Защита системных файлов с помощью виртуализации UAC

Когда стандартный юзер заходит в компьютер Windows, есть некие деяния и деятельность, которые необходимо защитить. Эта защита не всегда успешна, так как некие версии Windows не защищают общую систему так, как хотелось бы. Деяния, которые необходимо защитить, содержат в себе конфигурации и записи в системные папки и системные расположения в реестре. Это нужно для защиты общей стабильности и безопасности ОС. Windows Vista предоставляет хорошее решение для помощи в защите этих главных областей системы. Vista употребляет управление пользовательскими учетными записями (User Account Control) и виртуализацию для обеспечения защиты и безопасности. В этой статье будет рассмотрено, как UAC употребляет виртуализацию для защиты системы.

Историческое поведение приложений бизнеса (LOB)

Директория программных файлов (Program Files) (обычно расположенная на C:Program Files и обозначаемая %ProgramFiles%) является тем каталогом, где в большинстве производственных сценариев хранятся исполняемые файлы приложений. Характеристики LOB приложений хранятся в ключе HKEY_LOCAL_MACHINESoftware в системном реестре почти всегда. Большая часть из этих мест защищено ОС, другими словами системе и админу разрешен доступ с записью, а юзерам дан доступ только чтения и выполнения.

LOB приложения должны разрабатываться так, чтоб записывать в обозначенную юзером папку данных приложения, которая размещена в профиле воспользоваться. Обычно она размещается в C:Users\AppData и обозначается %AppData%. Если есть какие-то специальные пользовательские характеристики, которые нужно хранить, они должны размещаться в ключе реестра HKEY_CURRENT_USERSoftware. Оба этих расположения предназначены для каждого отдельного юзера и защищены так, что только этот юзер имеет доступ к данным, которые записаны по дефлоту.

Но многие (я бы даже произнес Большая часть) LOB приложения изготовлены не в согласовании с вышеперечисленной технологией. Заместо этого они хранят специфичные для юзера данные в папке %ProgramFiles% и в HKEY_LOCAL_MACHINESoftware. К огорчению, обыденные юзеры не имеют доступа для записи в эти директории, что принудило многие компании добавлять обыденных юзеров в группы локальных админов, чтоб они могли делать эти приложения. Естественно, это не безупречное решение, потому что юзер в таком случае может изменять что угодно на компьютере, а не только лишь определенные характеристики LOB приложения в этих директориях системы.

Специфичность виртуализации UAC

Так как LOB не просто поменять, и все же юзерам нужно делать эти приложения, Vista употребляет другой подход для решения этой трудности. В Vista, UAC протягивает руку помощи, виртуализируя файловую систему и место имен системного реестра. UAC виртуализирует наследные приложения, позволяя стандартному юзеру оставаться «стандартным пользователем» и в то же время делать приложения. Определение наследного в данном случае включает 30 2-ух разрядные процессы, работающие без административных льгот, и не включает очевидный файл Windows Vista. Если процесс либо операция не отвечает этим аспектам, он(а) не виртуализируется. Последующие процессы и операции также не виртуализируются:

Стандартные приложения Vista
Файлы с такими исполняемыми расширениями, как .EXE, .BAT, .VBS и .SCR. Можно добавлять дополнительные исключения расширения файлов в HKLMSystemCurrentControlSetServicesLuafvParametersExcludedExtensionsAdd
64-разрядные приложения и процессы
Приложения с запрошенной директивой уровня выполнения (Execution Level directive) в собственном исполняемом проявлении, как большая часть исполняемых файлов Vista
Процессы либо приложения, работающие с правами админа
Приложения в режиме Kernel
Операции, не имеющие происхождения в интерактивных сеансах, такие как совместное внедрение файлов
Приложения, изменяющие ключ реестра флагом Don’t_Virtualize (не виртулизировать)

Виртуализация файловой системы и реестра, естественно, не всераспространена на всю систему. Есть только ограниченное количество мест, которые виртуализируются, и они все нужны для работы и безопасности ОС. Вот фактически полный перечень расположений, которые виртуализируются:

Program Files и подпапки
Program Files (x86) на 64-разрядных системах
Windows и все подпапки, включая System32
Users%AllUsersProfile%ProgramData
Documents and Settings (symbolic link)
HKLMSoftware

Верификация UAC виртуализации

Когда действие виртуализируется, результирующее содержимое хранится в профиле юзера, как говорилось ранее. Но, как по сути выяснить наверное, что информация была виртуализирована? Зависимо от того, какое содержимое было виртуализировано, есть некие указатели в разных интерфейсах, которые посодействуют вам узреть виртуализацию.

1-ый указатель находится в интерфейсе проводника Windows Explorer GUI. Зависимо от того, какая папка либо файлы были виртуализированы, возникают дополнительные функции меню в Windows Explorer. На рисунке 1 показано, что показывает Windows Explorer, когда у вас есть виртуализированные файлы в папке C:Windows.

Защита системных файлов при помощи виртуализации UAC
Прирастить

Набросок 1: Выделенное красноватое поле показывает, что есть виртуальные файлы

Дополнение функции ‘Файлы сопоставимости (Compatibility Files)’ в меню Windows Explorer возникает только при наличии виртуальных файлов. Новенькая функция меню возникает только для тех папок, которые содержат виртуальные папки либо файлы.

Когда функция Compatibility Files в меню выбрана, она направит окно Windows Explorer к виртуальным файлам и содержащим их папкам. Набросок 2 показывает, как смотрится содержимое этих виртуальных файлов и папок.

Защита системных файлов при помощи виртуализации UAC
Прирастить

Набросок 2: Функция Compatibility Files в меню хранится в папке VirtuaStore

Как видно, функция меню Compability Files открывает папку VirtualStore, расположенную в профиле юзеров. Как видно из рисунка 2, это AppDataVirtualStore.

Заключение

Все знают, что приложения, работающие на компьютерах Windows безуспешно построены. Основной предпосылкой этого является запись приложений в защищенные системные файлы, папки и директории реестра. Это просит, чтоб юзер имел права локального админа либо чтоб было применено другое решение. Включение пользовательских учетных записей в группу локальных админов в целях способности удачно запускать приложения, не является неплохим решением. Зависимо от того, как выстроено приложение, UAC виртуализация файлов и реестра представляет собой хорошее решение. Файлы и записи реестра, которые должны были расположиться в этих защищенных местах системы, просто виртуализируются и размещаются в личном профиле юзера. Это помогает защитить систему и сеть и в то же время позволяет юзерам запускать свои приложения.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.