Bảo vệ file hệ thống bằng UAC Virtualization - Phần 2

Bảo vệ file hệ thống bằng UAC Virtualization - Phần 1

Derek Melber

Quản trị mạng - Windows Vista sở hữu một công cụ tuyệt vời nhằm bảo vệ các file, thư mục hệ thống của Registry nhằm tránh bị thỏa hiệp, công cụ đó chính là User Account Control Virtualization. UAC Virtualization có tác dụng không cho phép các ứng dụng ghi vào các tài nguyên hệ thống cần bảo vệ bằng cách chuyển hướng “ghi” tới một location, nơi người dùng có thể truy cập, locatiion này chính là profile cá nhân của riêng mỗi người. Chính vì vậy virtualization này cho phép người dùng vẫn có thể chạy các ứng dụng này nhưng dữ liệu lại được ghi bởi ứng dụng không được gửi đến location hệ thống, điều đó đảm bảo được tính ổn định của toàn bộ hệ thống. Bằng cách thực hiện đó, sự ảo hóa cho phép nhiều người dùng có thể chạy các ứng dụng trên cùng máy tính vì mỗi một dữ liệu cá nhân của họ đều được ghi vào chính profile của riêng mỗi người. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn cách điều khiển UAC virtualization bằng Group Policy, Registry và Task Manager.

Các thiết lập Group Policy có liên quan đến UAC

UAC có nhiều tùy chọn có liên quan để giúp kiểm soát hành vi của UAC trên tất cả các máy tính Vista. Rõ ràng Group Policy là một giải pháp lý tưởng cho việc điều khiển UAC, cũng như hầu hết cấu hình Vista khác vì nó cung cấp một giải pháp quản lý tập trung cho các thiết lập này.

Bên trong bất kỳ GPO nào bạn cũng có thể tìm thấy các thiết lập dùng để điều khiển UAC trong phần Computer Configuration. Vì UAC là một thiết lập có liên quan đến việc bảo mật, do đó bạn sẽ thấy nó nằm trong phần Security Options, thành phần có thể tìm trong Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options, xem thể hiện trong hình 1.

Hình 1: Các thiết lập UAC được đặt bên trong nút Security Options trong phần Computer Configuration

Các thiết lập UAC bên trong GPO được đặt ở phần cuối của danh sách Security Options, danh sách xuất hiện ở phần panel phía bên phải. Để xem được danh sách này, bạn chỉ cần chọn nút Security Options bên phía panel bên trái, xem thể hiện trong hình 2.

Hình 2: Các thiết lập UAC đều được đặt ở bên dưới trong danh sách Security Options

Ở đây bạn sẽ thấy tất cả các điều khiển cần phải thiết lập cho UAC trên máy tính Vista và Windows Server 2008. Lưu ý rằng, có thể điều khiển cách UAC làm việc như thế nào khi một quản trị viên đăng nhập, cũng như khi một người dùng đăng nhập. Tùy chọn cuối cùng điều khiển cách Virtualization được liên kết với các hành vi của UAC như thế nào. Thiết lập này được gán nhãn là “User Account Control”; Virtualize file và registry sẽ ghi các lỗi vào các location trên mỗi người dùng.

Việc kích hoạt thiết lập chính sách này sẽ ảo hóa các thiết lập. Nếu thiết lập này không được cấu hình cho các máy tính Vista, bên cạnh đó bạn lại muốn thiết lập nó, bạn cần phải thiết lập chính sách này thành Enabled, xem thể hiện trong hình 3.

Hình 3: Để ảo hóa file và các Registry trong khi ghi, thiết lập chính sách là Enabled

Sau khi cấu hình thiết lập chính sách này, bạn cần phải bảo đảm rằng nó sử dụng cho các máy tính Vista. Cũng cần phải khởi động lại máy tính Vista để thiết lập này có hiệu lực, vì nó chỉ bám chặt với refresh chính sách tiền cảnh (foreground) để thực hiện ảo hóa các file và registry. Khi máy tính Vista khởi động xong, bạn sẽ có các file và các location của Registry đã được ảo hóa.

Mẹo:
Các thiết lập chính sách Foreground nằm trong Computer Configuration cần phải được khởi động lại máy tính, còn thiết lập chính sách foreground trong User Configuration cần phải đăng xuất người dùng sau đó đăng nhập trở lại để có hiệu lực.

Ảo hóa Task manager

Lúc này bạn đã chắc chắn rằng UAC sẽ ảo hóa các file và các nâng cấp thanh ghi của mình, cần thẩm định rằng mỗi quá trình đều đang thực hiện sự ảo hóa đúng cách. Để xem được điều đó, bạn cần phải có được sự điều khiển, UAC virtualization, có thể khởi chạy Task Manager. Các đơn giản nhất mà chúng tôi tìm thấy để khởi chạy Task Manager là kích chuột phải vào thanh bar Start. Bạn cần vào tab Processes để thấy được sự ảo hóa ở đây.

Khi nằm trong tab Processes trong Task Manager, bạn sẽ thấy không có chỉ thị ban đầu của sự ảo hóa. Mặc dù vậy, để xem những gì được ảo hóa khá dễ dàng. Xem những gì được ảo hóa, hãy chọn tùy chọn menu View, sau đó kích vòa tùy chọn Select Columns. Ở phía dưới danh sách này bạn sẽ thấy một hộp kiểm Virtualization, xem thể hiện trong hình 4.

Hình 4: Bổ sung thêm cột Virtualization vào Task Manager

Lưu cửa sổ mới của mình, khi đó bạn sẽ thấy một cột mới đó là Virtualization trong cửa sổ Task Manager chính dưới tab Processes, xem thể hiện trong hình 5.

Hình 5: Cột Virtualization đã bổ sung vào tab Processes trong Task Manager

Nếu bạn muốn thấy tất cả các quá trình và các vấn đề ảo hóa của chúng, hãy kích nút “Show processes from all users”, đây là nút sẽ chứa đựng các quá trình của hệ thống. Bạn sẽ thấy rằng các quá trình được sở hữu bởi SYSTEM, Network service, và Local Service đều không được phép ảo hóa.

Tổ chức thanh ghi để thêm vào các đuôi mở rộng

Như những gì bạn thấy trong hình 5, không có thực thi nào được chạy trực tiếp được ảo hóa. Điều này là do các file thực thi .exe, .bat, .scr, .vbs, và các thực thi khác đã được loại trừ ở đây. Điều này gây ra một số vấn đề nếu một chương trình nào đó cần được tự nâng cấp bản thân nó. Người dùng chuẩn sẽ không thể thực hiện điều này, vì ứng dụng sẽ đang chạy trong các vùng được bảo vệ.

Nếu bạn có một mở rông ứng dụng cần bỏ qua khỏi danh sách ban đầu này của các mở rộng không được ảo hóa, bạn cần phải thay đổi Registry. Để bổ sung thêm mở rộng của bạn vào danh sách ngoại lệ các mở rộng không được ảo hóa, bạn hãy vào HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Luafv\Parameters\ExcludedExtensionsAdd Registry value. Để bổ sung thêm các mở rộng của bạn, bạn cần phải tạo một giá trị ExcludedExtensionsAdd Registry. Khi bạn thêm vào một giá trị mới, hãy sử dụng kiểu giá trị multi-string Registry. Các mở rộng sẽ được thêm vào mà không cần dấu chấm phía trước, ví dụ .exe sẽ chỉ là exe. Sau khi thay đổi toàn bộ danh sách các mở rộng, khởi động lại máy tính để thay đổi có hiệu lực.

Ảo hóa thời gian thực

Nếu muốn ảo hóa một ứng dụng hoặc quá trình chưa được ảo hóa, bạn có thể thực hiện điều đó khi hệ thống đang hoạt động. Để thực hiện nhiệm vụ này, bạn cần phải vào Task Manager. Bên trong Task Manager, vào tab Processes giống như bạn đã thực hiện trước đó. Sau đó chọn quá trình mà bạn muốn ảo hóa. Từ đó, kích chuột phải vào quá trình và sau đó kích tùy chọn menu Virtualization. Thao tác này sẽ hiện diện cho bạn hộp thoại xác nhận, xem thể hiện trong hình 6.

Hình 6: Hộp thoại cấu hình cho phép bạn ảo hóa việc xử lý

Sau khi bạn ảo hóa ứng dụng, quá trình sẽ có trạng thái Enabled trong danh sách tab Processes của processes.

Kết luận

Khả năng điều khiển các khía cạnh khác nhau của UAC virtualization mang cho phép các quản trị viên có thể quản lý ứng dụng nào được ảo hóa. Bên trong bất kỳ GPO nào, sự kiểm soát trên khía cạnh UAC đều là cách dễ dàng để sử dụng và cũng dễ dàng để triển khai thông qua Active Directory. Sau khi UAC được kích hoạt và sự ảo hóa các file và Registry cũng được kích hoạt, Windows Vista của bạn sẽ khởi động các quá trình ảo không có trước đó. Có thể thấy được những gì bên trong Task Manager, điều đó cho bạn thấy được bức tranh rõ nét về những gì đã được ảo hóa và những gì không.