Vartotojo abonemento valdymo funkcija veikia jau nuo „Windows Vista“ ir vis dar gali būti įdiegta „Windows 10.“ Iš esmės UAC yra saugos funkcija, įdiegta „Windows“ operacinėje sistemoje, siekiant užkirsti kelią potencialiai kenksmingoms programoms atlikti pakeitimus jūsų kompiuteryje. Net jei jūsų vartotojo abonementas priklauso administratorių grupei, kuri, kaip manoma, turi visišką ir neribotą prieigą prie kompiuterio, jums vis tiek taikomi UAC apribojimai.
Kai paleisite programą, kuriai reikia privilegijų, kad galėtumėte atlikti failų ar registro pakeitimus, kurie gali paveikti visus kompiuterio vartotojus, ji atidarys Vartotojo abonemento valdymo pranešimų langą. Vartotojas gali spustelėti mygtuką Taip, kad leistų vykdyti programą, kuri atliks kompiuterio pakeitimus, arba spustelėjęs Ne sustabdys jo vykdymą.
Jei palyginsite „Windows“ versijas su „User Account Control“ funkcija ir be jos („XP vs. Vista“ ir naujesnės), „XP“ yra labai didelis kenkėjiškų programų užkrėtimo lygis, tuo tarpu naujesnei „Windows“ reikia daug sudėtingesnių ir tobulesnių „rootkit“ kenkėjiškų programų. visiškai valdyti kompiuterį. Šiame straipsnyje atidžiau pažvelgsime į tai, kokia efektyvi yra vartotojo abonemento kontrolės funkcija ir kokie yra jos trūkumai. Net ir sistemoje įjungus UAC, kenkėjišką programinę įrangą, tokią kaip Trojos RAT, galima sukurti įdiegti sistemoje nesuaktyvinant UAC pranešimo. Tai atliekama sukonfigūravus serverio kūrėją, kad kenksmingas failas būtų perkeltas į vartotojo programos duomenų aplanką (% AppData%) ir pridedant nuorodą į vartotojo paleisties aplanką arba registro įrašą HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run to paleisti automatiškai paleidžiant „Windows“.
Be UAC pakėlimo, kenkėjiškame faile yra tik ribotos privilegijos, galinčios turėti įtakos šiuo metu prisijungusiam vartotojui, bet ne visai sistemai. Pvz., Įsilaužėliui, prijungtam prie sistemos per nuotolinį apvalkalą, neleidžiama sukurti naujo katalogo „Windows“.
Ši funkcija, dažniausiai sutinkama daugumoje RAT, nėra verta būti vadinama UAC aplinkkeliu, nes ji tiesiog veikia tyliai neprašydama UAC pakėlimo, kuriam baigiasi ribotos privilegijos. Tikras UAC aplinkkelis yra tada, kai programa įgyja visas administravimo teises per užpakalinį duris, nesuaktyvindama UAC pranešimo ir reikalaudama vartotojo paspausti mygtuką Taip UAC lange.
UAC apėjimo koncepcijos įrodymas
Viešai prieinamą atvirojo kodo koncepciją, skirtą panaikinti Vartotojo abonemento valdymą, vadinamą UACMe, nemokamai galima atsisiųsti iš „GitHub“. Jame yra 12 skirtingų populiarių metodų, kuriuos kenkėjiškos programos naudoja apeidami UAC. Norėdami išbandyti kiekvieną skirtingą UAC aplinkkelio metodą, po failo pavadinimu tiesiog pridėkite skaičių nuo 1 iki 12. Pavyzdžiui:
3 „Akagi32.exe“
Žemiau esančioje ekrano kopijoje pateiktas UACMe naudojimo komandos paleidimui su administravimo privilegijomis be UAC pranešimo lango pavyzdys.
Kaip matote iš fono komandų eilutės lango, kad mums nepavyko sukurti naujo aplanko C: \ Windows su klaida „Prieiga uždrausta“. Tada mes paleidome UACMe naudodami 3 metodą ir jis naudoja užpakalinio durų metodą, kad paleistų kitą komandų eilutę su administracinėmis privilegijomis, nedengdamas viso ekrano su UAC įspėjimu. Tuomet galėjome sukurti naują katalogą C: \ Windows naudodami komandų eilutę, kuri buvo paleista su UACMe.
„UACMe“ galima ir 32, ir 64 bitų versijas, todėl įsitikinkite, kad paleidote teisingą versiją, pagrįstą „Windows“ operacinės sistemos architektūra.
Atsisiųskite „UACMe“
Nors gana retai galima rasti realią UAC aplinkkelio funkciją, įdiegtą RAT trojane, šią galingą durų funkciją galima rasti kai kuriuose kripteriuose, kurie naudoja kenksmingą failą, kurio antivirusinė programinė įranga negali aptikti. Išbandėme vieną iš nemokamų kripterių su įjungta „Apeiti UAC“ parinktimi ir nustatėme, kad rezultatai yra gana nepatikimi.
Failo užšifravimas su įjungta parinktimi „Apeiti UAC“ turėtų suteikti failo administracinę privilegiją nereikia iškviesti UAC pakilimo lango. Tačiau kai kurie šifruoti failai veikia gerai, o kai kurie neveikia.
Apsaugokite nuo UAC aplinkkelio
Numatytasis vartotojo abonemento valdymo nustatymas, esantis trečiame lygyje, nėra saugus ir jį galima apeiti. Veiksmingiausia vartotojo abonemento valdymo konfigūracija yra nustatyti aukščiausią (ketvirtą) lygį, kuris visada praneša, kai programos bando įdiegti programinę įrangą arba keičia kompiuterio ar „Windows“ parametrus.
Kitas būdas yra naudoti įprastą vartotojo ar svečių abonementą, o ne administratoriaus abonementą, kuris sukuriamas įdiegus „Windows“.
