Handleiding voor gebruikersaccountbeheer (UAC). Gebruikersaccountbeheer (UAC) inschakelen, configureren en uitschakelen

1. Gebruikersaccountbeheer UAC-gebruikers

User Account Control (UAC) werd geïntroduceerd als een beveiligingstool voor de operatiekamer. Windows-systemen om gewone gebruikers te helpen bij het uitvoeren van administratieve taken en om gebruikers aan te sporen programma's niet als beheerder uit te voeren. Wanneer een programma beheerdersrechten vereist, opent UAC een klein venster en vraagt ​​de gebruiker of hij door wil gaan met de actie. Bij het ontwikkelen van de tool werd aangenomen dat UAC de activiteit van potentiële malware zou helpen voorkomen.

Opmerking: In feite, maar de meest voorkomende kwetsbaarheid in computerbeveiliging is de gebruiker zelf. In de meeste gevallen is er maar één gebruiker op de computer: de beheerder. Dus. Elk programma wordt uitgevoerd als beheerder. Als het gaat om ervaren gebruikers, is dit niet eng, omdat ze in de regel weten wat kan worden gestart en wat verdacht is en moet worden gecontroleerd door de antivirus. In het geval van beginnende gebruikers is dit een enorm probleem, aangezien nieuwelingen, onbewust, alles lanceren wat virussen met succes gebruiken.

Dit artikel helpt u het doel van UAC te begrijpen, evenals hoe u wachtwoordbeveiliging kunt inschakelen en hoe u hiermee uw systeem kunt beveiligen.

2. Hoe en waarom het UAC-venster kan verschijnen

Er zijn verschillende mogelijke scenario's waardoor het UAC-venster kan verschijnen:

• Bij het installeren/verwijderen van programma's
• Bij het proberen te openen systeemhulpprogramma zoals MSConfig of Regedit (Register-editor)
• Alle soorten programma's die proberen toegang te krijgen tot systeemcomponenten of te controleren op updates voor tools van derden of wijzig de systeemtijd
• Bij het verwijderen/toevoegen van mappen in de map Program Files of in systeemmap(meestal C: \ Windows)
• Tenslotte. Het UAC-venster wordt alleen weergegeven wanneer u een proces start, zoals installeren / bijwerken / verwijderen software, stuurprogramma's, plug-ins, of in sommige gevallen bij het starten van programma's (bijvoorbeeld games), evenals bij het installeren van Windows-updates. En het is alles. Als het UAC-venster verschijnt terwijl u niets hebt gedaan, is er waarschijnlijk malware op uw systeem.

Opmerking: Afhankelijk van de instellingen kunnen de UAC-vensters echter niet worden weergegeven. Als u bijvoorbeeld verhoging weigeren hebt geconfigureerd voor: gewone gebruikers... Maar daarover later meer.

3. Wat gebruikers vinden van UAC

Misschien niet één Windows-functie veroorzaakte niet zoveel negatieve en positieve emoties en recensies zoals Gebruikersaccountbeheer, dat debuteerde in Windows Vista. De meeste gebruikers ergerden zich aan het schijnbaar eindeloze en onuitputtelijke aantal pop-ups die constant jammerden "Dit programma toestaan ​​of niet" / "Het programma probeert de volgende wijzigingen aan te brengen. Toestaan ​​of niet." Dus je hebt waarschijnlijk gehoord, en meer dan eens, de zin "Schakel het gewoon uit en het probleem zal worden opgelost." Het is duidelijk dat UAC de meeste mensen irriteert en computergebruik ondraaglijk maakt.

Desalniettemin is het de moeite waard om na te denken en uit te zoeken hoe UAC werkt en welke voordelen het kan opleveren voordat u UAC uitschakelt.

4. Beheerder of gewone gebruiker - voor- en nadelen

De meeste gewone gebruikers zijn meer gewend om altijd op het systeem in te loggen met beheerdersrechten, omdat het gemakkelijker is om programma's, stuurprogramma's, games, enzovoort te installeren / verwijderen. Het nadeel van werken als beheerder is dat het veel gemakkelijker is voor malware zoals virussen en rootkits om je systeem te beschadigen. Er is ook een grote kans dat u uw systeem per ongeluk beschadigt, als gevolg hiervan makkelijke toegang Tot systeem gereedschap zoals Windows Register (Regedit) en Systeemconfiguratie (MSConfig). Als u inlogt als standaard gebruiker dan is uw toegang beperkt, maar kunt u de meeste acties uitvoeren, met uitzondering van het aanbrengen van systeembrede wijzigingen en het toevoegen/verwijderen van programma's.

Dankzij UAC kunt u beheerdersacties uitvoeren, zelfs als u een gewone gebruiker bent. U kunt blijven inloggen als beheerder en tegelijkertijd UAC configureren om om een ​​wachtwoord te vragen voor administratieve acties (daarover later meer).

Opmerking: om de UAC-wachtwoordprompt in te schakelen, moet u zijn aangemeld met een beheerdersaccount, omdat u moet uitvoeren systeem editor lokale beleidsinstellingen (secpol.msc).

Een kleine truc.

Om de standaard verborgen superbeheerdersvermelding in te schakelen, waaronder absoluut alle programma's als beheerder zullen worden uitgevoerd zonder het UAC-venster, moet u een opdrachtprompt openen met beheerdersrechten en de volgende tekst invoeren:

• netto gebruiker beheerder / actief: ja (voor Russische Windows: netto gebruiker Beheerder / actief: ja)

5. UAC-instellingen in Windows 7

UAC heeft veel instellingen, niet alleen weergave-instellingen (zie hoe u UAC uitschakelt), maar de meeste behoren tot de lokale beveiligingsbeleidsinstellingen, die alleen toegankelijk zijn via het secpol.msc-systeemhulpprogramma. Er zijn ongeveer 10 instellingen. Van het grootste belang voor gebruikers is "Gebruikersaccountbeheer: gedrag bij verhoging van vragen voor standaardgebruikers", waarin u een wachtwoordprompt kunt instellen in het UAC-venster voor gewone gebruikers.

Opmerking: Als een feit, maar meest instellingen die problemen kunnen veroorzaken, probeert Windows altijd zo ver mogelijk van de gemiddelde gebruiker af te plaatsen.

En hier is hoe je het kunt doen:

1. Open het menu Start en typ "secpol.msc" in de zoekbalk (zonder aanhalingstekens)
2. Vouw aan de linkerkant het item 'Lokaal beleid' uit
3. Selecteer vervolgens "Beveiligingsopties"
4. Zoek aan de rechterkant "User Account Control: Elevation Prompt Behavior for Standard Users" en dubbelklik erop
5. Selecteer in het venster dat verschijnt in de vervolgkeuzelijst gewenste item zoals "Vragen om inloggegevens op het beveiligde bureaublad"
6. Klik OK"

Om het venstergedrag voor beheerders aan te passen, selecteert u in de vierde stap Gebruikersaccountbeheer: Verhogen van verzoekgedrag voor beheerder in de goedkeuringsmodus van de beheerder.

Sommige edities van Windows 7 hebben geen secpol.mcs. Om de UAC-instellingen te wijzigen, moet u daarom wijzigingen in het register aanbrengen.

Opmerking: Als u een beginnende gebruiker bent of gewoon niet bekend bent met het register, raden we u ten zeerste aan om eerst vertrouwd te raken met het apparaat verkennen en de basishandelingen van het Windows-register.

1. Open het startmenu en typ in de zoekbalk "regedit" (zonder aanhalingstekens)
2. Ga in de Register-editor die wordt geopend naar de sleutel:
   • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
3. Dubbelklik vervolgens op de parameter "ConsentPromptBehaviorUser" en voer 1 in. Om de beheerdersinstellingen te wijzigen, stelt u de waarde in op 1 in de parameter "ConsentPromptBehaviorAdmin"
4. Sluit het register

Nadat u wachtwoordbeveiliging hebt geconfigureerd, kunt u de huidige gebruikersinvoer maken of wijzigen in een normale. Dit kan gedaan worden in het Configuratiescherm (Configuratiescherm -> Gebruikersaccounts en familie veiligheid-> Gebruikersaccounts).

U vraagt ​​zich misschien af: "Zou het invoeren van het beheerderswachtwoord het UAC-venster nog vervelender maken?" Alles hangt af van hoe u uw computer gebruikt. Als u regelmatig programma's installeert, kan het UAC-venster u irriteren. Deze methode zal echter de algehele beveiliging van het systeem verbeteren en veel problemen voorkomen, waaronder het per ongeluk bevestigen van de installatie van nep systeembestanden, stuurprogramma's, programma's, enz. Dit geeft je minstens een paar seconden om na te denken voordat je akkoord gaat met het UAC-venster. V deze zaak, komt de regel "veiligheid verhogen door service te verminderen" goed tot uiting.

Opmerking: In tegenstelling tot Vista verschijnt in Windows 7 het UAC-venster veel minder vaak, dus voor de meeste gewone gebruikers, na volledige aanpassing computer, ziet de UAC-vensters praktisch niet.

Elke versie van Windows (vanaf Vista) heeft een standaard UAC-component (User Account Control). Het is standaard ingeschakeld en voorkomt dat de gebruiker "zichzelf in de voet schiet" door malware met beheerdersrechten uit te voeren. In dit artikel laten we u zien hoe u "Gebruikersaccountbeheer" voor uw eigen doeleinden kunt gebruiken - voer bijvoorbeeld elke code uit met beheerdersrechten of zelfs als een systeemproces.

WAARSCHUWING

Er worden nu nog steeds oplossingen voor UAC gevonden, waarbij oude technieken worden aangepast en nieuwe worden ontdekt. Het moeilijkste is om op te halen geschikte manieren voor een specifiek aangevallen systeem. Er zijn een tiental conceptueel verschillende technieken bekend, en als we ze bij elkaar optellen met modificaties en hybride methoden, dan zullen het er meer dan twintig zijn. U kunt er meer over lezen en de bijbehorende codevoorbeelden op GitHub bekijken door de links in dit artikel te volgen.

UAC als een enorme bug

Er is veel geleend van de vechtsporten in de hackerfilosofie. Zo valt een aikidomeester zichzelf nauwelijks aan. Hij merkt alleen de fouten van de tegenstander op en keert zijn inspanningen tegen zichzelf. Zo zijn de misrekeningen in beschermende systemen kunt u er een hacktool van maken. Nu zullen we kijken naar verschillende manieren om UAC te omzeilen en zelfs te gebruiken om uw code met verhoogde privileges uit te voeren. Veel van deze methoden zijn al geïmplementeerd in Trojaanse paarden en stellen hen in staat om in het geheim het systeem te infiltreren.

Witte lijst voor zwarte hoeden

In alle versies van Windows voor UAC is er een zogenaamde witte lijst - een set systeem componenten waarvoor beperkende regels niet gelden. Daarom is een van de meest voorkomende aanvalsmethoden om te proberen alle toepassingen van de witte lijst te vinden en uw * .dll erin te injecteren.

Het is relatief eenvoudig om een ​​DLL-kapingaanval uit te voeren, hoewel het niet zonder kan valkuilen... Ze zijn verschillend in elke versie van het besturingssysteem en zijn ook afhankelijk van de instellingen, rekening, bitness van het besturingssysteem, geïnstalleerde componenten en pleisters.

Op Windows 7/8 (maar niet 8.1) kunt u bijvoorbeeld personeelsprogramma Bereid het systeem voor om sysprep.exe te implementeren om uw eigen versie van cryptbase.dll of een andere bibliotheek te laden. Om dit te doen, is het voldoende om het naast het uitvoerbare bestand te plaatsen, omdat het DLL's gaat zoeken en laden vanuit zijn map. Als we echter proberen ons bestand gewoon naar de map% systemroot% / system32 / sysprep / te kopiëren, krijgen we een foutmelding.

De gebruiker heeft geen schrijftoegang tot de systeemdirectory en de beheerder moet deze actie bevestigen via UAC. Om onze code te ontvangen noodzakelijke rechten geen vragen gesteld, laten we een andere truc gebruiken - het offline Windows-update-installatieprogramma.

Plaats cryptbase.dll in het CAB-archief. We zullen niet stilstaan ​​​​bij hoe deze elementaire bewerking moet worden uitgevoerd. Het staat uitgebreid beschreven op de website van Microsoft. Laten we zeggen dat onze bibliotheek evil.dll heet en zich in de \ FCKUAC directory op de C: \ schijf bevindt. Dan maken we met het volgende commando een "opgeladen" archief aan:

Makecab C: \ FCKUAC \ evil.dll C: \ FCKUAC \ evil.cab

Laten we dit archief voeden offline installatieprogramma updates ( Windows Update zelfstandig installatieprogramma).

Wusa C: \ FCKUAC \ evil.cab / vrij / extract:% systemroot% \ system32 \ sysprep \

Het zal het uitpakken naar \ system32 \ sysprep \ en UAC zal stil zijn.

Als u weet hoe u moet programmeren, kunt u sysprep.exe verborgen uitvoeren - bijvoorbeeld via CreateProcess () met de vlag StartupInfo.wShowWindow = SW_HIDE. Heuristische analysatoren van veel antivirusprogramma's zweren tegenwoordig bij verborgen vensters, maar nu hebben we het alleen over UAC - het maakt niet uit. Na zo'n lancering zal sysprep.exe proberen de CRYPTBASE.dll-bibliotheek te laden en uit te voeren, maar in plaats daarvan zal de onze zijn, die al de functionaliteit bevat die we nodig hebben. Het zal wettelijk de rechten op onze code opheffen, en UAC zal het als vanzelfsprekend beschouwen.

Dit komt omdat wusa en sysprep op de witte lijst staan ​​en alle applicaties op deze lijst zichzelf kunnen verbeteren zonder tussenkomst van UAC. Onze code uit de bibliotheek die door het installatieprogramma is geladen, erft de rechten van het bovenliggende proces sysprep.exe en wordt ook als vertrouwd beschouwd.

De bovenstaande truc delen wusa en sysprep is een gemodificeerde Leo Davidson-methode. Originele versie was alleen van toepassing op niet-gepatchte Windows 7 en werd in 2009 beschreven in de mailinglijst van de computergemeenschap van de universiteit van Oxford. Er wordt een kopie gegeven, die vanwege de overvloed aan dergelijke code is opgenomen in de lijsten met potentieel gevaarlijke.

De methode van Davidson bij verschillende modificaties wordt al vele jaren gebruikt voor de introductie van Trojaanse paarden, met name de. De epidemie piekte in de herfst van 2011, maar de methode werkt nog steeds in het volgende typische scenario: acties worden uitgevoerd in een 32-bits versie van Windows 7/8 onder een beheerdersaccount met UAC ingeschakeld met standaardinstellingen. Eenvoudige gebruiker je kunt wusa.exe niet uitvoeren, maar velen zitten nog steeds onnodig onder de beheerder. Ze zijn gewoon te lui om gebruikersaccounts aan te maken en toegangsrechten te beheren, zelfs via de ingebouwde tools.

Matt Graeber verduidelijkt dat: deze methode werkt niet "zoals het is" in Windows 8.1 / 10, aangezien zowel sysprep.exe als de UAC zelf in deze besturingssystemen zijn gewijzigd. Nu laadt het programma System Prepare for Deployment alleen DLL's van% windir% \ system32 \.

Automatische escalatie van bevoegdheden

Als er om de een of andere reden geen toegang is tot het update-installatieprogramma, kunt u een andere optie gebruiken: het bestand kopiëren naar de systeemmap met behulp van de IFileOperation-methode.

De essentie van de methode is dat een COM-object IFileOperation wordt gemaakt in onze bibliotheek om UAC te omzeilen. Hiermee kunt u een bestand overal kopiëren (inclusief de systeemdirectory \ system32 \ en zijn subdirectory's), waarbij automatisch de privileges hiervoor worden verhoogd, omdat de functie de vlag voor automatisch verhogen heeft.

Er is een lijst met applicaties op de witte lijst beschikbaar. Je kunt het ook zelf genereren door het simpelweg in het systeem te zoeken Windows-map uitvoerbare bestanden die de autoelevate-regel bevatten.

Afhankelijk van het gebruikte programma op de witte lijst en de Windows-versie, kunt u de ene of de andere bibliotheek vervangen (zie tabel).

Methoden voor het opsommen van deze opties zijn verzameld in één PowerShell-hulpprogramma.

ISecurity Editor

Verrassend genoeg zijn de meeste bypass-methoden voor "Gebruikersaccountbeheer" opzettelijk ontworpen door: Windows-ontwikkelaars... Marketeers koppelden het falen van Vista aan het onhandige gedrag van de nieuwe component, en in de G7 probeerden ze UAC minder vervelend te maken. Om dit te doen, moest ik krukken maken van de witte lijst en de methode van automatische verhoging van privileges (zonder gebruikersbevestiging) in meer dan veertig systeemprogramma's... COM-interfaces zijn geschreven naar de autoElevate-functie: de gedocumenteerde IFileOperation (die hierboven werd besproken) en de ongedocumenteerde ISecurityEditor, waar we het nu over zullen hebben.

Dankzij de achterdeuren die in de UAC zijn ingebouwd, werden Windows 7-computers geïnfecteerd zonder dat de gebruiker het merkte. Ze werden een proeftuin voor malware en kwamen vaak in botnets terecht. Een van hen (genaamd Simda) ontwikkelt zich al vijf jaar met succes en gebruikt de ISecurityEditor-interface voor code-injectie. V Microsoft-probleem pas in 2015 gedeeltelijk geëlimineerd. De gecorrigeerde ISecurityEditor werkt nu alleen met bestandssysteemobjecten die zijn opgegeven in de constante SE_FILE_OBJECT.

Er zijn nog steeds niet-gepatchte systemen. Een voorbeeld van UAC-bypass met behulp van de kwetsbare versie van ISecurityEditor.

Voortzetting is alleen beschikbaar voor abonnees

Optie 1. Abonneer u op "Hacker" om alle materialen op de site te lezen

Met een abonnement kunt u ALLE betaalde materialen op de site binnen de opgegeven periode lezen. Wij accepteren betaling: bankkaarten, elektronisch geld en overschrijvingen van de rekeningen van mobiele operators.

UAC is een servergebaseerde Anti-Cheat die nog niet zo lang geleden werd ontwikkeld, maar die in staat was om veel serverbeheerders te veroveren, deze Universal Anti-Cheat v.2.0 anti-cheat heeft bijna alle CSF-functies, maar tegelijkertijd het werkt sneller en minder belasting op de server. de auteur van dit wonder Sector, als je fouten opmerkt in deze anti-cheat of je iets te bieden hebt, kun je je altijd wenden tot het officiële forum csall.ru.

Detectie van verboden berichten of een deel ervan, evenals verboden links. Alle berichten worden weergegeven in een bestand, het is mogelijk om de redenen te bewerken en uw eigen berichten aan het bestand toe te voegen. De berichtenbasis is afkomstig uit andere bronnen. Het aantal berichten en redenen is niet beperkt!

Detectie van verboden namen. Alle namen worden weergegeven in het bestand, het is mogelijk om de redenen te bewerken en uw eigen namen aan het bestand toe te voegen. De naam base is ontleend aan andere bronnen. Het aantal namen en redenen is niet beperkt!

Detectie van externe softwareprogramma's. Programma's worden gedetecteerd als ze informatie hebben in setinfo. Alle informatie wordt weergegeven in een bestand, het is mogelijk om de redenen te bewerken en uw eigen informatie aan het bestand toe te voegen. De softwarebasis is afkomstig uit andere bronnen. De hoeveelheid informatie en redenen is niet beperkt!

Detectie van verboden sleutels van de speler. Sleutels worden vaak gebruikt om softwareprogramma's van derden in te schakelen, maar niet altijd. Alle sleutels worden weergegeven in het bestand, het is mogelijk om het bestand te bewerken en aan te vullen met uw sleutels. Het aantal sleutels en redenen voor straf is niet beperkt!

Spamdetectie door Fullupdate-team. De plug-in analyseert voor hoeveel opdrachten de speler heeft verzonden bepaalde tijd.

Detectie van sommige soorten automatische begeleiding en autoshot (Aimbot, Autoshot) door eenvoudige berekeningen.

Programma's blokkeren die de NO Flash-functie gebruiken. Blokkeren gebeurt via Byte.

Detectie van snelle bewegingen over de kaart, een eenvoudige methode om frames te tellen. De plug-in implementeert een ander type telling en verschilt van vergelijkbare. De methode is niet snel, maar effectief.

Controleren op de aanwezigheid van een spelbeschermer. De plug-in detecteert bijna alle variaties van het spelprofiel, door: verschillende controles.

Detectie van frequente naamsveranderingen door de speler. Het wordt gebruikt om externe software te vangen, waarvan de mogelijkheden frequente naamsveranderingen omvatten.

Controleren op verboden aliassen en scripts. De methode die in deze plug-in is geïmplementeerd, verschilt van andere vergelijkbare functionaliteit, namelijk dat de controles stap voor stap plaatsvinden, d.w.z. elke opdracht wordt eens in de zoveel tijd en meer dan eens naar de speler gestuurd, wat opnieuw de belasting van de server zal verminderen, heeft een andere benadering voor het tellen van de opdrachten die zijn gekomen en gegaan. De methode is niet snel, maar zeer effectief en grondig, evenals de reden voor de straf, de alias zelf, die de plug-in heeft gevonden, wordt weergegeven, bijvoorbeeld: CD Hack - dit maakt het gemakkelijker om het probleem te vinden. Alle aliassen worden weergegeven in het bestand, het is mogelijk om de reden te bewerken en het bestand aan te vullen met uw eigen aliassen.

Detectie van snelle rotatie rond zijn as. De bepalingsmethode is heel eenvoudig en bestaat uit het tellen van vectoren, de bepaling vindt niet onmiddellijk plaats, maar na een tijdje, wat weer de belasting vermindert.

Anti-verstrooiingsdetectie (No Recoil oftewel No Spread). De detectiemethode vindt plaats door de bewegingsradius te berekenen en sommige extra controles wat vermindert valse positieven in vele tijden.

Detecteer snelle mes-hack. De hier gepresenteerde methode heeft een eigenaardigheid, namelijk de competente berekening en het tellen van de acties van de speler met een mes in zijn handen, waardoor de belasting van de server minimaal moet zijn.

Bij het controleren op enkele .spr-bestanden, als ze ontbreken, downloadt de plug-in ze automatisch naar de client.

De plug-in maakt een automatische momentopname net voor de straf.

Heeft zijn eigen soort straf voor elk type detectie, wat de plug-in dynamischer maakt.

Er is een functie om spelers te negeren die een vlag of een reeks vlaggen hebben ingesteld in de bestanden user.ini en uac_global.cfg.

De plug-in laadt de server bijna niet, alle controles verlopen soepel zonder vertragingen, vastlopen, enz.

Vereiste modules: Amxmodx, Fakemeta
Lokalisatie:- Russisch. - Engels.
sector
Versie: 2.0
Technische ondersteuning: csall.ru
Bedankt voor het testen: Denson, Alexey.

Verander geschiedenis:
Versie 1.0
- Uitgave.

Versie 1.1
- Bug opgelost met informatiebuffer.
- Een aantal extra controles toegevoegd.
- De code gecorrigeerd.

Versie 1.2
- Bug opgelost met betrekking tot svc.
- Bijna alle bestanden opgelost.
- Beschrijvingen toegevoegd aan elke functie zoals gevraagd.
- Veel gereduceerde code, geoptimaliseerd.
- Bewerkt scannen van aliassen en scripts.
- Toegevoegd extra modules... (Fakemeta, Hamsandwich)
- Verminderde plug-in belasting, soepele en stille werking.
- In verbinding met Steam-update, Bewerkt het type snelle actiedefinitie.
- Controle toegevoegd voor aimbot, autoshot.

Versie 1.3
- Vaste methode voor het detecteren van verboden aliassen en scripts. Nu werkt het nog beter en soepeler.
- Controle toegevoegd voor snelle rotatie om zijn as. (Spin-hack)
- Controle toegevoegd voor snelle opnamen. (Fastfire-hack)
- De code enigszins gecorrigeerd, Aim Hack "a.

Versie 1.4
- De Hamsandwich-module verwijderd.
- Enkele bugs verholpen.
- De module voor het bepalen van snelle opnamen als onnodig verwijderd.
- Uac_s_aimhack-variabele toegevoegd.
- Het principe van "Chains" toegepast, dat wil zeggen: elke functie lanceert de andere.
- Het type profielbepaling enigszins gewijzigd.

Versie 1.5
- Vaste module voor het detecteren van verboden scripts en aliassen.
- De module voor het bepalen van de spelbeschermer gerepareerd.
- De module voor het bepalen van de versnelde beweging gerepareerd.
- Vergroot het interval tussen controles, nog soepeler, nog stabieler.
- Vast circulatiedetectiesysteem.
- Vaste detectie van verboden sleutels.

Versie 1.6
- Enkele bugs in de code opgelost.
- Enkele aliassen toegevoegd.
- Nieuwe variabelen toegevoegd.
- Anti-verstrooiingsdetectiemodule toegevoegd.

Versie 1.7
Nog een type definitie van versnelde beweging toegevoegd, nu zijn er twee en een multimodus.
Vast taalbestand.
Nieuwe variabelen toegevoegd.
Beveiligingsmelding toegevoegd.
Ik hoop dat ik "Server probeerde ongeldige opdracht te verzenden" opgelost
Nu wordt het protocol van de speler weergegeven in de logs.

Versie 1.8
Enkele bugs verholpen.
Alle berichten zijn verplaatst naar chat om ruimte op het scherm te besparen.
Enkele bestanden gerepareerd.
Alle bestanden moeten worden vervangen.

Versie 1.9
Module toegevoegd voor het bepalen van snelle messlagen. (Snelle mes-hack)
Een bug opgelost met het bericht over de aanwezigheid van bescherming.
Gecorrigeerde code.
Nieuwe variabelen toegevoegd.

Versie 2.0
Controle toegevoegd voor 48/47-protocollen.
Uac_steam-variabele toegevoegd.
Nieuw bestand uac_files.ini toegevoegd
Vaste logboekregistratie.

Gebruikersaccountbeheer is waarschijnlijk de meest onderschatte en misschien zelfs de meest gehate functie die debuteerde in Vista en onderdeel werd van alle volgende versies van Windows. Voor het grootste deel beschouw ik de stroom van haat die gebruikers uitstorten over Gebruikersaccountbeheer als onverdiend, omdat de functie van echt voordeel is. Ik ben het er volledig mee eens dat Gebruikersaccountbeheer (hierna alleen UAC) soms behoorlijk vervelend kan zijn, maar het werd met een doel in Windows geïmplementeerd. Nee, niet om gebruikers te hinderen, maar om te promoten soepele overgang van een standaard (beperkt) account naar een beheerdersaccount.

In dit artikel leg ik uit wat UAC is, hoe het werkt, waarom het nodig is en hoe je het instelt. Ik ben niet van plan u instructies te geven over waarom u UAC zou moeten gebruiken, maar ik wil u alleen informeren over wat u wordt onthouden door deze functie uit te schakelen.

Een beetje achtergrond- en accountinformatie

Zoals u wellicht weet, werkt Windows met zogenaamde accounts. Er zijn twee soorten: administratief en standaard (beperkt).

Beheerdersaccount geeft de gebruiker volledige toegang tot alle functies besturingssysteem, d.w.z. de gebruiker kan doen wat hij wil. De standaard accountgebruiker heeft beperkte rechten, en daarom zijn hem maar een paar dingen toegestaan. Dit is meestal alles wat alleen van invloed is op de huidige gebruiker. Bijvoorbeeld: bureaubladachtergrond wijzigen, muisinstellingen, wijzigen geluidsschema enzovoort. Over het algemeen is alles wat een specifieke gebruiker aangaat en niet van toepassing is op het hele systeem beschikbaar in een standaardaccount. Alles wat het systeem als geheel kan beïnvloeden, vereist beheerderstoegang.

Een van de taken die aan deze accounts zijn toegewezen, is bescherming tegen schadelijke code. Het algemene idee hier is dat de gebruiker normaal werk moet uitvoeren onder een beperkt account en alleen moet overschakelen naar het beheerdersaccount wanneer een actie dit vereist. Paradoxaal genoeg, maar malware hetzelfde niveau van rechten krijgen waarmee de gebruiker zich bij het systeem heeft aangemeld.

In Windows 2000 en Windows XP is de uitvoering van acties namens de beheerder niet flexibel genoeg, en daarom was het niet erg handig om met een beperkt account te werken. Een van de manieren om een ​​beheerdersactie uit te voeren in deze versies van het systeem ziet er als volgt uit: uitloggen bij een beperkt account (of snel schakelen als u Windows XP gebruikte) -> inloggen op het beheerdersaccount -> een actie uitvoeren -> uitloggen uit het beheerdersaccount (of snel overschakelen als u Windows XP gebruikt) -> terugkeren naar een beperkt account.

Een andere optie is om te gebruiken contextmenu en de optie "Uitvoeren als een andere gebruiker", die een venster opent waarin u het juiste beheerdersaccount en wachtwoord moet opgeven om het bestand als beheerder uit te voeren. Dit is een vrij snelle manier om van het ene account naar het andere over te schakelen, maar het is niet van toepassing op situaties waarvoor beheerdersrechten vereist zijn. Een ander probleem met deze methode is dat het beheerdersaccount een wachtwoord moet hebben, anders mislukt het.

Dit is de reden waarom Gebruikersaccountbeheer werd geïntroduceerd in Windows Vista en in Windows 7 tot bijna perfectie werd gebracht.

Wat is UAC

UAC is een functie in Windows Vista, 7, 8, 8.1 en 10 die tot doel heeft de overgang van een beperkte omgeving naar een beheerdersomgeving zo soepel en probleemloos mogelijk te maken, waardoor het niet meer nodig is om bestanden handmatig te starten als beheerder of schakelen tussen accounts. Daarnaast is UAC een extra beschermingslaag die bijna geen inspanning van de gebruiker vraagt, maar ernstige schade kan voorkomen.

Hoe UAC werkt

Wanneer een gebruiker inlogt op zijn account Windows-invoer maakt een zogenaamde gebruiker aan toegangstoken, die bepaalde informatie over dit account bevat, en voornamelijk de verschillende beveiligings-ID's die het besturingssysteem gebruikt om de toegankelijkheid van dit account te controleren. Met andere woorden, deze token is een soort persoonlijk document (zoals een paspoort bijvoorbeeld). Dit geldt voor iedereen Windows-versies gebaseerd op NT-kernel: NT, 2000, XP, Vista, 7, 8 en 10.

Wanneer een gebruiker inlogt op een standaard account (beperkt), wordt een standaard gebruikerstoken met beperkte rechten aangemaakt. Wanneer een gebruiker inlogt op een beheerdersaccount, wordt een zgn. beheerderstoken met volledige toegang... Het is logisch.

Als UAC in Windows Vista, 7, 8 en 10 echter is ingeschakeld en de gebruiker is aangemeld bij een beheerdersaccount, maakt Windows twee tokens. De beheerder blijft op de achtergrond, terwijl de standaardinstelling wordt gebruikt om Explorer.exe te starten. Dat wil zeggen, Explorer.exe wordt uitgevoerd met beperkte rechten. In dit geval worden alle processen die daarna worden gestart, Explorer.exe-subprocessen met overgeërfde beperkte rechten van het hoofdproces. Als een proces beheerdersrechten vereist, vraagt ​​het om een ​​beheerderstoken en Windows vraagt ​​op zijn beurt de gebruiker om toestemming om het proces dit token te geven in een speciaal dialoogvenster.

Dit dialoogvenster bevat een zogenaamd beveiligd bureaublad waar alleen het besturingssysteem toegang toe heeft. Het ziet eruit als een verduisterde momentopname van het echte bureaublad en bevat alleen een bevestigingsvenster administratieve rechten en misschien, taalbalk(als er meer dan één taal is geactiveerd).

Als de gebruiker het niet eens is en op "Nee" klikt, zal Windows het proces een beheerderstoken weigeren. En als het akkoord gaat en "Ja" kiest, zal het besturingssysteem het proces de privileges verlenen die het nodig heeft, namelijk het beheerderstoken.

Als het proces al wordt uitgevoerd met verhoogde bevoegdheden, wordt het opnieuw gestart met deze verhoogde bevoegdheden (beheerder). Het proces kan niet rechtstreeks worden "gedowngraded" of "gepromoveerd". Nadat het proces met één token is gestart, kan het geen andere rechten krijgen totdat het opnieuw wordt gestart met nieuwe rechten. Een voorbeeld is Taakbeheer, dat altijd begint met beperkte rechten. Als u op de knop "Toon processen van alle gebruikers" klikt, Taakbeheer wordt afgesloten en opnieuw gestart, maar met beheerdersrechten.

Bij gebruik van standaard boekhouding UAC-vermeldingen vraagt ​​om een ​​specifiek beheerdersaccount op te geven en een wachtwoord in te voeren:

Hoe UAC de gebruiker beschermt

Op zichzelf biedt UAC niet: speciale bescherming... Het vergemakkelijkt gewoon de overgang van een beperkte omgeving naar een administratieve omgeving. Dus de juistere formulering van de vraag is daarom als volgt: hoe het beperkte account de gebruiker ontmoedigt. Onder beperkt profiel gebruikersprocessen hebben geen toegang tot bepaalde systeemzones:

• de hoofdpartitie van de schijf;
• gebruikersmappen van andere gebruikers in de map \Gebruikers\;
• map Programmabestanden;
• Windows-map en al zijn submappen;
• secties van andere accounts in systeemregister
• HKEY_LOCAL_MACHINE sectie in het systeemregister.

Elk proces (of kwaadaardige code) zonder beheerdersrechten kunnen niet diep in het systeem komen, zonder toegang tot de benodigde mappen en registersleutels, en kunnen het systeem daarom niet ernstig beschadigen.

Kan UAC interfereren met oudere programma's die niet officieel compatibel zijn met Vista / 7/8/10

Zou niet. Wanneer UAC is ingeschakeld, is virtualisatie ook ingeschakeld. Sommige oude en/of gewoon slordige programma's gebruiken niet de juiste mappen om hun bestanden op te slaan (instellingen, logs, enz.). Corrigeer mappen Zijn mappen in de AppData-map die elk account heeft en waar elk programma een map kan maken om op te slaan wat het wil.

Sommige programma's proberen hun bestanden op te slaan in Program Files en/of Windows. Als het programma wordt gestart met beheerdersrechten, is dit geen probleem. Als het programma echter met beperkte rechten draait, kan het geen wijzigingen aanbrengen in bestanden/mappen in Programmabestanden en/of Windows. Het besturingssysteem staat het gewoon niet toe.

Om problemen met dergelijke programma's te voorkomen, biedt Windows virtualisatie van mappen en registersleutels, waar programma's met beperkte rechten in principe geen toegang toe hebben. Wanneer vergelijkbaar programma probeert een bestand in een beveiligde map te maken, waarna het besturingssysteem het omleidt naar speciale map VirtualStore, dat is gevestigd in X: \ Gebruikers \<имя-вашего-профиля>\ AppData \ Lokaal \(waarbij X: dit is de systeempartitie, meestal C :). Die. Door de ogen van het programma zelf is alles in orde. Ze loopt geen obstakels tegen het lijf en is van mening dat ze bestanden/mappen precies aanmaakt waar ze wil. VirtualStore bevat meestal geneste Programmamappen Bestanden en Windows. Hier is een screenshot van de programmabestanden in mijn VirtualStore-map:

En dit is wat er bijvoorbeeld in de SopCast-map staat:

Die. als UAC was gestopt, of als het programma altijd met beheerdersrechten was gestart, zouden deze bestanden / mappen worden gemaakt in C: \ Program Files \ SopCast. In Windows XP zouden deze bestanden en mappen zonder problemen worden aangemaakt, omdat in Windows XP alle programma's standaard beheerdersrechten hebben.

Dit moet natuurlijk niet worden beschouwd door ontwikkelaars als: permanente oplossing... Het is de taak van elke auteur om software te maken die volledig compatibel is met de huidige besturingssystemen.

UAC-dialoogvensters

Het is je misschien opgevallen dat er slechts drie verschillende UAC-dialoogvensters zijn. Hier zullen we kijken naar die in Windows 7, 8.x en 10. In Vista zijn de dialogen iets anders, maar we zullen er niet bij stilstaan.

Het eerste type venster heeft een donkerblauwe streep aan de bovenkant en een schildpictogram aan de linkerkant. bovenhoek die is verdeeld in 2 blauwe en 2 gele secties. Dit venster verschijnt wanneer bevestiging nodig is voor een digitaal ondertekend proces dat bij het besturingssysteem hoort - de zogenaamde. Windows binaire bestanden. We zullen ze hieronder bespreken.

Het tweede type venster heeft ook een donkerblauw lint, maar het schildpictogram is volledig blauw en met een vraagteken. Dit venster verschijnt wanneer bevestiging nodig is voor een digitaal ondertekend proces, maar het proces / bestand behoort niet tot het besturingssysteem.

Het derde raam is versierd met een oranje streep, het schild is ook oranje, maar met uitroepteken... Dit dialoogvenster verschijnt wanneer bevestiging vereist is voor een niet-ondertekend proces.

UAC-instellingen

Gebruikersaccountbeheer-instellingen (bedieningsmodi) bevinden zich in Configuratiescherm -> Systeem en beveiliging -> Instellingen voor gebruikersaccountbeheer wijzigen... Er zijn er maar 4:

Altijd informeren is het hoogste niveau. Deze modus is gelijk aan de manier waarop UAC werkt in Windows Vista. In deze modus vereist het systeem altijd bevestiging van beheerdersrechten, ongeacht het proces en wat het vereist.

Het tweede niveau wordt standaard gebruikt in Windows 7, 8.x en 10. In deze Windows-modus brengt geen UAC-venster naar voren als het gaat om zogenaamde Windows-binaries. Die. als een bestand/proces dat beheerdersrechten vereist, aan de volgende 3 voorwaarden voldoet, zal het besturingssysteem deze automatisch verlenen, zonder bevestiging van de gebruiker:

• het bestand is ingesloten of in de vorm een apart bestand een manifest dat automatische verhoging aangeeft;
• het bestand bevindt zich in de Windows-map (of in een van de submappen);
• het bestand is ondertekend met een geldige digitale Windows-handtekening.

De derde modus is hetzelfde als de tweede (vorige), maar met het verschil dat deze geen gebruik maakt van de beveiligde desktop. Dat wil zeggen, het scherm is niet gedimd en het UAC-dialoogvenster verschijnt als elk ander. Microsoft raadt het gebruik van deze optie af, en ik zal later uitleggen waarom.

Laat me niet weten is het vierde en laatste niveau. Dit betekent eigenlijk: volledig afsluiten UAC.

Het is relevant om hier twee opmerkingen te maken:

• digitaal Windows-handtekening verwijst specifiek naar het besturingssysteem. Ik zeg dit omdat er ook bestanden zijn die digitaal zijn ondertekend door Microsoft. Dit zijn twee afzonderlijke handtekeningen, met alleen UAC-herkenning digitale handtekening Windows omdat het als bewijs fungeert dat het bestand niet alleen van Microsoft is, maar ook deel uitmaakt van het besturingssysteem.
• Niet alles Windows-bestanden een manifest hebben voor automatische verhoging. Er zijn bestanden die hier bewust van worden onthouden. Bijvoorbeeld regedit.exe en cmd.exe. Het is duidelijk dat de tweede verstoken is van automatische promotie, omdat het heel vaak wordt gebruikt om andere processen te starten, en zoals eerder vermeld, elk nieuw proces erft de rechten van het proces waarmee het is begonnen. Dit betekent dat iedereen de opdrachtregel zonder problemen zou kunnen gebruiken om processen met beheerdersrechten uit te voeren. Gelukkig is Microsoft geen dwaas.

Waarom het belangrijk is om een ​​veilige desktop te gebruiken

De beveiligde desktop voorkomt dat mogelijke interferentie en de invloed van andere processen. Zoals hierboven vermeld, heeft alleen het besturingssysteem er toegang toe en accepteert het alleen basisopdrachten van de gebruiker, dat wil zeggen door op de knop "Ja" of "Nee" te drukken.

Als u geen veilige desktop gebruikt, kan een aanvaller een UAC-venster vervalsen om u te misleiden en uw kwaadaardig bestand met beheerdersrechten.

Wanneer heb je beheerdersrechten nodig? Wanneer verschijnt het UAC-venster?

Over het algemeen zijn er drie gevallen waarin UAC de gebruiker aanspreekt:

• bij het wijzigen van systeeminstellingen (niet-gebruikers), hoewel dit in werkelijkheid alleen van toepassing is op het maximale UAC-niveau;
• bij het installeren of verwijderen van een programma/stuurprogramma;
• wanneer een toepassing/proces beheerdersrechten vereist om wijzigingen aan te brengen in systeembestanden/mappen of systeemregistersleutels.

Waarom is het belangrijk om UAC niet uit te schakelen?

Gebruikersaccountbeheer biedt een hoog niveau van bescherming en vereist in ruil daarvoor bijna niets. Dat wil zeggen, de coëfficiënt nuttige actie De UAC is erg hoog. Ik begrijp niet waarom hij mensen zo irriteert. V dagelijks werk de gemiddelde gebruiker ziet het UAC-venster 1-2 keer per dag. Misschien zelfs 0. Is dat zoveel?

De gemiddelde gebruiker verandert zelden systeeminstellingen, en als ze dat doen, neemt UAC niet de moeite om vragen te stellen, zolang het maar werkt met de standaardinstellingen.

De gemiddelde gebruiker installeert niet elke dag drivers en software. Alle chauffeurs en de meeste vereiste programma's eenmaal geïnstalleerd - na Windows-installaties... Dat wil zeggen, dit is het belangrijkste percentage UAC-verzoeken. Daarna grijpt UAC alleen in bij het updaten, maar er worden niet elke dag nieuwe versies van programma's uitgebracht, om nog maar te zwijgen van de stuurprogramma's. Bovendien werken veel programma's of stuurprogramma's helemaal niet bij, wat UAC-problemen verder vermindert.

Zeer weinig programma's hebben beheerdersrechten nodig om hun werk te doen. Dit zijn voornamelijk defragmentatieprogramma's, opschonings- en optimalisatietools, enkele diagnostische programma's (AIDA64, HWMonitor, SpeedFan, enz.) en systeeminstellingen ( Procesverkenner en Autoruns bijvoorbeeld, maar alleen als u iets specifieks moet doen - bijvoorbeeld een stuurprogramma / service uitschakelen of een programma dat met Windows begint). En dit zijn allemaal programma's die helemaal niet of in zeldzame gevallen kunnen worden gebruikt. Alle veelgebruikte applicaties werken prima met UAC en stellen geen vragen:

• multimediaspelers(audio en/of video);
• video / audio-omzetters;
• programma's voor het verwerken van afbeeldingen / video / audio;
• programma's voor het maken van schermafbeeldingen van het bureaublad of video-opnamen erop;
• programma's voor het bekijken van afbeeldingen;
• web browsers;
• bestandsdownloaders (downloadmanagers en P2P-clients);
• FTP-clients;
• instant messengers of programma's voor spraak-/videocommunicatie;
• programma's voor het opnemen van schijven;
• archivers;
• tekstverwerkers;
• PDF-lezers;
• virtuele machines;
• en etc.

Zelfs het installeren van Windows-updates maakt geen gebruik van het UAC-venster.

Er zijn mensen die bereid zijn om 1-2 minuten of meer per dag op te offeren om het systeem te "optimaliseren" met een aantal verkeerd geschreven programma's die niets nuttigs doen, maar die niet bereid zijn een paar seconden per dag te besteden aan het beantwoorden van UAC-verzoeken.

Verschillende uitspraken zoals "I gevorderde gebruiker en ik weet hoe je jezelf moet beschermen ”is niet genoeg, want niemand is verzekerd en de uitkomst van bepaalde situaties is niet altijd afhankelijk van de gebruiker. Bovendien hebben mensen de neiging om fouten te maken, het overkomt iedereen.

Laat me je een voorbeeld geven: stel dat je een programma gebruikt dat kwetsbaarheden heeft, en op een dag kom je op een site die misbruik maakt van deze kwetsbaarheden. Als Gebruikersaccountbeheer is ingeschakeld en het programma draait met beperkte rechten, zal een aanvaller niet veel moeite kunnen doen. Anders kan de schade aan het systeem enorm zijn.

En dit is slechts een van de vele voorbeelden.

Toepassingen uitvoeren met Windows als beheerder

Ik geef toe dat er waarschijnlijk gebruikers zijn die UAC uitschakelen alleen om programma's met Windows en met beheerdersrechten te kunnen uitvoeren. Op de gebruikelijke manier dit is niet mogelijk omdat UAC geen prompt naar de gebruiker kan sturen totdat het bureaublad is geladen. Er is echter een manier waarop u UAC ingeschakeld kunt laten. Hier is het:

• open doen Taakplanner;
• Klik Taak maken;
• in het veld Naam voer alles in wat je wilt en schakel de optie onder aan het venster in Uitvoeren met de hoogste rechten;
• ga naar tabblad Triggers en druk op Creëren;
• in het vervolgkeuzemenu bovenaan selecteer Bij het inloggen; als u een taak voor een specifieke gebruiker wilt maken, selecteert u de optie Gebruiker en druk vervolgens op Verander gebruiker; voer uw gebruikersnaam in en bevestig door op de knop te drukken Oke;
• ga naar tabblad Acties en druk op Creëren;
• Klik Overzicht, geef de juiste toepassing aan en bevestig uw keuze;
• ga naar tabblad Voorwaarden en schakel de optie uit Start alleen bij stroomvoorziening op netstroom;
• op het tabblad Opties schakel de optie Stop-taak die langer duurt uit;
• bevestig door op te drukken Oke.

Klaar. De taak is toegevoegd zodat de applicatie nu automatisch wordt geladen met beheerdersrechten. Hier is echter een klein nadeel: al dergelijke taken worden uitgevoerd met een prioriteit lager dan normaal - lager dan normaal (onder normaal). Als jij dat goed vindt, dan zit je goed. Zo niet, dan moet je wat meer werken:

• loop Taakplanner als je het al hebt gesloten;
• Kiezen Bibliotheek Taakplanner;
• markeer uw taak, klik op Exporteren en sla het op in .xml-formaat;
• open het .xml-bestand in tekstverwerker;
• vind de sectie 7 , die aan het einde van het bestand moet staan ​​en de zeven (7) tussen de openings- en sluitingstags moet wijzigen in vijf (5);
• bewaar het bestand;
• in Taakplanner, markeer uw taak opnieuw, druk op Verwijderen en bevestig de verwijdering;
• druk nu op Taak importeren, wijs naar het bestand dat u zojuist hebt opgeslagen en klik op Oke.

Dat is alles. Het is aan jou om te beslissen of je UAC wilt gebruiken of niet, maar het is erg belangrijk om te weten wat je verliest wanneer je deze functie uitschakelt, en om je bewust te zijn van de risico's. Bedankt voor de aandacht!

Fijne dag!