Windows Vista et "Longhorn Server" comportent un certain nombre de mécanismes permettant de renforcer la sécurité des services Win32, et par là celle de la plateforme. Tandis que le contrôle des comptes utilisateurs UAC applique le principe du moindre privilège aux applications et concerne les sessions de logon interactives, le renforcement des services ("service hardening" en anglais) s'intéresse au moindre privilège pour les services et consiste en l'isolation de ceux-ci en session TS 0 ainsi que la mise en œuvre de mécanismes dont il appartient au développeur de tirer parti: la réduction des privilèges, l'utilisation d'un SID de service pour la protection des ressources du service de manière granulaire, la restriction en écriture pour la protection du système, et les restrictions réseau. Ces mécanismes visent aussi à faciliter l'usage des comptes built-in de service (Local Service et Network Service).

J'ai eu l'occasion d'animer une session sur le renforcement des services aux Techdays 07 et les transparents sont en ligne pour téléchargement. Cette session à donné lieu a une série de postes en collaboration avec mon confrère Cyril Voisin (aka Voy). Vous y trouverez, je l'espère, la marche à suivre, en tant que développeur pour renforcer la sécurité de vos services Win32.