Защита системных файлов с помощью виртуализации UAC (часть 2)

Опубликовано: 9 Апреля, 2023

Защита системных файлов с помощью виртуализации UAC (часть 1).

Windows Vista поставляется с отличным инструментом для предотвращения компрометации ваших системных файлов, папок и реестра, которым является виртуализация контроля учетных записей. Виртуализация UAC помогает предотвратить запись приложений в защищенные расположения системных ресурсов, перенаправляя «записи» в место, к которому у пользователя есть доступ, то есть в его личный профиль. Конечным результатом этой виртуализации является то, что пользователь по-прежнему может запускать эти приложения, но данные, записанные приложением, не отправляются в расположение системы, что помогает защитить стабильность всей операционной системы. С виртуализацией это также означает, что несколько пользователей теперь могут запускать приложение на одном компьютере, поскольку все их личные данные записываются в их собственный профиль пользователя. В этой статье я покажу вам, как управлять виртуализацией UAC с помощью групповой политики, реестра и диспетчера задач.

Параметры групповой политики, связанные с UAC

UAC имеет множество связанных с ним опций, помогающих контролировать поведение UAC на всех ваших компьютерах с Vista. Конечно, групповая политика является идеальным решением для управления UAC, а также почти любой другой конфигурацией Vista, поскольку она обеспечивает решение для централизованного управления этими параметрами.

В любом объекте групповой политики вы можете найти параметры, управляющие UAC, в разделе «Конфигурация компьютера». Поскольку UAC является параметром, связанным с безопасностью, вы обнаружите, что он находится в стандартном узле параметров безопасности, который можно найти в разделе Конфигурация компьютераПараметры WindowsПараметры безопасностиЛокальные политикиПараметры безопасности, как показано на рисунке 1.

Изображение 23920
Рис. 1. Настройки UAC находятся в узле «Параметры безопасности» в разделе «Конфигурация компьютера».

Настройки UAC в GPO расположены в нижней части списка параметров безопасности, который появится на правой панели. Чтобы просмотреть список, просто выберите узел «Параметры безопасности» на левой панели, как показано на рисунке 2.

Изображение 23921
Рис. 2. Все настройки UAC расположены в нижней части списка параметров безопасности.

Здесь вы найдете все элементы управления, необходимые для настройки UAC на компьютерах с Vista и Windows Server 2008. Обратите внимание, что вы можете контролировать, как ведет себя UAC, когда в систему входит администратор, а также когда в систему входит обычный пользователь. Самый последний параметр определяет, как ведет себя виртуализация, связанная с UAC. Этот параметр называется «Контроль учетных записей пользователей»; Виртуализируйте сбои записи файлов и реестра в расположения для каждого пользователя.

Включение этого параметра политики фактически виртуализирует эти параметры. Если этот параметр не настроен для ваших компьютеров с Vista и вы хотите его установить, вам сначала нужно установить для этой политики значение «Включено», как показано на рисунке 3.

Изображение 23922
Рис. 3. Чтобы виртуализировать записи файлов и реестра, установите для политики значение «Включено».

После настройки этого параметра политики необходимо убедиться, что он применяется к компьютерам Vista. Вам нужно будет перезагрузить компьютер с Windows Vista, чтобы этот параметр вступил в силу, поскольку он соответствует только обновлению политики переднего плана, чтобы начать виртуализацию файлов и реестра. Как только компьютер с Vista снова заработает, у вас будут виртуализированные файлы и места в реестре.

Кончик:
Параметры политики переднего плана, относящиеся к конфигурации компьютера, требуют перезагрузки компьютера, а параметры политики переднего плана, относящиеся к конфигурации пользователя, требуют выхода пользователя из системы, а затем повторного включения, чтобы они вступили в силу.

Виртуализация диспетчера задач

Теперь, когда вы убедились, что UAC виртуализирует ваши файлы и обновления реестра, вы должны убедиться, что каждый процесс выполняет виртуализацию надлежащим образом. Для того, чтобы просмотреть, а вскоре вы увидите управление виртуализацией UAC, вы можете запустить Диспетчер задач. Самый простой способ запуска диспетчера задач, который я нашел, — щелкнуть правой кнопкой мыши на панели «Пуск» и выбрать пункт «Меню диспетчера задач». При первоначальном запуске диспетчера задач вы должны находиться на вкладке «Приложения». Вам нужно перейти на вкладку «Процессы», чтобы увидеть виртуализацию.

Теперь, когда вы находитесь на вкладке «Процессы» в диспетчере задач, вы увидите, что первоначальных указаний на виртуализацию нет. Однако увидеть, что именно виртуализировано, довольно просто. Чтобы увидеть, что виртуализировано, выберите пункт меню «Вид», затем щелкните параметр «Выбрать столбцы». В нижней части этого списка вы увидите флажок для виртуализации, как показано на рисунке 4.

Изображение 23923
Рисунок 4. Добавьте столбец «Виртуализация» в представление «Процессы» в диспетчере задач.

После сохранения нового представления столбца вы должны увидеть новый столбец «Виртуализация» в главном представлении диспетчера задач на вкладке «Процессы», как показано на рис. 5.

Изображение 23924
Рис. 5. Столбец «Виртуализация» добавлен на вкладку «Процессы» в диспетчере задач.

Если вы хотите увидеть все процессы и их виртуализацию, вам нужно будет нажать кнопку «Показать процессы от всех пользователей», которая также будет включать системные процессы. Вы заметите, что процессы, принадлежащие системе, сетевой службе и локальной службе, не могут быть виртуализированы. Опять же, это восходит к моей последней статье о том, какие приложения и процессы виртуализируются.

Рег хак для добавления расширений

Как видно из рис. 5, ни один из исполняемых файлов, запускаемых напрямую, не виртуализирован. Это связано с тем, что из стандартной виртуализации исключены файлы.exe,.bat,.scr,.vbs и другие. Это может вызвать проблемы, если программа нуждается в обновлении сама по себе. Обычный пользователь не сможет этого сделать, так как приложение будет работать в защищенных зонах.

Если у вас есть расширение приложения, которое необходимо исключить из первоначального списка невиртуализированных расширений, вы можете сделать это, изменив реестр. Чтобы добавить ваше расширение в список исключений невиртуализированных расширений, введите их в разделе реестра HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLuafvParametersExcludedExtensionsAdd. Чтобы добавить свои расширения, вам потребуется создать значение реестра ExcludedExtensionsAdd. При добавлении нового значения используйте многострочный тип значения реестра. Расширения добавляются без предшествующей точки, поэтому.exe будет просто exe. После изменения всего списка расширений перезагрузите компьютер, чтобы изменения вступили в силу.

Виртуализация в реальном времени

Если вы хотите виртуализировать приложение или процесс, которые еще не виртуализированы, вы можете сделать это на лету. Для выполнения этой задачи вам нужно будет находиться в диспетчере задач. В диспетчере задач перейдите на вкладку «Процессы», как мы это делали раньше. Затем выберите процесс, который вы хотите виртуализировать. Оттуда щелкните процесс правой кнопкой мыши и выберите пункт меню «Виртуализация». Появится диалоговое окно подтверждения, как показано на рисунке 6.

Изображение 23925
Рисунок 6: Диалоговое окно подтверждения того, что вы хотите виртуализировать процесс

После виртуализации приложения процесс теперь будет отображаться как «Включено» в списке процессов на вкладке «Процессы».

Резюме

Возможность управления различными аспектами виртуализации UAC позволяет администраторам управлять тем, какие приложения виртуализируются. В любом GPO контроль над каждым аспектом UAC прост в использовании и легко развертывается через Active Directory. После включения UAC и включения виртуализации файлов и реестра ваши компьютеры с Windows Vista должны начать виртуализировать процессы, которых раньше не было. Вы можете видеть, что было виртуализировано в диспетчере задач, что дает вам четкое представление о том, что было виртуализировано, а что нет.

Защита системных файлов с помощью виртуализации UAC (часть 1).

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023