Bảo vệ file hệ thống bằng UAC Virtualization - Phần 2
Ngu
ồn : quantrimang.com.vn
Derek Melbe
r
Quản trị mạng - Windows Vista sở hữu một công cụ tuyệt vời nhằm bảo vệ các
file, thư mục hệ thống của Registry nhằm tránh bị thỏa hiệp, công cụ đó chính là
User Account Control Virtualization. UAC Virtualization có tác dụng không cho
phép các ứng dụng ghi vào các tài nguyên hệ thống cần bảo vệ bằng cách
chuyển hướng “ghi” tới một location, nơi người dùng có thể truy cập, locatiion nà
y
chính là profile cá nhân của riêng mỗi người. Chính vì vậy virtualization này cho
phép người dùng vẫn có thể chạy các ứng dụng này nhưng dữ liệu lại được ghi
bởi ứng dụng không được gửi đến location hệ thống, điều đó đảm bảo được tính
ổn định của toàn bộ hệ thống. Bằng cách thực hiện đó, sự ảo hóa cho phép
nhiều người dùng có thể chạy các ứng dụng trên cùng máy tính vì mỗi một dữ
liệu cá nhân của h
ọ đều được ghi vào chính profile của riêng mỗi người. Trong
bài này, chúng tôi sẽ giới thiệu cho các bạn cách điều khiển UAC virtualization
bằng Group Policy, Registry và Task Manager.
Các thiết lập Group Policy có liên quan đến UAC
UAC có nhiều tùy chọn có liên quan để giúp kiểm soát hành vi của UAC trên tất
cả các máy tính Vista. Rõ ràng Group Policy là một giải pháp lý tưởng cho việc
điều khiển UAC, cũng như hầu hết cấu hình Vista khác vì nó cung cấp một giải
pháp quản lý tập trung cho các thiết lập này.
Bên trong bất kỳ GPO nào bạn c
ũng có thể tìm thấy các thiết lập dùng để điều
khiển UAC trong phần Computer Configuration. Vì UAC là một thiết lập có liên
quan đến việc bảo mật, do đó bạn sẽ thấy nó nằm trong phần Security Options,
thành phần có thể tìm trong Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options, xem thể hiện trong hình 1.
Hình 1: Các thiết lập UAC được đặt bên trong nút Security Options trong phần
Computer Configuration
Các thiết lập UAC bên trong GPO được đặt ở phần cuối của danh sách Security
Options, danh sách xuất hiện ở phần panel phía bên phải. Để xem được danh
sách này, bạn chỉ cần chọn nút Security Options bên phía panel bên trái, xem
thể hiện trong hình 2.
Hình 2: Các thiết lập UAC đều được đặt ở bên dưới trong danh sách Security
Options
Ở đây bạn sẽ thấy tất cả các điều khiển cần phả
i thiết lập cho UAC trên máy tính
Vista và Windows Server 2008. Lưu ý rằng, có thể điều khiển cách UAC làm việc
như thế nào khi một quản trị viên đăng nhập, cũng như khi một người dùng đăng
nhập. Tùy chọn cuối cùng điều khiển cách Virtualization được liên kết với các
hành vi của UAC như thế nào. Thiết lập này được gán nhãn là “User Account
Control”; Virtualize file và registry sẽ ghi các lỗi vào các location trên mỗi người
dùng.
Việc kích hoạt thiết lập chính sách này sẽ ảo hóa các thiết lập. Nếu thiết lập này
không được cấu hình cho các máy tính Vista, bên cạnh đó bạn lại muốn thiết lập
nó, bạn cần phải thiết lập chính sách này thành Enabled, xem thể hiện trong hình
3.
Hình 3: Để ảo hóa file và các Registry trong khi ghi, thiết lập chính sách là
Enabled
Sau khi cấu hình thiết lập chính sách này, bạn cần phải bảo đảm rằng nó sử
dụng cho các máy tính Vista. Cũng cần phải kh
ởi động lại máy tính Vista để thiết
lập này có hiệu lực, vì nó chỉ bám chặt với refresh chính sách tiền cảnh
(foreground) để thực hiện ảo hóa các file và registry. Khi máy tính Vista khởi
động xong, bạn sẽ có các file và các location của Registry đã được ảo hóa.
Mẹo:
Các thiết lập chính sách Foreground nằm trong Computer Configuration cần phải
được khởi động lại máy tính, còn thiết lập chính sách foreground trong User
Configuration cần phải đăng xuất người dùng sau đó đăng nhập trở lại để có
hiệu lực.
Ảo hóa Task manager
Lúc này bạn đã chắc chắn rằng UAC sẽ ảo hóa các file và các nâng cấp thanh
ghi của mình, cần thẩm định rằng mỗi quá trình đều đang thực hiện sự ảo hóa
đúng cách. Để xem được điều đó, bạn cần ph
ải có được sự điều khiển, UAC
virtualization, có thể khởi chạy Task Manager. Các đơn giản nhất mà chúng tôi
tìm thấy để khởi chạy Task Manager là kích chuột phải vào thanh bar Start. Bạn
cần vào tab Processes để thấy được sự ảo hóa ở đây.
Khi nằm trong tab Processes trong Task Manager, bạn sẽ thấy không có chỉ thị
ban đầu của sự ảo hóa. Mặc dù vậy, để xem những gì được ảo hóa khá dễ
dàng. Xem những gì được ảo hóa, hãy ch
ọn tùy chọn menu View, sau đó kích
vòa tùy chọn Select Columns. Ở phía dưới danh sách này bạn sẽ thấy một hộp
kiểm Virtualization, xem thể hiện trong hình 4.
Hình 4: Bổ sung thêm cột Virtualization vào Task Manager
Lưu cửa sổ mới của mình, khi đó bạn sẽ thấy một cột mới đó là Virtualization
trong cửa sổ Task Manager chính dưới tab Processes, xem thể hiện trong hình
5.
Hình 5: Cột Virtualization đã bổ sung vào tab Processes trong Task Manager
Nếu bạn muốn thấy tất cả các quá trình và các vấn đề ảo hóa của chúng, hãy
kích nút “Show processes from all users”, đây là nút sẽ chứa đựng các quá trình
của hệ thống. Bạn sẽ thấy rằng các quá trình được sở hữu bởi SYSTEM,
Network service, và Local Service đều không được phép ảo hóa.
Tổ chức thanh ghi để thêm vào các đuôi mở rộng
Như những gì bạn thấy trong hình 5, không có thực thi nào được chạy trực ti
ếp
được ảo hóa. Điều này là do các file thực thi .exe, .bat, .scr, .vbs, và các thực thi
khác đã được loại trừ ở đây. Điều này gây ra một số vấn đề nếu một chương
trình nào đó cần được tự nâng cấp bản thân nó. Người dùng chuẩn sẽ không thể
thực hiện điều này, vì ứng dụng sẽ đang chạy trong các vùng được bảo vệ.
Nếu bạn có một mở rông ứ
ng dụng cần bỏ qua khỏi danh sách ban đầu này của
các mở rộng không được ảo hóa, bạn cần phải thay đổi Registry. Để bổ sung
thêm mở rộng của bạn vào danh sách ngoại lệ các mở rộng không được ảo hóa,
bạn hãy vào
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Luafv\Parameters
\ExcludedExtensionsAdd Registry value. Để bổ sung thêm các mở rộng của bạn,
bạn cần phải tạo một giá trị ExcludedExtensionsAdd Registry. Khi bạn thêm vào
một giá trị mới, hãy sử dụng kiểu giá trị multi-string Registry. Các mở rộng sẽ