wel Blaster, dit virus maakte misbruik van de RPC service in Windows, ze hebben hier lessen uitgetrokken en de volledige structuur van de services herbekeken. Ik heb al eerder vernoemd dat niet meer alle services draaien onder LocalSystem en dus ook niet meer aan de kernel kunnen. In Windows XP service pack 2 draait nog het grootste deel van de services onder LocalSystem, in Windows Vista zijn er nog maar enkele die deze rechten hebben. Ook is er gekeken of de services verbinding met het internet vereisen, indien ze dit niet nodig hebben kunnen ze ook geen verbinding maken met het internet, er zijn hier 4 categorieën:
- services die op geen poort luisteren en dus geen verbinding met het internet mogen maken
- services die op een vaste poort luisteren en ook alleen die poort mogen gebruiken
- services die op instelbare poorten luisteren, de poorten worden automatisch in de Firewall aangepast als deze in de service gewijzigd worden
- en als laatste: services die op variabelen poorten luisteren, deze hebben volledige toegang tot het internet.
Er wordt nu ook gewerkt met SID, dit zijn security identifiers waardoor er nu ook ACL’ s (Access Control Lists) kunnen worden toegepast op services.