Windows Resource Protection (IŠTEKLIŲ APSAUGA) Rūta pupelytė 5 grupė, 3 IT kursas

APIE WRP WRP (ankščiau buvęs kaip Windows File Protection – WFP) trukdo įvykti būtinų sistemos failų, katalogų ir registrų raktų pakeitimams, kurie įdiegiami kaip Windows OS dalis. Tai atsirado Windows Server 2008 ir Windows Vista sistemose (WFP atveju Microsoft Windows Server 2003 ir Windows XP ).

APIE WRP (2) Programos negali perrašyti šių išteklių, kadangi jie yra naudojami operacinių sistemų ir kitų aplikacijų metu. WRP saugo registrų raktus ir katalogus kaip būtinas sistemų rinkmenas.

APIE WRP (3) Jei programos bandytų pakeisti WRP, galimi šie rezultatai: Programos įdiegimas, kuris bando pakeisti arba ištrinti kritinius Windows failus ar registrų raktus, gali baigtis nesėkmingai ir nuo tol bus gaunami klaidų pranešimai “access to the resource was denied”; Programos, kurios bando pridėti ar pašalinti porakčius arba pakeisti apsaugotų registrų raktų reikšmes, gali pradėti blogai veikti ir nuo tol bus gaunami klaidų pranešimus “access to the resource was denied”; Programos, kurios įrašinėja informaciją į registrų raktus, katalogus arba failus, gali nustoti veikti.

KAIp tai veikia WRP apriboja rašymo teises OS skirtiems failams; Norint gauti pilnas teises pasiekti ir pakeisti WRP galima “TrustedInstaller” pagalba (žiūrėti paveikslėlį); WRP apsaugotus failus galima modifikuoti tik naudojant “Supported Resource Replacement Mechanisms”.

System File Checker The system file checker utility (Sfc.exe) leidžia administratoriui peržiūrėti visus apsaugotus išteklius ir patikrinti jų versijas. Jeigu tie kritiniai failai, kurie reikalingi restratuojant Windows, neatitinka tikėtosios Windows versijos, gali būti pakeičiami į reikalingą versiją. Apsaugoti failai, kurie yra nekritiniai restartuojant Windows sistemą, nėra pakeičiami.

System File Checker (2) sfc /SCANNOW

System File Checker (3)

System File Checker (4) 2. sfc /VERIFYFILE=c:\windows\system32\kernel32.dll 3. sfc /SCANFILE=d:\windows\system32\kernel32.dll /OFFBOOTDIR=d:\ /OFFWINDIR=d:\windows 4. sfc /VERIFYONLY /FILESONLY

Saugomų išteklių sąrašas WRP saugo šiuos kritinius failus, kurie būna įrašomi Windows Server 2008 arba Windows Vista sistemų su papildomais plėtiniais: .acm, .ade, .adp, .app, .asa, .asp, .aspx, .ax, .bas, .bat, .bin, .cer, .chm, .clb, .cmd, .cnt, .cnv, .com, .cpl, .cpx, .crt, .csh, .dll, .drv, .dtd, .exe, .fxp, .grp, .h1s, .hlp, .hta, .ime, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .man, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msi, .msp, .mst, .mui, .nls, .ocx, .ops, .pal, .pcd, .pif, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .sys, .tlb, .tsp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xsd, ir .xsl.

Saugomų išteklių sąrašas (2) WRP saugo būtinus registrų raktus, įdiegtus Windows Server 2008 ir Windows Vista. Jeigu raktas yra apsaugotas WRP, jo visi porakčiai ir reikšmės gali būti taip pat apsaugotos.

Saugomų išteklių sąrašas (3) WRP saugo kritinius katalogus. Jeigu katalogas yra sudarytas tik iš WRP apsaugotų failų, jis gali būti “užrakintas” tam, kad tik Windows trusted installer galėtų kurti failus arba pakatalogius šiame kataloge. Katalogas gali būti iš dalies užrakintas, kad Administratorius galėtų kurti failus ir pakatalogius jame.

WRP funkcijos SfcIsFileProtected (Windows Server 2008, Windows Vista, Windows Server 2003 arba Windows XP); SfcIsKeyProtected (Windows Server 2008 arba Windows Vista). Run-time requirements Applications that use only the SfcIsFileProtected function require Windows Server 2008, Windows Vista, Windows Server 2003, or Windows XP. Applications that use the SfcIsKeyProtected function require Windows Server 2008 or Windows Vista.

WRP FUNKCIJOS: SfcIsFileProtected Nustato, ar failas yra apsaugotas. C++ sintaksė: BOOL SfcIsFileProtected( _In_ HANDLE  RpcHandle, _In_ LPCWSTR ProtFileName ); Rezultatai: Jeigu failas apsaugotas, tai grąžinama vertė nenulinė. Jeigu failas yra neapsaugotas, tai grąžinama vertė yra nulinė. Parametrai: RpcHandle [in] – šis parameteras privalo būti NULL. ProtFileName [in] – failo pavadinimas.

WRP FUNKCIJOS: SfcIsKeyProtected Nustato, ar registro raktas yra apsaugotas. C++ sintaksė: BOOL WINAPI SfcIsKeyProtected( _In_     HKEY    hKey, _In_opt_ LPCWSTR lpSubKey, _In_     REGSAM  samDesired ); Parametrai: hKey [in] – rankena pagrindiniam registrų raktui (kuri turi apibrėžta iš šių: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS) lpSubKey [in, optional] – sub-registro raktas. Jei šis parametras būna NULL, funkcija tikrina tik ar pagrindinis registrų raktas apsaugotas samDesired [in] – konstanta, kuri apibrėžia kokį registra naudoti 64-bitų Windows sistemoje. Šis parametras yra ignoruojamas x86 platformose.

WRP FUNKCIJOS: SfcIsKeyProtected (2) Rezultatai: Jeigu failas apsaugotas, tai grąžinama vertė nenulinė. Jeigu failas yra neapsaugotas, tai grąžinama vertė yra nulinė.

Ačiū už dėmesį Klausimai?

Šaltiniai: https://msdn.microsoft.com/en-us/library/aa382503.aspx https://msdn.microsoft.com/en-us/library/aa382550(v=vs.85).aspx