使用UAC虚拟化保护系统文件
与UAC相关的组策略设置
UAC有很多相关的可选功能以帮助控制系统中所有Vista计算机的UAC行为。毫无疑问,组策略是控制UAC的最佳解决方案,因为它能够为各种UAC设置提供集中管理解决方案。
在任何GPO中,你都能找到计算机配置(Computer Configuration)下控制UAC的设置。由于UAC是一个与安全相关的功能,能够在标准安全选项(Security Options)节点处找到UAC,位置是Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options。
GPO内的UAC设置位于安全选项(Security Options)列表的底部,将出现在右边窗格中,要想看到该列表,只需选择左窗格中的Security Options。
在这里你能够找到在Vista和Windows Server2008电脑中安装UAC所需要的控制,请注意,你可以控制当系统管理员登录时UAC的行为,以及标准用户登录时的行为。最后的选项能够控制虚拟化如何与UAC行为相联合,此设置的标示为“用户帐户控制(UAC)”,向每个用户位置虚拟化文件和注册表写入。
启用该策略设置实际上能够虚拟化这些设置,如果该设置没有配置到Vista电脑上,而你想要它,那么你首先需要启用该设置。
当你配置好策略设置后,你将需要确保它能够适用于Vista电脑,并需要重新启动Windows Vista电脑以使设置生效,因为需要刷新前台策略来虚拟化文件和注册表。Vista重新启动的时候,文件和注册表位置就已经被虚拟化好了。
注意:
隶属计算机配置的前台策略设置需要重新启动系统,因为用户配置(User Configuration)下的前台策略设置需要将用户注销,然后才能生效。
任务管理器虚拟化
UAC已经开始虚拟化文件和注册表更新了,现在需要确认虚拟化每一进程都在顺利进行。要想查看UAC虚拟化进程,你可以登录任务管理器。我发现登录任务管理器最快捷的方法就是右击“开始”,然后选择任务管理器菜单选项,当任务管理器启动时,你就能看到应用程序选项,然后选择“Processes”选项以查看虚拟化进程。
选择Processes选项后,你会发现找不到任何虚拟化进程的踪影,不过能够很快速地看到哪些东西被虚拟化了,选择“View(查看)”选项,然后点击“Select Columns”选项,在此列表地底部你会看见虚拟化地复选框。
保存好新的查看列表后,你会看到一个新的列表,在Processes进程选项中你就能看到虚拟化进程了。
如果你想看到所有进程及其虚拟化,可以底部的点击“Show processes from all users(查看所有用户进程)”按钮,其中也包括系统进程。你会发现SYSTEM、网络服务和本地服务的进程不允许被虚拟化。
修改注册表增加扩展名
没有任何直接运行的可执行文件能够被虚拟化,这是因为.exe、.bat、.scr以及.vbs等文件被排除在标准虚拟化之外,如果程序需要自我更新时就很难实现,标准用户将无法实现更新,因为这些程序在受保护区域运行。
如果你需要从非虚拟化扩展名列表中删除某个应用程序扩展名,你可以通过修改注册表来实现。要添加扩展名到非虚拟化扩展名列表中,将他们放入HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Luafv\Parameters\ExcludedExtensionsAdd注册表值中。要添加入你的扩展名中,你需要创建ExcludedExtensionsAdd注册表值,当你添加到新值后,使用多字符注册表类型,修改好整个扩展名列表后,重启计算机以使改变生效。
实时虚拟化
如果你想对还未被虚拟化的应用程序和进程进行虚拟化,需要进入任务管理器,然后进入进程选项框,接着选择你想要虚拟的进程,右键单击进程并单击虚拟化菜单选项,此时将会弹出一个确认对话框,如图6所示。
综述
对UAC虚拟化不同方面控制的能力能够让系统管理员选择需要被虚拟化的应用程序,任何GPO中对UAC每方面的控制都很容易操作且很容易通过Active Directory部署。启用UAC和文件注册表的虚拟化后,Windows Vista计算机就能够开始虚拟化进程,你可以通过任务管理器查看虚拟化进程,让你清楚地了解哪些被虚拟化而哪些不能被虚拟化。
