Atunci când un utilizator standard se conectează la un computer cu Windows, există unele acțiuni și activități care trebuie să fie protejate. Această protecție nu este întotdeauna de succes, deoarece unele versiuni de Windows nu protejează sistemul global așa cum ne-am dori. Acțiunile care trebuie să fie protejate, includ modificări și să scrie în folderele de sistem și sistem de localizare în registru. Acest lucru este necesar pentru a proteja stabilitatea globală și securitatea sistemului de operare. Windows Vista oferă o soluție excelentă pentru a ajuta la protejarea acestor zone cheie ale sistemului. Vista utilizează pentru a gestiona conturile de utilizator (User Account Control) și virtualizare pentru a oferi protecție și securitate. Acest articol va examina modul în care UAC utilizează virtualizare pentru a proteja sistemul.
Comportamentul istoric al aplicațiilor de afaceri (LOB)
Director fișiere de program (Program Files) (de obicei, situat la C: # 92; Program Files și% ProgramFiles desemnate%) este directorul în care majoritatea scenariilor de producție stocate fișierele binare de aplicare. Setările LOB aplicații sunt stocate în HKEY_LOCAL_MACHINE cheie # 92; Software în registrul de sistem în cele mai multe cazuri. Cele mai multe dintre aceste locuri sunt protejate de sistemul de operare, care este, administratorul de sistem este permis accesul și înregistrarea, iar utilizatorii au acces numai de citire și executare.
cerere LOB trebuie să fie proiectate astfel încât să fie scrise într-un dosar de date aplicație definite de utilizator, care este situat în profilul de utilizare. De obicei, acesta este situat în C: # 92; Utilizatori # 92;
Cu toate acestea, mulți (aș spune chiar MOST) cererile LOB nu sunt realizate în conformitate cu tehnologia de mai sus. In schimb, ei stoca date specifice de utilizator în folderul% programfiles% în HKEY_LOCAL_MACHINE # 92; Software. Din păcate, utilizatorii obișnuiți nu au acces de scriere la aceste directoare, forțând multe companii pentru a adăuga utilizatorii normali la grupul de administratori locali, astfel încât acestea să poată rula aceste aplicații. Desigur, acest lucru nu este o soluție ideală, deoarece utilizatorul poate schimba atunci nimic pe computer, nu doar anumite sistem de aplicare parametri LOB în aceste directoare.
Specificitatea UAC de virtualizare
Deoarece LOB nu este ușor să se schimbe, și totuși utilizatorii au nevoie pentru a rula aceste aplicații, Vista utilizează o abordare diferită pentru a rezolva această problemă. În Vista, UAC dă o mână de ajutor prin virtualizarea sistemului de fișiere și spațiul de nume de registru. UAC virtualizes aplicații moștenite, care permite unui utilizator standard pentru a fi un „utilizator standard“ și, în același timp aplicația rulează. Determinarea de moștenire în acest caz include o procese de treizeci și doi biți care rulează fără privilegii administrative, și nu include un fișier explicit pentru Windows Vista. În cazul în care procesul sau operațiunea nu va îndeplini aceste criterii, ea (a) nu virtualizate. Următoarele procese și operații nu sunt virtualizate:
- Aplicații standard Vista
- Fișierele cu extensii executabile, cum ar fi .exe. BAT. VBS și .SCR. Puteți adăuga extensii de fișiere suplimentare pentru a exclude HKLM # 92; Sistem # 92; CurrentControlSet # 92; Servicii # 92; Luafv # 92; Parametrii # 92; ExcludedExtensionsAdd
- aplicații și procese pe 64 de biți
- Aplicații cu Directiva nivelul de execuție solicitat (directiva la nivel de execuție) în manifestarea ei a unui executabil, cele mai multe fișiere executabile Vista
- Procese sau aplicații care rulează cu privilegii de administrator
- Modul Aplicații Kernel
- Operațiunile care nu își au originea în sesiuni interactive, cum ar fi partajarea de fișiere
- Aplicațiile care schimbă registrul de pavilion cheie Don't_Virtualize (nu virtulizirovat)
Virtualizare a sistemului de fișiere și registru, desigur, nu este extinsă la întregul sistem. Există doar un număr limitat de locuri, care sunt virtualizate, și toate acestea sunt necesare pentru funcționarea și siguranța sistemului de operare. Asta e aproape o listă completă a locațiilor care sunt virtualizate:
- # 92; Program Files și subfolderele
- # 92; Program Files (x86) pe sistemele pe 64 de biți
- # 92; Windows și toate subfolderele, inclusiv System32
- # 92; Utilizatori # 92;% AllUsersprofile% # 92; ProgramData
- # 92; Documente și setări (link simbolic)
- HKLM # 92; Software
Verificarea UAC de virtualizare
Când este virtualizate acțiunea, conținutul rezultat este stocat în profilul utilizatorului, așa cum sa menționat anterior. Cu toate acestea, așa cum, de fapt, pentru a ști sigur că informațiile au fost virtualizate? În funcție de ce fel de conținut a fost virtualizate, există unele indicii la diferite interfețe, care va ajuta să vezi virtualizarea.
Primul indicator este în conductorul de interfață Windows Explorer GUI. În funcție de care dosar sau fișiere au fost virtualizate, există opțiuni suplimentare de meniu în Windows Explorer. Figura 1 arată că afișează Windows Explorer, atunci când aveți fișiere virtualizate în dosarul C: # 92; Windows.
Figura 1: Caseta roșie a subliniat indică faptul că există un fișiere virtuale
Funcția Adăugarea „Compatibilitate fișier (Fișiere de compatibilitate)“ din meniul de Windows Explorer apare numai în prezența fișierelor virtuale. Noua opțiune de meniu apare numai pentru acele dosare care conțin foldere sau fișiere virtuale.
Când este selectată opțiunea Fișiere de compatibilitate din meniu, acesta va trimite fereastra Windows Explorer pentru fișierele virtuale și folderele care le conțin. Figura 2 arată cum arată conținutul fișierelor și foldere virtuale.
Figura 2: opțiunea de compatibilitate Fișierele din meniul este stocat în dosarul VirtuaStore
După cum se poate observa, opțiunea de meniu Compability fișiere deschide dosar VirtualStore localizate în profilul utilizatorului. După cum se vede în figura 2, aceasta
concluzie
Toată lumea știe că aplicațiile care rulează pe computerele Windows nu reușește construit. Principalul motiv pentru acest lucru este de a scrie aplicații într-un sistem de operare de fișiere, foldere și registru director protejat. Acest lucru necesită ca utilizatorul să aibă drepturi de administrator local sau că acesta a fost folosit de o altă soluție. Activarea conturilor de utilizator în grupul local de administratori pentru a putea rula cu succes aplicații care nu sunt o soluție bună. În funcție de modul în care este construit aplicația, virtualizarea UAC de fișiere și registru este o soluție foarte bună. Fișierele și intrările registry care ar fi trebuit să rămână în aceste zone protejate de sistem, un virtualizat, și plasate în profilul utilizatorului. Acest lucru ajută la protejarea sistemului și a rețelei, și în același timp permite utilizatorilor să ruleze aplicațiile lor.