Bảo vệ file hệ thống bằng UAC Virtualization - Phần 2

Windows Vista sở hữu một công cụ tuyệt vời nhằm bảo vệ các
file, thư mục hệ thống của Registry nhằm tránh bị thỏa hiệp,
công cụ đó chính là User Account Control Virtualization.


UAC Virtualization có tác dụng không cho phép các ứng dụng
ghi vào các tài nguyên hệ thống cần bảo vệ bằng cách chuyển
hướng “ghi” tới một location, nơi người dùng có thể truy cập,
locatiion này chính là profile cá nhân của riêng mỗi người. Chính vì vậy virtualization này cho
phép người dùng vẫn có thể chạy các ứng dụng này nhưng dữ liệu lại được ghi bởi ứng dụng
không được gửi đến location hệ thống, điều đó đảm bảo được tính ổn định của toàn bộ hệ thống.
Bằng cách thực hiện đó, sự ảo hóa cho phép nhiều người dùng có thể chạy các ứng dụng trên
cùng máy tính vì mỗi một dữ liệu cá nhân của họ đều được ghi vào chính profile của riêng mỗi
người. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách điều khiển UAC virtualization
bằng Group Policy, Registry và Task Manager.
Các thiết lập Group Policy có liên quan đến UAC
UAC có nhiều tùy chọn có liên quan để giúp kiểm soát hành vi của UAC trên tất cả các máy tính
Vista. Rõ ràng Group Policy là một giải pháp lý tưởng cho việc điều khiển UAC, cũng như hầu
hết cấu hình Vista khác vì nó cung cấp một giải pháp quản lý tập trung cho các thiết lập này.
Bên trong bất kỳ GPO nào bạn cũng có thể tìm thấy các thiết lập dùng để điều khiển UAC trong
phần Computer Configuration. Vì UAC là một thiết lập có liên quan đến việc bảo mật, do đó bạn
sẽ thấy nó nằm trong phần Security Options, thành phần có thể tìm trong Computer
Configuration\Windows Settings\Security Settings\Local Policies\Security Options, xem thể hiện
trong hình 1.

Hình 1: Các thiết lập UAC được đặt bên trong nút Security Options trong phần Computer
Configuration
Các thiết lập UAC bên trong GPO được đặt ở phần cuối của danh sách Security Options, danh
sách xuất hiện ở phần panel phía bên phải. Để xem được danh sách này, bạn chỉ cần chọn nút

Security Options bên phía panel bên trái, xem thể hiện trong hình 2.

Hình 2: Các thiết lập UAC đều được đặt ở bên dưới trong danh sách Security Options
Ở đây bạn sẽ thấy tất cả các điều khiển cần phải thiế
t lập cho UAC trên máy tính Vista và
Windows Server 2008. Lưu ý rằng, có thể điều khiển cách UAC làm việc như thế nào khi một
quản trị viên đăng nhập, cũng như khi một người dùng đăng nhập. Tùy chọn cuối cùng điều
khiển cách Virtualization được liên kết với các hành vi của UAC như thế nào. Thiết lập này được
gán nhãn là “User Account Control”; Virtualize file và registry sẽ ghi các lỗi vào các location
trên mỗi người dùng.
Việc kích hoạt thiết lập chính sách này sẽ ảo hóa các thiết lậ
p. Nếu thiết lập này không được cấu
hình cho các máy tính Vista, bên cạnh đó bạn lại muốn thiết lập nó, bạn cần phải thiết lập chính
sách này thành Enabled, xem thể hiện trong hình 3.

Hình 3: Để ảo hóa file và các Registry trong khi ghi, thiết lập chính sách là Enabled
Sau khi cấu hình thiết lập chính sách này, bạn cần phải bảo đảm rằng nó sử dụng cho các máy
tính Vista. Cũng cần phải khởi động lại máy tính Vista để thiết lập này có hiệu lực, vì nó chỉ bám
chặt với refresh chính sách tiền cảnh (foreground) để thực hiện ảo hóa các file và registry. Khi
máy tính Vista khởi động xong, bạn sẽ có các file và các location của Registry đã được ảo hóa.
Mẹo:
Các thiết l
ập chính sách Foreground nằm trong Computer Configuration cần phải được khởi
động lại máy tính, còn thiết lập chính sách foreground trong User Configuration cần phải đăng
xuất người dùng sau đó đăng nhập trở lại để có hiệu lực.
Ảo hóa Task manager
Lúc này bạn đã chắc chắn rằng UAC sẽ ảo hóa các file và các nâng cấp thanh ghi của mình, cần
thẩm định rằng mỗi quá trình đều đang thực hiện sự ảo hóa đúng cách. Để xem được điều đó,
bạn cần phải có được sự điều khiển, UAC virtualization, có thể khởi chạy Task Manager. Các
đơn giản nhất mà chúng tôi tìm thấy để khởi chạy Task Manager là kích chuột phải vào thanh bar

Start. Bạn cần vào tab Processes để thấy được sự ảo hóa ở đây.
Khi nằm trong tab Processes trong Task Manager, bạn sẽ thấy không có chỉ thị ban đầu của sự ảo
hóa. Mặc dù vậy, để xem những gì được ảo hóa khá dễ dàng. Xem những gì được ảo hóa, hãy
chọn tùy chọn menu View, sau đó kích vòa tùy chọn Select Columns. Ở phía dưới danh sách này
bạn sẽ thấy một hộp kiểm Virtualization, xem thể hiện trong hình 4.

Hình 4: Bổ sung thêm cột Virtualization vào Task Manager
Lưu cửa sổ mới của mình, khi đó bạn sẽ thấy một cột mới đó là Virtualization trong cửa sổ Task
Manager chính dưới tab Processes, xem thể hiện trong hình 5.

Hình 5: Cột Virtualization đã bổ sung vào tab Processes trong Task Manager
Nếu bạn muốn thấy tất cả các quá trình và các vấn đề ảo hóa của chúng, hãy kích nút “Show
processes from all users”, đây là nút sẽ chứa đựng các quá trình của hệ thống. Bạn sẽ thấy rằng
các quá trình được sở hữu bởi SYSTEM, Network service, và Local Service đều không được
phép ảo hóa.
Tổ chức thanh ghi để thêm vào các đuôi mở rộng
Như những gì bạn thấy trong hình 5, không có thực thi nào được chạy trực tiếp được ảo hóa.
Điều này là do các file thực thi .exe, .bat, .scr, .vbs, và các thực thi khác đã được loại trừ ở đây.
Điều này gây ra một số vấn đề nếu một chương trình nào đó cần được tự nâng cấp bản thân nó.
Người dùng chuẩn sẽ không thể thực hiện điều này, vì ứng dụng sẽ đang chạy trong các vùng
được bảo vệ.
Nếu bạn có một mở rông ứng dụng c
ần bỏ qua khỏi danh sách ban đầu này của các mở rộng
không được ảo hóa, bạn cần phải thay đổi Registry. Để bổ sung thêm mở rộng của bạn vào danh
sách ngoại lệ các mở rộng không được ảo hóa, bạn hãy vào
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Luafv\Parameters\ExcludedEx
tensionsAdd Registry value. Để bổ sung thêm các mở rộng của bạn, bạn cần phải tạo một giá trị
ExcludedExtensionsAdd Registry. Khi bạn thêm vào một giá trị mới, hãy sử dụng kiểu giá trị
multi-string Registry. Các mở rộng sẽ được thêm vào mà không cần dấu chấm phía trước, ví dụ
.exe sẽ chỉ là exe. Sau khi thay đổi toàn bộ danh sách các mở rộng, khởi động lại máy tính để

thay đổi có hiệu lực.
Ảo hóa thời gian thực
Nếu muốn ảo hóa một ứng dụng hoặc quá trình chưa được ảo hóa, bạn có thể thực hiện điều đó
khi hệ thống đang hoạt động. Để thực hiện nhiệm vụ này, bạn cần phải vào Task Manager. Bên
trong Task Manager, vào tab Processes giống như bạn đã thực hiện trước đó. Sau đó chọn quá
trình mà bạn muốn ảo hóa. Từ đó, kích chuột phải vào quá trình và sau đó kích tùy chọ
n menu
Virtualization. Thao tác này sẽ hiện diện cho bạn hộp thoại xác nhận, xem thể hiện trong hình 6.

Hình 6: Hộp thoại cấu hình cho phép bạn ảo hóa việc xử lý
Sau khi bạn ảo hóa ứng dụng, quá trình sẽ có trạng thái Enabled trong danh sách tab Processes
của processes.
Kết luận
Khả năng điều khiển các khía cạnh khác nhau của UAC virtualization mang cho phép các quản
trị viên có thể quản lý ứng dụng nào được ảo hóa. Bên trong bất kỳ GPO nào, sự kiểm soát trên
khía cạ
nh UAC đều là cách dễ dàng để sử dụng và cũng dễ dàng để triển khai thông qua Active
Directory. Sau khi UAC được kích hoạt và sự ảo hóa các file và Registry cũng được kích hoạt,
Windows Vista của bạn sẽ khởi động các quá trình ảo không có trước đó. Có thể thấy được
những gì bên trong Task Manager, điều đó cho bạn thấy được bức tranh rõ nét về những gì đã
được ảo hóa và những gì không.
