ОС Windows Vista йде з відмінним інструментом, що допомагає захистити ваші системні файли, папки і реєстр від злому, цим інструментом є віртуалізація контролю призначених для користувача облікових записів (User Account Control Virtualization). UAC віртуалізація допомагає забороняти додатків запис в захищені місця системних ресурсів, направляючи 'Записи - Writes' в місця, до яких користувач має доступ, і які є його особистим профілем. Результатом такої віртуалізації є те, що користувач може виконувати ці програми, але дані, написані цими додатками, не потрапляють в системну директорію, що дозволяє захистити загальну стабільність всієї операційної системи. Віртуалізація також означає, що кілька користувачів тепер можуть виконувати програми на одному комп'ютері, оскільки всі їх особисті дані записуються в їх особистий користувальницький профіль. У цій статті я покажу вам, як контролювати UAC віртуалізацію за допомогою групової політики, системного реєстру і диспетчера задач.
Параметри групової політики, пов'язані з UAC
UAC має безліч опцій, які допомагають керувати поведінкою UAC на всіх комп'ютерах Vista. Звичайно групова політика є ідеальним рішенням для управління UAC, так само як і багатьма іншими настройками Vista, так як вона надає рішення централізованого управління цими параметрами.
У будь-якому GPO можна знайти параметри, які контролюють UAC, в розділі Конфігурація комп'ютера. Оскільки UAC є параметром, пов'язаним з безпекою, ви знайдете його в стандартній вкладці Опції безпеки, розташованої в директорії Конфігурація комп'ютера # 92; Параметри Windows # 92; Налаштування безпеки # 92; Локальні політики # 92; Опції безпеки, як показано на малюнку 1.
Малюнок 1: UAC параметри розташовані у вкладці опцій безпеки в розділі конфігурації комп'ютера
Параметри UAC в GPO розташовані в нижній частині списку опцій безпеки (Security Options), який з'являється в правій панелі. Щоб подивитися список, просто виберіть вкладку опцій безпеки в лівій панелі, як показано на малюнку 2.
Малюнок 2: Параметри UAC розташовані в нижній частині списку опцій безпеки
Включення цього параметра політики, по суті, виртуализирует ці параметри. Якщо цей параметр не налаштований для комп'ютерів Vista, і ви хочете встановити його, вам спочатку потрібно буде включити цю політику, як показано на малюнку 3.
Малюнок 3: Для віртуалізації записи файлів і реєстру включите політику
Після того, як ви налаштуєте цей параметр політики, вам необхідно переконатися, що він застосовується до комп'ютерів Vista. Вам потрібно буде перезавантажити комп'ютер Windows Vista, щоб цей параметр увійшов в силу, оскільки для запуску віртуалізації файлів і реєстру необхідно повне оновлення політики. Коли комп'ютер Vista знову включиться, директорії файлів і реєстру будуть віртуалізувати.
Порада: Установки пріоритетних політик, що входять в конфігурацію комп'ютера потребують перезавантаження комп'ютера, в той час як параметри пріоритетних політик, що входять в конфігурацію користувача, потребують виходу користувача з системи і його подальшому вході для вступу в силу.
Віртуалізація диспетчера задач
Тепер, коли ми переконалися в тому, що UAC виртуализирует оновлення реєстру і файлів, необхідно переконатися, що кожен процес виконує віртуалізацію коректно. Щоб бачити і контролювати UAC віртуалізацію, можна запустити диспетчера задач (Task Manager). Найпростішим способом запуску диспетчера завдань є натискання правою клавішею на панелі Пуск і вибір опції Меню диспетчера задач. Коли диспетчер спочатку запускається, ви перебуваєте у вкладці Додатки. Вам потрібно перейти у вкладку Процеси, щоб побачити віртуалізацію.
Малюнок 4: Додавання стовпця віртуалізації в вид Процесів диспетчера задач
Коли ви зберігаєте вид з новим стовпчиком, у вас повинен з'явитися стовпець під назвою Віртуалізація в головному вікні диспетчера задач у вкладці Процеси, як показано на малюнку 5.
Малюнок 5: Стовпець віртуалізації доданий у вкладку процесів в диспетчері завдань
Якщо ви хочете бачити всі процеси і їх віртуалізацію, вам потрібно натиснути на кнопку 'Показувати процеси всіх користувачів', яка також включить всі системні процеси. Ви помітите, що віртуалізація процесів, що належать облікові записи електронної SYSTEM, Network service і Local Service, заборонена.
Робота з реєстром (Reg hack) для додавання розширень
Як видно на малюнку 5, жоден з виконуваних файлів, запущених безпосередньо, чи не віртуалізується. Це відбувається тому, що .exe. bat. scr. vbs і інші розширення виключені зі стандартної віртуалізації. Це може викликати проблеми, якщо програмі необхідно оновлюватися самостійно. Стандартний користувач не зможе зробити це, оскільки додаток буде виконуватися в захищеній області.
Якщо у вас є розширення додатків, які ви хочете видалити з початкового списку невіртуалізіруемих розширень, це можна зробити шляхом зміни реєстру. Щоб додати розширення в список виключень невіртуалізіруемих розширень, введіть його в HKEY_LOCAL_MACHINE # 92; System # 92; CurrentControlSet # 92; Services # 92; Luafv # 92; Parameters # 92; ExcludedExtensionsAdd Registry value. Щоб додати розширення (ія), вам потрібно створити значення ExcludedExtensionsAdd Registry. Коли ви додаєте нове значення, використовуйте багатостроковий тип значення реєстру (multi-string Registry value type). Розширення додаються без попередньої точки, тому розширення .exe буде записуватися просто як exe. Після зміни всього списку розширень перезавантажте комп'ютер, щоб зміни набули чинності.
Віртуалізація в режимі реального часу (Real-time Virtualization)
Якщо ви хочете віртуалізувати додаток або процес, який ще не віртуалізувати, це можна зробити відразу. Для виконання цього завдання вам потрібно перебувати в диспетчері завдань. У диспетчері завдань перейдіть у вкладку Процеси, як ми робили це раніше. Потім виберіть процес, який хочете віртуалізувати. Правою клавішею натисніть на процесі, а потім натисніть на опції меню Віртуалізація. У вас з'явиться діалогове вікно підтвердження, як показано на малюнку 6.
Малюнок 6: Діалогове вікно підтвердження того, що ви хочете віртуалізувати процес
Після віртуалізації додатки процес матиме значення Включено в списку процесів вкладки процесів.
висновок
Можливість контролювання різних аспектів UAC віртуалізації надає адміністраторам управління над тим, які програми будуть віртуалізувати. У будь-якому GPO контроль над усіма аспектами UAC досить простий у використанні і установці в Active Directory. Після включення UAC і віртуалізації файлів і реєстру ваші комп'ютери Windows Vista будуть віртуалізувати процеси, які до цього не віртуалізувати. Можна подивитися в диспетчері завдань, що віртуалізується, в результаті ви отримаєте чітку картину того, що віртуалізується, а що - ні.