Безпека захист системних файлів за допомогою віртуалізації uac - каталог статей - статті windows

Коли стандартний користувач входить в комп'ютер Windows, є деякі дії і діяльність, які потрібно захистити. Цей захист не завжди успішна, оскільки деякі версії Windows не захищають загальну систему так, як хотілося б. Дії, які потрібно захистити, включають в себе зміни та записи в системні папки і системні розташування в реєстрі. Це необхідно для захисту загальної стабільності і безпеки ОС. Windows Vista надає відмінне рішення для допомоги в захисті цих ключових областей системи. Vista використовує управління призначеними для користувача обліковими записами (User Account Control) і віртуалізацію для забезпечення захисту і безпеки. У цій статті буде розглянуто, як UAC використовує віртуалізацію для захисту системи.

Історичне поведінку додатків бізнесу (LOB)

Директорія програмних файлів (Program Files) (зазвичай розташована на C: # 92; Program Files і позначається% ProgramFiles%) є тим каталогом, де в більшості виробничих сценаріїв зберігаються виконувані файли додатків. Параметри LOB додатків зберігаються в ключі HKEY_LOCAL_MACHINE # 92; Software в системному реєстрі в більшості випадків. Більшість з цих місць захищено ОС, тобто системі і адміністратору дозволений доступ із записом, а користувачам дан доступ тільки читання і виконання.

LOB додатки повинні розроблятися так, щоб записувати в зазначену користувачем папку даних програми, яка розташована в профілі користуватися. Зазвичай вона розташовується в C: # 92; Users # 92;# 92; AppData і позначається% AppData%. Якщо є якісь специфічні для користувача параметри, які необхідно зберігати, вони повинні розташовуватися в ключі реєстру HKEY_CURRENT_USER # 92; Software. Обидва цих розташування створені для кожного окремого користувача і захищені так, що лише цей користувач має доступ до даних, які записані за замовчуванням.

Однак багато (я б навіть сказав БІЛЬШІСТЬ) LOB додатки зроблені не у відповідності з вищеописаної технологією. Замість цього вони зберігають специфічні для користувача дані в папці% ProgramFiles% і в HKEY_LOCAL_MACHINE # 92; Software. На жаль, звичайні користувачі не мають доступу для запису в ці директорії, що змусило багато компаній додавати звичайних користувачів в групи локальних адміністраторів, щоб вони могли виконувати ці програми. Звичайно, це не ідеальне рішення, так як користувач в такому випадку може змінювати що завгодно на комп'ютері, а не тільки певні параметри LOB додатки в цих директоріях системи.

Специфіка віртуалізації UAC

Оскільки LOB нелегко змінити, і тим не менш користувачам необхідно виконувати ці програми, Vista використовує інший підхід для вирішення цієї проблеми. У Vista, UAC простягає руку допомоги, віртуалізіруя файлову систему і простір імен системного реєстру. UAC виртуализирует спадкові додатки, дозволяючи стандартному користувачеві залишатися «стандартним користувачем» і в той же час виконувати додатки. Визначення спадкового в цьому випадку включає тридцяти двох розрядні процеси, що працюють без адміністративних привілеїв, і не включає явний файл Windows Vista. Якщо процес або операція не відповідає цим критеріям, він (a) не віртуалізується. Наступні процеси і операції теж віртуалізуються:

  • Стандартні програми Vista
  • Файли з такими виконуваними розширеннями, як .EXE. BAT. VBS і .SCR. Можна додавати додаткові виключення розширення файлів в HKLM # 92; System # 92; CurrentControlSet # 92; Services # 92; Luafv # 92; Parameters # 92; ExcludedExtensionsAdd
  • 64-розрядні додатки і процеси
  • Додатки з запитаної директивою рівня виконання (Execution Level directive) в своєму исполняемом прояві, як більшість виконуваних файлів Vista
  • Процеси або програми, що працюють з правами адміністратора
  • Додатки в режимі Kernel
  • Операції, що не мають походження в інтерактивних сеансах, такі як спільне використання файлів
  • Додатки, що змінюють ключ реєстру прапорцем Don't_Virtualize (НЕ віртулізіровать)

Віртуалізація файлової системи і реєстру, звичайно, не поширена на всю систему. Є лише обмежена кількість місць, які віртуалізуються, і всі вони необхідні для роботи і безпеки ОС. Ось практично повний список розташувань, які віртуалізуються:

  • # 92; Program Files і підпапки
  • # 92; Program Files (x86) на 64-розрядних системах
  • # 92; Windows і всі папки, включаючи System32
  • # 92; Users # 92;% AllUsersProfile% # 92; ProgramData
  • # 92; Documents and Settings (symbolic link)
  • HKLM # 92; Software

Верифікація UAC віртуалізації

Коли дія віртуалізується, результуюче вміст зберігається в профілі користувача, як говорилося раніше. Однак, як насправді дізнатися напевно, що інформація була віртуалізувати? Залежно від того, який вміст було віртуалізувати, є деякі покажчики в різних інтерфейсах, які допоможуть вам побачити віртуалізацію.

Перший покажчик знаходиться в інтерфейсі провідника Windows Explorer GUI. Залежно від того, яка папка або файли були віртуалізувати, з'являються додаткові опції меню в Windows Explorer. На малюнку 1 показано, що відображає Windows Explorer, коли у вас є віртуалізовані файли в папці C: # 92; Windows.

Малюнок 1: Виділене червоне поле вказує, що є віртуальні файли

Доповнення функції 'Файли сумісності (Compatibility Files)' в меню Windows Explorer з'являється тільки при наявності віртуальних файлів. Нова опція меню з'являється лише для тих папок, які містять віртуальні папки або файли.

Коли опція Compatibility Files в меню обрана, вона направить вікно Windows Explorer до віртуальних файлів і містить їх папках. Малюнок 2 демонструє, як виглядає вміст цих віртуальних файлів і папок.

Малюнок 2: Опція Compatibility Files в меню зберігається в папці VirtuaStore

Як видно, опція меню Compability Files відкриває папку VirtualStore, розташовану в профілі користувачів. Як видно з малюнка 2, це # 92; AppData # 92; VirtualStore.

висновок

Всі знають, що програми, що працюють на комп'ютерах Windows невдало побудовані. Основною причиною цього є запис додатків в захищені системні файли, папки і директорії реєстру. Це вимагає, щоб користувач мав права локального адміністратора або щоб було використано інше рішення. Включення призначених для користувача облікових записів в групу локальних адміністраторів з метою можливості успішно запускати додатки, не є хорошим рішенням. Залежно від того, як побудовано додаток, UAC віртуалізація файлів і реєстру є відмінне рішення. Файли і записи реєстру, які повинні були розташуватися в цих захищених місцях системи, просто віртуалізуються і розташовуються в особистому профілі користувача. Це допомагає захистити систему і мережу і в той же час дозволяє користувачам запускати свої додатки.

ОС Windows Vista йде з відмінним інструментом, що допомагає захистити ваші системні файли, папки і реєстр від злому, цим інструментом є віртуалізація контролю призначених для користувача облікових записів (User Account Control Virtualization). UAC віртуалізація допомагає забороняти додатків запис в захищені місця системних ресурсів, направляючи 'Записи - Writes' в місця, до яких користувач має доступ, і які є його особистим профілем. Результатом такої віртуалізації є те, що користувач може виконувати ці програми, але дані, написані цими додатками, не потрапляють в системну директорію, що дозволяє захистити загальну стабільність всієї операційної системи. Віртуалізація також означає, що кілька користувачів тепер можуть виконувати програми на одному комп'ютері, оскільки всі їх особисті дані записуються в їх особистий користувальницький профіль. У цій статті я покажу вам, як контролювати UAC віртуалізацію за допомогою групової політики, системного реєстру і диспетчера задач.

Параметри групової політики, пов'язані з UAC

UAC має безліч опцій, які допомагають керувати поведінкою UAC на всіх комп'ютерах Vista. Звичайно групова політика є ідеальним рішенням для управління UAC, так само як і багатьма іншими настройками Vista, так як вона надає рішення централізованого управління цими параметрами.

У будь-якому GPO можна знайти параметри, які контролюють UAC, в розділі Конфігурація комп'ютера. Оскільки UAC є параметром, пов'язаним з безпекою, ви знайдете його в стандартній вкладці Опції безпеки, розташованої в директорії Конфігурація комп'ютера # 92; Параметри Windows # 92; Налаштування безпеки # 92; Локальні політики # 92; Опції безпеки, як показано на малюнку 1.

Малюнок 1: UAC параметри розташовані у вкладці опцій безпеки в розділі конфігурації комп'ютера

Параметри UAC в GPO розташовані в нижній частині списку опцій безпеки (Security Options), який з'являється в правій панелі. Щоб подивитися список, просто виберіть вкладку опцій безпеки в лівій панелі, як показано на малюнку 2.

Малюнок 2: Параметри UAC розташовані в нижній частині списку опцій безпеки

Включення цього параметра політики, по суті, виртуализирует ці параметри. Якщо цей параметр не налаштований для комп'ютерів Vista, і ви хочете встановити його, вам спочатку потрібно буде включити цю політику, як показано на малюнку 3.

Безпека захист системних файлів за допомогою віртуалізації uac - каталог статей - статті windows

Малюнок 3: Для віртуалізації записи файлів і реєстру включите політику

Після того, як ви налаштуєте цей параметр політики, вам необхідно переконатися, що він застосовується до комп'ютерів Vista. Вам потрібно буде перезавантажити комп'ютер Windows Vista, щоб цей параметр увійшов в силу, оскільки для запуску віртуалізації файлів і реєстру необхідно повне оновлення політики. Коли комп'ютер Vista знову включиться, директорії файлів і реєстру будуть віртуалізувати.

Порада: Установки пріоритетних політик, що входять в конфігурацію комп'ютера потребують перезавантаження комп'ютера, в той час як параметри пріоритетних політик, що входять в конфігурацію користувача, потребують виходу користувача з системи і його подальшому вході для вступу в силу.

Віртуалізація диспетчера задач

Тепер, коли ми переконалися в тому, що UAC виртуализирует оновлення реєстру і файлів, необхідно переконатися, що кожен процес виконує віртуалізацію коректно. Щоб бачити і контролювати UAC віртуалізацію, можна запустити диспетчера задач (Task Manager). Найпростішим способом запуску диспетчера завдань є натискання правою клавішею на панелі Пуск і вибір опції Меню диспетчера задач. Коли диспетчер спочатку запускається, ви перебуваєте у вкладці Додатки. Вам потрібно перейти у вкладку Процеси, щоб побачити віртуалізацію.

Безпека захист системних файлів за допомогою віртуалізації uac - каталог статей - статті windows

Малюнок 4: Додавання стовпця віртуалізації в вид Процесів диспетчера задач

Коли ви зберігаєте вид з новим стовпчиком, у вас повинен з'явитися стовпець під назвою Віртуалізація в головному вікні диспетчера задач у вкладці Процеси, як показано на малюнку 5.

Малюнок 5: Стовпець віртуалізації доданий у вкладку процесів в диспетчері завдань

Якщо ви хочете бачити всі процеси і їх віртуалізацію, вам потрібно натиснути на кнопку 'Показувати процеси всіх користувачів', яка також включить всі системні процеси. Ви помітите, що віртуалізація процесів, що належать облікові записи електронної SYSTEM, Network service і Local Service, заборонена.

Робота з реєстром (Reg hack) для додавання розширень

Як видно на малюнку 5, жоден з виконуваних файлів, запущених безпосередньо, чи не віртуалізується. Це відбувається тому, що .exe. bat. scr. vbs і інші розширення виключені зі стандартної віртуалізації. Це може викликати проблеми, якщо програмі необхідно оновлюватися самостійно. Стандартний користувач не зможе зробити це, оскільки додаток буде виконуватися в захищеній області.

Якщо у вас є розширення додатків, які ви хочете видалити з початкового списку невіртуалізіруемих розширень, це можна зробити шляхом зміни реєстру. Щоб додати розширення в список виключень невіртуалізіруемих розширень, введіть його в HKEY_LOCAL_MACHINE # 92; System # 92; CurrentControlSet # 92; Services # 92; Luafv # 92; Parameters # 92; ExcludedExtensionsAdd Registry value. Щоб додати розширення (ія), вам потрібно створити значення ExcludedExtensionsAdd Registry. Коли ви додаєте нове значення, використовуйте багатостроковий тип значення реєстру (multi-string Registry value type). Розширення додаються без попередньої точки, тому розширення .exe буде записуватися просто як exe. Після зміни всього списку розширень перезавантажте комп'ютер, щоб зміни набули чинності.

Віртуалізація в режимі реального часу (Real-time Virtualization)

Якщо ви хочете віртуалізувати додаток або процес, який ще не віртуалізувати, це можна зробити відразу. Для виконання цього завдання вам потрібно перебувати в диспетчері завдань. У диспетчері завдань перейдіть у вкладку Процеси, як ми робили це раніше. Потім виберіть процес, який хочете віртуалізувати. Правою клавішею натисніть на процесі, а потім натисніть на опції меню Віртуалізація. У вас з'явиться діалогове вікно підтвердження, як показано на малюнку 6.

Безпека захист системних файлів за допомогою віртуалізації uac - каталог статей - статті windows

Малюнок 6: Діалогове вікно підтвердження того, що ви хочете віртуалізувати процес

Після віртуалізації додатки процес матиме значення Включено в списку процесів вкладки процесів.

висновок

Можливість контролювання різних аспектів UAC віртуалізації надає адміністраторам управління над тим, які програми будуть віртуалізувати. У будь-якому GPO контроль над усіма аспектами UAC досить простий у використанні і установці в Active Directory. Після включення UAC і віртуалізації файлів і реєстру ваші комп'ютери Windows Vista будуть віртуалізувати процеси, які до цього не віртуалізувати. Можна подивитися в диспетчері завдань, що віртуалізується, в результаті ви отримаєте чітку картину того, що віртуалізується, а що - ні.