Bảo vệ file hệ thống bằng UAC Virtualization - Phần 1

Khi một người dùng chuẩn đăng nhập vào máy tính chạy hệ điều hành Windows, đó cũng là lúc có một số hành động cần phải được bảo vệ. Sự bảo vệ này không phải lúc nào cũng thành công vì một số phiên bản Windows không bảo vệ hệ thống tốt như mọi người hằng mong đợi Các hành động cần được bảo vệ là sự thay đổi hoặc việc ghi vào các thư mục hệ thống và các location trong Registry. Điều này hoàn toàn cần thiết để bảo vệ sự ổn định cũng như độ bảo mật...
Nội dung trích xuất từ tài liệu:
Bảo vệ file hệ thống bằng UAC Virtualization - Phần 1 Bảo vệ file hệ thống bằng UAC Virtualization - Phần 1 Khi một người dùng chuẩn đăng nhập vào máy tính chạy hệ điều hành Windows, đó cũng là lúc có một số hành động cần phải được bảo vệ. Sự bảo vệ này không phải lúc nào cũng thành công vì một số phiên bản Windows không bảo vệ hệ thống tốt như mọi người hằng mong đợi Các hành động cần được bảo vệ là sự thay đổi hoặc việc ghi vào các thư mục hệ thống và các location trong Registry. Điều này hoàn toàn cần thiết để bảo vệ sự ổn định cũng như độ bảo mật của toàn hệ điều hành. Về vấn đề này Windows Vista đã cung cấp một giải pháp tuyệt vời để giúp chúng ta có thể bảo vệ cácvùng hệ thống này. Vista sử dụng User Account Control và Virtualization để thực hiện.Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách UAC sử dụng Virtualization đểbảo vệ hệ thống.Lược lại lịch sử của hành vi ứng dụng doanh nghiệpThư mục Program Files (được đăt tại C:Program Files, hay vẫn được viết là%ProgramFiles%) là nơi hầu hết các ứng dụng LOB (dòng doanh nghiệp) lưu các filethực thi cho các ứng dụng. Trong hầu hết các trường hợp, các thiết lập cho ứng dụngLOB được lưu trong HKEY_LOCAL_MACHINESoftware trong Registry. Cả hailocation này đều được bảo vệ bởi hệ điều hành bằng cách chỉ cho phép hệ thống và cácquản trị viên mới có quyền truy cập và ghi, còn người dùng có thể đọc và truy cập ở mứcthực thi.Các ứng dụng dòng doanh nghiệp cần được thiết kế để có thể ghi vào các thư mục dữ liệuứng dụng cụ thể của người dùng, các thư mục này sẽ được đặt trong user profile. Thườngvẫn là C:Users\AppData hay %AppData%. Nếu có thiết lập nào cần thiếtphải được lưu, thì các thiết lập này cần được đặt trong Registry tạiHKEY_CURRENT_USERSoftware. Cả hai location này đều được tạo trên một ngườidùng và được bảo vệ bằng cách chỉ cho phép người dùng có quyền truy cập đến dữ liệumới có thể ghi và thay đổi.Mặc dù vậy nhiều ứng dụng doanh nghiệp lại không được thiết kế để làm việc theo cáchđó mà thay vì đó chúng lại được thiết kế để lưu dữ liệu của người dùng trong%ProgramFiles% và HKEY_LOCAL_MACHINESoftware. Tuy nhiên, những nguờidùng chuẩn không có quyền truy cập ở mức ghi vào các location này, location có thể làmcho nhiều công ty có thể bổ sung thêm người dùng chuẩn vào nhóm quản trị nội bộ đểchạy các ứng dụng này. Rõ ràng, điều đó thực sự không hề an toàn chút nào, vì ngườidùng có thể thay đổi bất cứ thứ gì trên máy tính của họ.UAC VirtualizationDo các ứng dụng dòng doanh nghiệp không thể bị thay đổi một cách dễ dàng và ngườidùng vẫn phải chạy các ứng dụng này, chính vì lẽ đó Vista đã sử dụng một phương phápkhác để khắc phục vấn đề này. Bên trong Vista, UAC có bổ sung thêm tính năng ảo hóahệ thống file và không gian tên của Registry. UAC sẽ ảo hóa các ứng dụng mang tính kếthừa và cho phép các người dùng chuẩn giữ một “standard user”, nhưng vẫn có thể chạyứng dụng. Định nghĩa tính kế thừa trong trường hợp này gồm có các xử lý 32-bit, khôngchạy với các đặc quyền quản trị viên, không gồm các file manifest của Windows Vista.Nếu một xử lý nào đó hoặt một hành đông nào đó không hội tụ đủ các điều kiện cần thiếtsẽ không được xử lý ảo. Thêm vào đó là các xử lý và các hoạt động dưới đây cũngkhông: • Các ứng dụng Vista mặc định • Các file thực thi với các đuôi mở rộng như .EXE, .BAT, .VBS và .SCR. Có thể bổ sung thêm các ngoại lệ về đuôi mở rộng trong HKLMSystemCurrentControlSetServicesLuafvParametersExcludedExtension sAdd. • Các ứng dụng và các quá trình 64-bit • Các ứng dụng với chỉ thị Execution Level trong manifest thực thi của họ, giống như hầu hết các thực thi của Vista. • Các quá trình hoặc các ứng dụng đang chạy với quyền quản trị viên. • Các ứng dụng chạy trong chế độ Kernel • Các hoạt động không bắt nguồn từ một session đăng nhập mang tính tương tác, giống như việc chia sẻ file. • Các ứng dụng thay đổi registry key đã được đánh dấu cờ “Dont_Virtualize registry”Virtualization của hệ thống file và Registry không được thực hiện một cách rộng rãi. Nóbị hạn chế ở một số location, điều đó là cần thiết cho hệ điều hành chạy và giữ cho chúngđược an toàn. Đây là danh sách gần như hoàn tất của các location được ảo hóa: • Program Files and subfolders • Program Files (x86) on 64-bit systems • Windows and all subfolders, including System32 • Users\%AllUsersProfile%ProgramData • Documents and Settings (symbolic link) • HKLMSoftwareThẩm định UAC VirtualizationKhi một hành động nào đó được ảo hóa, nội dung của nó sẽ được lưu vào trong profilengười dùng như chúng ta đã đề cập ở trên. Mặc dù vậy, bạn có biết ...