KERESÉS
Hírek
Címkék
A címkefelhő megjelenítéséhez Flash Player és JavaScript szükséges!
Oktató videók
Szirtes Technologies
2. rész - Virtuális gép létrehozása, diszkek adminisztrációja
Szakmai anyagok, publikációk
- Üzleti igények és az IT kihívásai
- Azonosságkezelés FIM módra
- Vállalati határvédelmi megoldások
- Az alap platform ereje
- SCCM 2007 Management Point telepítési probléma
- Forefront TMG SP1 telepítése
- Terheléselosztás a TMG-ben
- Magas rendelkezésre állású Forefront TMG rendszerek
- System Center Essentials
- System Center Operations Manager
- Hálózati és Információs Biztonsági Folyamatm.
- MS Virtualizációs Technológiák
Az alap platform ereje
Sajnos kijelenthetjük, hogy az informatikai rendszerekkel kapcsolatos fenyegetettségek folyamatosan jelen vannak. Ezek egy része a fizikai védelemmel, mások a rendelkezésre álló technológia helyes alkalmazásával és a felhasználók oktatásával védhető, de vannak olyan területek, ahol elvárás és magától értetődő a beépített védelem. A felhasználók jogos igénye, hogy az operációs rendszerük megbízhatóan és biztonságosan működjön anélkül, hogy ehhez extra beállításokat, vagy bonyolult konfiguráció-módosításokat kellene végezniük.
A Microsoft egyre inkább arra törekszik, hogy az alap platformja a folyamatosan megújuló támadások ellen megfelelően védett legyen, és mindezt a háttérben, a felhasználó elől elrejtve biztosítsa. A gyártó egyúttal azt is tudja, hogy nem készíthet olyan biztonsági megoldásokat, ami az alap platform hiányosságait foltozná, így az elsődleges fejlesztési szempont a magas fokú és jól konfigurálható beépített biztonsági eszközkészlet.
A legtöbb, a Windows 7-ben megtalálható biztonsági fejlesztés már a Windows Vista változatában is elérhető volt, melyek közül néhányat érdemes kiemelni:
Address Space Layout Randomization (ASLR)
Az eljárás lényege, hogy a Windows egy-egy rendszerkomponenst minden alkalommal véletlenszerűen meghatározott memóriacímekre tölt be, ezáltal nagyban megnehezíti a káros programok működését. Ha egy vírus megpróbál káros kódot injektálni a memóriába, akkor azt egy rendszerfüggvény meghívásával teszi, majd vár a függvény visszatérési értékére. Mivel az ASLR véletlenszerűen mozgatja a függvényeket a memóriában (egészen pontosan 256 különböző helyre töltheti be őket minden egyes alkalommal), a vírusnak 1/256-od esélye van, hogy éppen eltalálja azt a memóriacímet, ahol a kiszemelt DLL tartózkodni fog.
Data Execution Prevention (DEP)
Az adatvégrehajtás-megtagadás védelem megakadályozza, hogy a memóriába olyan területről töltődjön be kód, ahol csak adatok (és nem végrehajtható kódok) tartózkodhatnának. A korszerű vírusok egyik kedvelt szokása a buffer-túlcsordulásos támadás, ahol az ártó kód adat képében érkezik a kiszemelt alkalmazásba. Ez ellen a DEP úgy képes védekezni, hogy az adatszegmensek számára fenntartott memóriacímeket "nem-futtathatóként" jelöli meg, így ezekről a területekről nem indítható kód. A DEP működéséhez operációs rendszer-, és processzorszintű támogatás is kell, tehát ez a fajta memóriavédelem csak akkor érhető el, ha a CPU DEP-kompatibilis.
User Account Control – UAC
Ne légy rendszergazda! Az XP és a Windows Server 2003 idejében ez egy olyan üzenet volt, amit a rendszergazdák vagy megfogadtak, vagy nem. Igazán jó kényszerítő eszköz nem volt, amivel ezt a kezdeményezést sikerült volna betartatni. Az UAC hozott a problémára megoldást, melynek konfigurációja a Windows 7-ben tovább finomodott. A megoldás lényege, hogy egy rendszergazda jogosultságú felhasználóval bejelentkezve a Local Security Authority Subsystem (LSASS.exe), és a tartományvezérlőn futó Key Distribution Center (KDC) együtt két, különböző „erősségű” hozzáférési jegyet generál. A gyengébbik jeggyel történik a bejelentkezés, amely nem tartalmazza az adminisztrátori csoporttagság azonosítóját. Így bármilyen adminisztrációs jogkörhöz kötött feladatnál a rendszer előszedi az erősebb jegyet, de ennek használatánál egy megerősítést kér a bejelentkezett felhasználótól. Ezzel megoldottá vált, hogy rendszergazdai felhasználóval bejelentkezve sem rendelkezünk automatikusan a teljes körű hozzáféréssel.
Kernel Patch Protection – PatchGuard
Az operációs rendszerekbe épített kernel-módosítás elleni védelem gátolja, hogy egy ártó kód jogosulatlanul átírja a kernelt, mivel ilyen kísérlet esetén a szolgáltatás automatikusan leállítja a rendszert. Ez a megoldás az ismert rootkit típusú vírusok ellen nyújt hatékony védelmet.
Session 0 izoláció
A Windows XP és Windows Server 2003 rendszerekben minden operációs rendszer-komponens a bejelentkezett felhasználóéval megegyező munkafázisban, a "session 0"-ban fut. A Microsoft ezt biztonsági kockázatként értékelte, mivel az ártalmas programok gyakran a magas jogosultságú "Local System" felhasználói fiókkal futó Windows szolgáltatás hozzáféréseit próbálták megszerezni, amivel akár ők maguk is emelt jogosultsági szintre juthattak. A Windows Vista verziótól kezdődően a nulladik munkafázis izolálásra került, így a bejelentkező felhasználó már a következő, 1-es fázisba lép be, ezzel együtt pedig a session 0 elvesztette interaktivitását, vagyis a szolgáltatások nem jeleníthetnek meg többé üzeneteket, vagy párbeszédablakokat. Ezzel az elszigeteléssel megakadályozható, hogy a felhasználó szintjéről bármilyen kód átnyúlhasson arra a munkafázisra, ahol a rendszerszolgáltatások dolgoznak. Ha a Windows feladatkezelőben engedélyezzük a munkafázisok megjelenítését, láthatjuk, hogy a szolgáltatások és a felhasználói programok egymástól elszigetelt szinteken futnak.
Service Hardering
A Service Hardering fejlesztés célja, hogy most már ne csak a felhasználói fiókok, hanem a szolgáltatások is saját egyedi biztonsági azonosítóval (SID) rendelkezzenek. Ez megakadályozhatja, hogy az egyes szolgáltatások "átnyúljanak" egymás munkaterületére, és olyan objektumokat módosítsanak, amelyekhez egyébként semmi közük.
Biztonsági központ
A Microsoft először a Windows XP SP2 változatában jelentette meg az operációs rendszerbe épített biztonsági központ funkcionalitást, mellyel a felhasználók könnyedén átláthatják gépük aktuális védelmi szintjét, és szükség esetén konfigurálhatják is azt. A visszajelzések alapján ez a képesség olyannyira bevált, hogy a Windows 7-ben kibővített funkcionalitási készlettel érhetjük el a biztonsági központ felületét. Itt konfigurálhatjuk a hálózati tűzfalat, a frissítéseket, a telepített víruskereső alkalmazást, a kémprogramok elleni védelmet, az Internetes biztonsági beállításokat, a felhasználói fiókok felügyeletét (UAC), és a hálózatvédelmi ügynököt (NAP Agent).
Az alap platformba épített védelmi elemeken túlmenően számos, a biztonságot fokozó megoldást dolgozott ki a Microsoft, amit szintén, extra beruházás nélkül a felhasználók rendelkezésére bocsát. Tekintsük át ezek közül a legfontosabb szolgáltatásokat:
Tűzfal
A Windows operációs rendszerekbe integrált tűzfal koncepciója nem új keletű. Először a Windows XP-ben találkozhattunk vele, ami azóta számos, igen jelentős változáson esett át. A Windows 7 és a Windows Server 2008 R2-ben található verzió 2 irányú védelmet, értesítéskezelést, IPSec integrációt, csoportházirenden keresztüli konfiguráció lehetőségét, profilokként eltérő naplózási lehetőséget, és még sok hasznos funkciót tartogat. A beépített tűzfal három eltérő hálózati közeget képes elkülöníteni (munkahelyi, otthoni és nyilvános), melyekre más-más, előre definiált, és a saját igényeink szerint testre szabott szabálycsomagot tud alkalmazni. Ez a képesség főleg a mobil munkaállomások esetén érdekes, ahol igény, hogy mindig a legideálisabb védelmi szint szerint működjön a számítógép. A legújabb Windows tűzfalakban a profilkezelés képességét továbbfejlesztette a gyártó, így már egy időben több profil szerint is képes működni a védelmi rendszer. Mikor érdekes ez? Például, amikor egy felhasználó VPN kapcsolatot kiépítve éri el a vállalati infrastruktúrát. Ilyenkor egyrészt a számítógép az Internethez, mint publikus közeghez kapcsolódik, ahol a tűzfalnak a legszigorúbb beállítások mellett kellene működnie, másrészt eléri a vállalati rendszert is, ahol viszont megengedőbb szabályokat kéne alkalmaznia. Ez a jelenlegi változatokban már nem okoz problémát.
BitLocker Drive Encryption
A BitLocker meghajtó-titkosítás a Windows Vista (csak az Enterprise és Ultimate kiadása), és az annál újabb Windows operációs rendszerek kötet-titkosító szolgáltatása, mellyel szektorszinten titkosíthatjuk a számítógép partícióit. A technológia használatával megakadályozhatjuk, hogy illetéktelenek a számítógépben lévő merevlemez tartalmát akár online, akár offline módon elérhessék, a rajta tárolt adatokat megszerezhessék. Egy BitLockerrel titkosított lemez adatait csak a visszafejtő kulcs birtokában lehet ismét olvashatóvá tenni. Habár az adatok a merevlemezen titkosított formában tárolódnak, használatuk során azonban a titkosítatlan példányra van szükség, ezért a Windows a háttérben minden írást megelőzően, illetve olvasást követően titkosítja, illetve visszafejti az adatokat. Ezeket a kriptográfiai műveleteket természetesen a processzor végzi, de tekintve, hogy az adatok sifrírozása szimmetrikus titkosítási algoritmussal történik, ez nem ró számottevő terhet egy modern számítógépre. Mérések szerint a BitLocker meghajtó-titkosítás használata jellemzően 10%-nál kisebb plusz kihasználtságot jelent a processzor számára. A gyakorlat azt mutatja, hogy a merevlemezt-titkosítás a mindennapi használat során nem jelent érzékelhető lassulást. Mivel a BitLocker a lemezen található fájlokat automatikusan visszafejti, a Windows szemszögéből úgy tűnik, mintha az adatok nem is lennének titkosítva.
BitLocker to Go
Számos felmérés bizonyítja, hogy az adatvesztésért sok esetben az elhagyott/ellopott eszközök a felelősek. Valahol ez érthető is a támadók fejével gondolkodva: miért küzdenének a rendszerünk feltörésével, ha egy elemelt pendrive-val is elérhetik a kitűzött célt.
A Windows 7 Enterprise és Ultimate, illetve a Windows Server 2008 R2-be integrált új hordozható lemezek titkosítási megoldása az adatvédelem egy új dimenzióját tárja elénk. Segítségével titkosíthatjuk a hordozható merevlemezeink tartalmát, amelyek tartalmához csak a megfelelő jelszó birtokában lehet hozzáférni.
Technikai szempontból ez az adatvédelmi módszer is a BitLocker motorját használja, ahol a szimmetrikus kulcsú titkosításhoz egy plusz védelem, a szektor kulcs kapcsolódik.
A hordozható eszköz jellegéből adódóan új szimmetrikus kulcsokat védő megoldásokat (Key Protectors) is ki kellett fejleszteni. A BitLocker kulcsvédelmi megoldásai (TPM chip, PIN kód, USB eszközön tárolt kulcs) továbbra is elérhetőek, de azok nem állnának rendelkezésre minden esetben, ami a hordozható eszközöknél komoly fennakadást jelenthet. Így a BitLocker to Go esetében a médián tárolt információ elérését jelszóval és/vagy Smart Card-on tárolt tanúsítvánnyal védhetjük.
A felhasználást segítendő a Bitlocker to Go saját felügyeleti konzolt kapott, ahol az adattárolóra vonatkozó védelmi beállításokat konfigurálhatjuk. Így akár módosíthatjuk a médiához rendelt jelszót, és/vagy tanúsítványt, kinyomtathatjuk a visszaállítási kulcsot (jelszó elfelejtése vagy a tanúsítvány használhatatlansága esetén hasznos), vagy akár beállíthatjuk az automatikus titkosítás feloldást is.
Ez a biztonsági megoldás is könnyedén implementálható vállalati környezetbe, hiszen a visszaállítási kulcsokat akár az Active Directoryba is publikálhatjuk, míg a központi konfigurációt számos házirend beállítás segíti.
Az eszköz titkosításakor az adathordozóra felkerül egy BitLocker to Go Reader, amely segítségével a Windows XP, Vista, 2003 rendszerekben is olvashatóvá válik a meghajtó tartalma, de csak olvashatóvá. Az írásához W7-re lesz szükség.
Dokumentumvédelem a Rights Management Services segítségével
A Windows Server 2008 R2-be épített Active Directory Rights Management Services tartalomvédelmi szolgáltatás segítségével a vállalatok számára értékes információk házirendekben leírt kezelési szabályzatokkal védhetőek. Ezen korlátozásokkal megakadályozható, hogy szenzitív információk, pl.: pénzügyi jelentések, termékleírások, szerződések és a bizalmas e-mail üzenetek szándékosan, vagy véletlenül rossz kezekbe kerüljenek.
Az alkalmazás kialakításakor 3 fő szempontot tartottak szem előtt:
- A kényes információk védelme érdekében az AD RMS rendszer használatára alkalmassá tehetők a felhasználók által használt szoftverek, mint pl. szövegszerkesztők, e-mail kliensek és különböző üzleti alkalmazások. A felhasználók határozhatják meg, hogy kinek a számára engedélyezik adott információ megnyitását, módosítását, kinyomtatását, továbbítását, vagy az információval végzett más műveletet. A szervezetek létesíthetnek olyan egyéni használati házirend-sablonokat (például "bizalmas – csak olvasható" sablont), amelyek közvetlenül az információra alkalmazhatók.
- Állandó védelem. Az AD RMS rendszer a szervezetek meglévő, külső eszközökre, pl. tűzfalakra és hozzáférés-vezérlési listákra épülő biztonsági megoldásait a hatékonyabb információvédelem érdekében úgy egészíti ki, hogy a használati jogokat magukba a dokumentumokba zárja, ennek köszönhetően, azt követően is szabályozza az információhasználat módját, ha az adott információt annak címzettje már megnyitotta.
- Rugalmas és testre szabható technológia. A független szoftverszállítók és fejlesztők bármely alkalmazást alkalmassá tehetnek az AD RMS rendszer használatára, illetve felkészíthetik a különböző kiszolgálókat (pl. tartalomkezelő rendszereket) arra, hogy a kényes információk védelme érdekében együttműködjenek az AD RMS rendszerrel. A független szoftverszállítók különböző kiszolgálóra épülő megoldásokba integrálhatják az információvédeImet, pl. dokumentum- és rekordkezelésbe, e-mail átjárókba és archiváló rendszerekbe, automatizált munkafolyamatokba és tartalomvizsgálatba.
A Microsoft Office 2003-tól felfelé az Office termékcsalád elemei képesek az RMS támogatására. Az Office 2003/2007 Professional változatokkal RMS védett dokumentumokat is előállíthatunk, míg az Office 2003/2007 Standard változatokkal csak megtekinthetjük az RMS védett anyagokat, de dokumentum védelmet nem konfigurálhatunk. A Microsoft SharePoint Server 2007 és az Exchange Server 2010 is RMS támogató alkalmazás, így az RMS-el védett anyagok kezelésére ezen kiszolgálók egyaránt alkalmasak.
Az RMS alapú infrastruktúra 3 fő komponensből áll:
- Windows Server 2008 R2 kiszolgáló, melynek része az Active Directory Rights Management Services (AD RMS) szolgáltatás.
- RMS kliens, amely a Windows Vista verziótól kezdve az operációs rendszer része, de a Windows Right Management Client V1.0 SP2 változatát a Windows Update oldalról, vagy a Microsoft Download Centerből egyaránt le lehet tölteni, mellyel a korábbi operációs rendszerek is alkalmassá tehetőek az RMS használatára.
- RMS alapú alkalmazások. A technológia felhasználásához szükségesek azok az alkalmazások, melyek képesek az RMS szolgáltatást kihasználni.
Titkosított fájlrendszer (EFS)
A Titkosított fájlrendszer (Encrypting File System) hatékony eszköz a fájlok és mappák ügyfélszámítógépeken és távoli fájlkiszolgálókon történő titkosításához. Lehetővé teszi, hogy a felhasználók megvédjék adataikat a más felhasználók, vagy külső támadók jogosulatlan hozzáférésétől.
Az EFS Windows 7 és Windows Server 2008 R2 rendszerben található verziója a kezdeti, Windows 2000-ben debütáló állapot óta több fontos fejlesztésen esett át. Lehetségessé vált a titkosítási tanúsítványok intelligens kártyán történő tárolása, a fájlok felhasználónkénti titkosítása az ügyféloldali gyorsító tárban, valamint egy új kulcsismétlési varázsló és további csoportházirend-beállítások érhetők el.
A BitLocker és az EFS különböző típusú támadásokkal szemben védenek. Ha a rendszerpartíciót BitLockerrel, az adatpartíción lévő fontos fájlokat pedig EFS-sel titkosítjuk, akkor az EFS-sel lezárt fájlokat közvetve a BitLocker is védi, mivel az EFS kulcsát a Windows a rendszerpartíción tárolja. Ez azt jelenti, hogy a támadónak az EFS által használt kulcs megszerzéséhez először a BitLocker által védett rendszerpartíciót kell visszafejtenie. A két technológia együttes használata kiváló adatvédelmi szint kialakítását teszi lehetővé.
Részletes naplózási beállítások
A biztonsági események naplózását az eddigi Windows rendszerekben is lehetett konfigurálni. Az új OS változatokban ez sokkal részletesebben testre szabható a helyi házirendben is konfigurálható Advanced Audit Policy Configurations ág alatt.
Network Access Protection
A Microsoft a hálózat hozzáférés védelmi technológiáját a Windows Server 2008 operációs rendszerében mutatta be először. Ez a funkció a kor elvárásainak kíván megfelelni, hiszen ma már fontos igény, hogy csak ellenőrzött körülmények között kerülhessenek be számítógépek egy vállalati infrastruktúrába.
A megoldás nem csak az ellenőrzés mechanizmusát tartalmazza, hanem emellett kitér a karantén vezérlés és az automatikus javítás folyamataira is.
A NAP 5 kapcsolódási lehetőséget definiál, ahol képes vizsgálni a számítógépeket:
- DHCP kiszolgálótól kért IP cím és további IP opciók
- IEEE 802.1x à Vezetékes (Wired) és vezeték nélküli (Wireless) kapcsolódások
- VPN alapú hálózati hozzáférés
- RDP over HTTPS à Terminal Server Gateway (újabb nevén: Remote Desktop Gateway) szerepkörrel felépített terminál kapcsolat
- HRA àIPSec alapú védett hálózati forgalom
A rendszer egy nagyon fontos eleme az előírt egészségi állapot. Ez egy általunk sablonokból összeállítható szabálycsomag, melyben előírhatjuk például különböző programok jelenlétét a kapcsolódó gépen, programok speciális paramétereit, vagy akár a frissítések naprakészen tartását. A Microsoft már a technológia korai stádiumától kezdődően azon dolgozott, hogy minél több hardver és szoftver gyártóval közösen, kifejlessze az előre definiált szabály csomagokat (System Health Validators), melyeket az adott gyártó oldaláról letöltve és a rendszerbe importálva könnyedén használatba vehetünk. Jelenleg több, mint 100 gyártó rendelkezik a NAP-hoz szükséges ellenőrző csomaggal (SHV), melyet a legtöbb esetben ingyenesen elérhetővé tettek.
A rendszer képes folyamatosan figyelni a kapcsolódó gép egészségállapot változásait. Ez a gyakorlatban annyit jelent, hogy ha a gép a számára előírt állapottól eltér, akkor automatizált folyamatok szerint azonnal kikerül a karantén hálózatba, ahonnan csak akkor kerülhet vissza a belső hálózatba, ha maximálisan teljesíti az előírt feltételeket.
A Microsoft NAP technológiája az operációs rendszer és a kapcsolódó szerverszerepek alap képességeinek a része, így külön szoftvervásárlásra, ezáltal többletberuházásra nincs szükség!
DirectAccess
A VPN alapú távoli munkavégzés eddig sem volt idegen, sem a felhasználók és a rendszergazdák számára, de mint a legtöbb megoldásnak, ennek is megvannak a maga hátrányai: a VPN kapcsolódást a felhasználónak kell kezdeményeznie, és sokszor az aktuális hálózati kapcsolatot védő tűzfalon nincs engedélyezve a titkosított csatorna kiépítéséhez szükséges forgalom. Ezen problémák áthidalására született meg a DirectAccess, amely a számítógép és a felhasználója számára a hagyományos VPN-hez hasonlóan Intranet élményt képes biztosítani az Interneten keresztüli kapcsolódás esetén is. Az egyik fontos különbség, hogy itt a DirectAccess kapcsolat kiépítését a számítógép automatikusan végzi a felhasználó nevében. Ez olyannyira automatikus, hogy még a felhasználó bejelentkezésére sincs szükség , mivel, ha a gép Internet kapcsolatot érzékel, a folyamat azonnal inicializálódik. Így a felhasználóknak nem kell azon gondolkodniuk, hogy éppen az Intraneten vagy Interneten keresztül érik el a rendszert, és a rendszergazdák is képesek a távoli gépeket állandó felügyelet alatt tartani, hiszen a kiépített kapcsolat kétirányú.
A DirectAccess alapú csatornán forgalmazott adatok az IPSec titkosítási és adatintegritás védelmi képességeivel biztosítottak, amely a publikus közegen történő kommunikáció esetén is hatékony védelmet nyújt. A DirectAccess alapú hálózat hozzáférési megoldás jelenleg csak a Windows 7 (csak az Enterprise és Ultimate változataiban) és a Windows Server 2008 R2 operációs rendszer változatokban érhető el.
Internet Explorer 8.0
A Microsoft aktuális Internet böngészőjének fejlesztésekor fokozott figyelmet szenteltek annak, hogy az új böngésző megfeleljen azoknak a felhasználói igényeknek, amelyek a használhatóságot, a teljesítményt és a biztonságot érintik. Ennek jegyében aktívan bevonta a felhasználókat a tesztelési fázisba, és a visszajelzések alapján fejlesztette tovább a böngészőt.
A fontosabb biztonsági fejlesztések az alábbiak:
- InPrivate Browsing: megvédi a felhasználó adatait azáltal, hogy automatikusan törli a felhasználói aktivitás visszakövetésére alkalmas, mások számára is látható információkat (előzmények, ideiglenesen letöltött fájlok, cookie-k) a böngészőből való kilépéskor, és blokkolja a külső bővítmények és eszköztárak használatát.
- InPrivate Filtering: megvédi a felhasználó adatait azáltal, hogy opcionálisan blokkolja azokat a böngészőnek küldött kéréseket, amelyek a felhasználói aktivitás feltérképezésére irányulnak.
- Compatibility View: megjeleníti azokat a weboldalakat is, amelyeket régebbi böngészőkre optimalizáltak. Az IE8 ugyanakkor teljes mértékben támogatja az aktuális szabványokat.
- Visszaállítás: újraindítja az összeomlott weboldalakat, és visszaállítja azokat az információkat (pl. űrlapba írt adatokat), amelyeket az összeomlás előtt vittünk fel.
- Előzmények törlése: lehetővé teszi, hogy a böngészési előzmények törlésekor ne törlődjenek a kedvencekben tárolt weboldalakhoz kapcsolódó előzmények, cookie-k és egyéb adatok.
- SmartScreen Filter: blokkolja a rosszindulatú szoftverek letöltését, és figyelmeztet, ha ilyen szoftvert tartalmazó website-ra látogatunk el.
- ClickJacking védelem: megvéd azon weboldalak ellen, amelyeken rejtett kattintható objektumok találhatók, hogy még véletlenül se szolgáltathassunk ki bizalmas információkat.
- Cross-Site Scripting (XSS) szűrő: megvéd azon weboldalak ellen, amelyek megpróbálnak hozzáférni a számítógépen található cookie-khoz, azonosítókhoz, és egyéb bizalmas információkhoz. A szűrő kivédi a type-1 XSS támadásokat.
- Data Execution Protection (DEP): megakadályozza, hogy a memóriába vírust, vagy egyéb kárt okozó rosszindulatú kód töltődjön be.