Atunci când un utilizator standard se conectează la un computer cu Windows, există unele acțiuni și activități care trebuie să fie protejate. Această protecție nu este întotdeauna de succes, deoarece unele versiuni de Windows nu protejează sistemul global așa cum ne-am dori. Acțiunile care trebuie să fie protejate, includ modificări și să scrie în folderele de sistem și sistem de localizare în registru. Acest lucru este necesar pentru a proteja stabilitatea globală și securitatea sistemului de operare. Windows Vista oferă o soluție excelentă pentru a ajuta la protejarea acestor zone cheie ale sistemului. Vista utilizează pentru a gestiona conturile de utilizator (User Account Control) și virtualizare pentru a oferi protecție și securitate. Acest articol va examina modul în care UAC utilizează virtualizare pentru a proteja sistemul.
Comportamentul istoric al aplicațiilor de afaceri (LOB)
Director fișiere de program (Program Files) (de obicei, situat la C: # 92; Program Files și% ProgramFiles desemnate%) este directorul în care majoritatea scenariilor de producție stocate fișierele binare de aplicare. Setările LOB aplicații sunt stocate în HKEY_LOCAL_MACHINE cheie # 92; Software în registrul de sistem în cele mai multe cazuri. Cele mai multe dintre aceste locuri sunt protejate de sistemul de operare, care este, administratorul de sistem este permis accesul și înregistrarea, iar utilizatorii au acces numai de citire și executare.
cerere LOB trebuie să fie proiectate astfel încât să fie scrise într-un dosar de date aplicație definite de utilizator, care este situat în profilul de utilizare. De obicei, acesta este situat în C: # 92; Utilizatori # 92;
Cu toate acestea, mulți (aș spune chiar MOST) cererile LOB nu sunt realizate în conformitate cu tehnologia de mai sus. In schimb, ei stoca date specifice de utilizator în folderul% programfiles% în HKEY_LOCAL_MACHINE # 92; Software. Din păcate, utilizatorii obișnuiți nu au acces de scriere la aceste directoare, forțând multe companii pentru a adăuga utilizatorii normali la grupul de administratori locali, astfel încât acestea să poată rula aceste aplicații. Desigur, acest lucru nu este o soluție ideală, deoarece utilizatorul poate schimba atunci nimic pe computer, nu doar anumite sistem de aplicare parametri LOB în aceste directoare.
Specificitatea UAC de virtualizare
Deoarece LOB nu este ușor să se schimbe, și totuși utilizatorii au nevoie pentru a rula aceste aplicații, Vista utilizează o abordare diferită pentru a rezolva această problemă. În Vista, UAC dă o mână de ajutor prin virtualizarea sistemului de fișiere și spațiul de nume de registru. UAC virtualizes aplicații moștenite, care permite unui utilizator standard pentru a fi un „utilizator standard“ și, în același timp aplicația rulează. Determinarea de moștenire în acest caz include o procese de treizeci și doi biți care rulează fără privilegii administrative, și nu include un fișier explicit pentru Windows Vista. În cazul în care procesul sau operațiunea nu va îndeplini aceste criterii, ea (a) nu virtualizate. Următoarele procese și operații nu sunt virtualizate:
- Aplicații standard Vista
- Fișierele cu extensii executabile, cum ar fi .exe. BAT. VBS și .SCR. Puteți adăuga extensii de fișiere suplimentare pentru a exclude HKLM # 92; Sistem # 92; CurrentControlSet # 92; Servicii # 92; Luafv # 92; Parametrii # 92; ExcludedExtensionsAdd
- aplicații și procese pe 64 de biți
- Aplicații cu Directiva nivelul de execuție solicitat (directiva la nivel de execuție) în manifestarea ei a unui executabil, cele mai multe fișiere executabile Vista
- Procese sau aplicații care rulează cu privilegii de administrator
- Modul Aplicații Kernel
- Operațiunile care nu își au originea în sesiuni interactive, cum ar fi partajarea de fișiere
- Aplicațiile care schimbă registrul de pavilion cheie Don't_Virtualize (nu virtulizirovat)
Virtualizare a sistemului de fișiere și registru, desigur, nu este extinsă la întregul sistem. Există doar un număr limitat de locuri, care sunt virtualizate, și toate acestea sunt necesare pentru funcționarea și siguranța sistemului de operare. Asta e aproape o listă completă a locațiilor care sunt virtualizate:
- # 92; Program Files și subfolderele
- # 92; Program Files (x86) pe sistemele pe 64 de biți
- # 92; Windows și toate subfolderele, inclusiv System32
- # 92; Utilizatori # 92;% AllUsersprofile% # 92; ProgramData
- # 92; Documente și setări (link simbolic)
- HKLM # 92; Software
Verificarea UAC de virtualizare
Când este virtualizate acțiunea, conținutul rezultat este stocat în profilul utilizatorului, așa cum sa menționat anterior. Cu toate acestea, așa cum, de fapt, pentru a ști sigur că informațiile au fost virtualizate? În funcție de ce fel de conținut a fost virtualizate, există unele indicii la diferite interfețe, care va ajuta să vezi virtualizarea.
Primul indicator este în conductorul de interfață Windows Explorer GUI. În funcție de care dosar sau fișiere au fost virtualizate, există opțiuni suplimentare de meniu în Windows Explorer. Figura 1 arată că afișează Windows Explorer, atunci când aveți fișiere virtualizate în dosarul C: # 92; Windows.
Figura 1: Caseta roșie a subliniat indică faptul că există un fișiere virtuale
Funcția Adăugarea „Compatibilitate fișier (Fișiere de compatibilitate)“ din meniul de Windows Explorer apare numai în prezența fișierelor virtuale. Noua opțiune de meniu apare numai pentru acele dosare care conțin foldere sau fișiere virtuale.
Când este selectată opțiunea Fișiere de compatibilitate din meniu, acesta va trimite fereastra Windows Explorer pentru fișierele virtuale și folderele care le conțin. Figura 2 arată cum arată conținutul fișierelor și foldere virtuale.
Figura 2: opțiunea de compatibilitate Fișierele din meniul este stocat în dosarul VirtuaStore
După cum se poate observa, opțiunea de meniu Compability fișiere deschide dosar VirtualStore localizate în profilul utilizatorului. După cum se vede în figura 2, aceasta
concluzie
Toată lumea știe că aplicațiile care rulează pe computerele Windows nu reușește construit. Principalul motiv pentru acest lucru este de a scrie aplicații într-un sistem de operare de fișiere, foldere și registru director protejat. Acest lucru necesită ca utilizatorul să aibă drepturi de administrator local sau că acesta a fost folosit de o altă soluție. Activarea conturilor de utilizator în grupul local de administratori pentru a putea rula cu succes aplicații care nu sunt o soluție bună. În funcție de modul în care este construit aplicația, virtualizarea UAC de fișiere și registru este o soluție foarte bună. Fișierele și intrările registry care ar fi trebuit să rămână în aceste zone protejate de sistem, un virtualizat, și plasate în profilul utilizatorului. Acest lucru ajută la protejarea sistemului și a rețelei, și în același timp permite utilizatorilor să ruleze aplicațiile lor.
Windows Vista, vine cu un instrument de mare pentru a ajuta la protejarea dvs. de fișiere de sistem, foldere și registru efracție, acest instrument este controlul virtualizarea conturilor de utilizator (Control cont utilizator de virtualizare). UAC de virtualizare ajută să interzică aplicații de la scrierea în spațiul de resurse de sistem protejat, orientat „Intrările - scrie“ în locuri la care utilizatorul are acces, și care sunt profilul său personal. Rezultatul acestei virtualizare este că utilizatorii pot rula aceste aplicații, dar datele sunt scrise de către aceste aplicații, nu în directorul de sistem, care ajută la protejarea stabilității generale a întregului sistem de operare. Virtualizarea înseamnă că, de asemenea, mai mulți utilizatori pot rula acum aplicații pe același computer, deoarece toate datele lor cu caracter personal înregistrate în profilul lor de utilizator personal. În acest articol vă voi arăta cum să controleze virtualizarea UAC folosind Group Policy, managerul de registru și sarcina.
Setările de politică de grup asociate cu CCU
UAC are mai multe opțiuni pentru a ajuta la administrarea comportamentului UAC pe toate computerele Vista. Desigur, politica de grup este solutia ideala pentru managementul UAC, precum și aproape toate celelalte setări ale Vista, deoarece oferă o soluție de management centralizat la acești parametri.
În orice GPO pot găsi parametrii care controlează UAC, sub Computer Configuration. Deoarece UAC este un parametru legat de securitate, îl va găsi în opțiunile de securitate fila standard, localizate în directorul Computer Configuration # 92; Windows # 92 parametri, setările de siguranță # 92; Politici locale # 92; opțiuni de securitate, așa cum se arată în figura 1.
Figura 1: Setările UAC sunt situate în fila Opțiuni de securitate, sub Computer Configuration
Setările UAC în GPO sunt situate în partea de jos a listei de opțiuni de securitate (Opțiuni de securitate), care apare în panoul din dreapta. Pentru a vedea lista, trebuie doar să selectați fila Opțiuni de securitate, în panoul din stânga, așa cum se arată în figura 2.
Figura 2: Setările UAC sunt situate în partea de jos a listei de opțiuni de securitate
Activarea acestei setări de politică este, în esență, virtualizes acești parametri. Dacă această opțiune nu este configurată pentru calculatoare Vista, și doriți să-l instalați, va trebui mai întâi să activați această politică, așa cum se arată în figura 3.
Figura 3: activați politicile pentru fișierele de înregistrare și virtualizare registru
După ce configurați această setare de politică, trebuie să vă asigurați că acesta se aplică calculatoarelor Vista. Va trebui să reporniți Windows Vista, astfel încât această opțiune a intrat în vigoare, deoarece pentru a rula virtualizarea de fișiere și de registru, actualizarea politica completă. Când computerul Vista va reporni, directoare de fișiere și registru sunt virtualizate.
Sfat: Parametrii politicilor prioritare incluse în configurația computerului trebuie să repornească computerul, în timp ce parametrii priorităților de politică incluse în configurația de utilizator, necesită utilizatorul se conectează din sistem și intrarea ulterioară pentru intrarea în vigoare.
Virtualizare Task Manager
Acum, că ne-am asigurat că UAC virtualizes actualiza registru și fișierele, trebuie să vă asigurați că fiecare proces execută corect virtualizarea. Pentru a vedea și controla UAC virtualizare, puteți rula Task Manager (Manager activități). Cel mai simplu mod de a începe Task Manager este apăsarea butonului din dreapta al mouse-ului pe bara de Start și selectarea meniului Task Manager. Când regulatorul este pornit inițial, vă aflați în fila Aplicații. Trebuie să mergi la fila Procese pentru a vedea de virtualizare.
Figura 4: Adăugarea coloanei în virtualizarea vizualizare task manager Procese
Când salvați vizualizarea cu noua coloană, ar trebui să vedeți o coloană numită Virtualizare în principal Task Manager în fila Procese, așa cum se arată în figura 5.
Figura 5: coloana Virtualization adăugat la fila Procese în Task Manager
Dacă doriți să vedeți toate procesele și virtualizarea lor, trebuie să faceți clic pe "Afișați procesele din partea tuturor utilizatorilor, care vor include, de asemenea, toate procesele de sistem. Veți observa că virtualizarea proceselor aparținând conturilor SYSTEM, servicii de rețea și Serviciul local, este interzisă.
Lucrul cu registru (Reg hack) pentru extensii
După cum se vede în figura 5, nici unul dintre executabilele care rulează în mod direct, nu virtualizate. Acest lucru se datorează faptului că .exe. liliac. scr. VBS și alte extensii sunt excluse din virtualizarea standard de. Acest lucru poate cauza probleme în cazul în care programul trebuie să fie actualizat în mod independent. Utilizatorii standard nu vor fi în stare să o facă, pentru că aplicația va rula într-o zonă protejată.
Dacă aveți o extensie aplicație pe care doriți să îl eliminați din lista de extensii non-virtualizate inițiale, acest lucru se poate face prin modificarea registry. Pentru a adăuga o extensie la lista de excepții de la extensiile de virtualizate, introduceți în HKEY_LOCAL_MACHINE # 92; Sistem # 92; CurrentControlSet # 92; Servicii # 92; Luafv # 92; Parametrii # 92; valoarea ExcludedExtensionsAdd Registry. Pentru a adăuga o extensie (e) de, aveți nevoie pentru a crea valoare ExcludedExtensionsAdd Registry. Atunci când adăugați o nouă valoare, folosind un tip de valoare multiplă a registrului (multi-string de tip valoare Registry). Extensiile sunt adăugate fără punctul precedent, astfel încât extensia .exe va fi înregistrate pur și simplu ca exe. După schimbarea întreaga listă de extensii, reporniți computerul pentru ca modificările să aibă efect.
Virtualizare în timp real (Real-time Virtualizare)
Dacă doriți să virtualizați o aplicație sau un proces care nu a fost încă virtualizate, se poate face dintr-o dată. Pentru a efectua această sarcină, trebuie să fie în Task Manager. În Task Manager, faceți clic pe fila Procese, așa cum am făcut mai devreme. Apoi selectați procesul pe care doriți să virtualiza. Faceți clic dreapta pe proces și apoi faceți clic pe opțiunea de meniu Virtualization. Veți obține o casetă de dialog de confirmare, așa cum se arată în figura 6.
Figura 6: Caseta de dialog pentru a confirma că doriți să virtualiza procesul
După procesul de virtualizare va fi setată la Enabled în lista de procese fila Procese.
concluzie
Capacitatea de a controla diferite aspecte ale UAC virtualizarea oferă administratorilor control asupra aplicațiilor sunt virtualizate. În nici un control asupra GPO toate aspectele legate de UAC este destul de simplu de instalat în Active Directory și de a folosi. După pornirea UAC și virtualizarea de fișiere și registru de computerele dvs. Windows Vista virtualiza procese care nu au fost virtualizate. Puteti vedea in Task Manager, care este virtualizate, ca rezultat veți obține o imagine clară a ceea ce este virtualizat, și că - nu.