Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

Безопасность Windows Sidebar

Напечатать страницу
29.09.2006 21:18 | QiSoft

Windows Sidebar – это новый компонент Windows Vista, который является платформой для запуска “гаджетов”. Гаджеты – это мини-приложения, созданные для того, чтобы заменять какую-нибудь простую утилиту...

Вам может показаться, что гаджеты Windows Vista Sidebar позволяют выполнять любые коды, делая систему уязвимой. Так как Windows Vista должна быть самой безопасной системой из Windows, команда разработчиков Sidebar должны обеспечить безопасность и надежность гаджетов.

Разработка гаджетов для Sidebar
В версии Sidebar, которая входит в Windows Vista, гаджеты создаются при помощи Microsoft HTML Engine, что включает в себя html разметку, скрипты, изображения и пр. Sidebar, также, имеет набор API функций, доступных из html, при помощи которых можно получить доступ к заранее установленным ActveX компонентам.

Загрузка гаджетов
Гаджеты создаются при помощи html и скриптов, но это не означает, что они размещаются на удаленных серверах в качестве веб-страницы. HTML содержимое гаджета загружается в пакете с остальными ресурсами и файлами конфигурации, а затем запускаются на локальном компьютере. Точно так же, как вы загружаете простые приложения (.exe файлы) на ваш компьютер.

Файлы упаковываются, используя ZIP-сжатие или при помощи Windows Cabinet File (cab файл). Если пакет упакован в Cab файл, то он, возможно, содержит подписанный сертификат, содержащий информацию о том, где гаджет был создан. Пользователь сможет узнать о гаджете до распаковки архива. Создать такой сертификат для пакета можно при помощи утилиты signtool.exe , которая входит в пакет Visual Studio 2005.

Только после того, как пользователь просмотрит сертификат, он сможет распаковать пакет и начать использовать гаджет.


Окно установки подписанного гаджета


Предупреждение безопасности о неподписанном гаджете

Так как сертификация гаджетов является средством безопасности, мы призываем всех разработчиков гаджетов выполнять это маленькое, но важное требование.

Выполнение HTML
HTML гаджеты имеют схожую модель безопасности, что и в Internet Explorer 7. Хотя также имеются сходства и с HTML приложениями. А так как работа гаджетов схожа с работой HTML приложения, то и гаджетам можно сопоставить некоторые разрешения.
Рассмотрим основные ограничения безопасности:
Во-первых: это ограничение по запуску неподписанных ActiveX элементов. Так как гаджеты в большинстве своём имеют в своём составе ActiveX, то это очень важное ограничение. Во-вторых: проверка источника и сертификата, о чем говорилось ранее. Также, при доступе к каким либо web-страницам будут блокироваться всевозможные сайты с вредоносным содержимым. Также будет запрещен запуск ActiveX с запрашиваемых страниц.

Взаимодействие с UAC
User Account Control (UAC) – это новая функция Windows Vista, которая облегчит работу с Windows простым пользователям. Если пользователь заходит в систему как стандартный пользователь, то гаджеты будут иметь стандартные права и не будут иметь возможности вносить изменения в систему. Даже если Sidebar был запущен от с правами Администратора при помощи команды Run As… (Запуск от имени…), но войдя в систему при этом как обычный пользователь, то все равно вносить изменения в систему будет запрещено.

Причем, даже если гаджет выполнит запрещенное действие, то пользователя об этом уведомлять никто не станет – это сделано в целях дополнительной безопасности. Однако, если гаджет запустил какое либо другое приложение, то пользователь будет об этом уведомлен.

Например, гаджет попытался удалить файл в папке system32, что находится в папке Windows. Файл конечно же удален не будет, но и оповещения на экран не поступит. Это происходит потому, что обычный пользователь все равно не имеет права изменять (и тем более удалять) простые файлы, а чтобы не отвлекать пользователя, сообщение не выводится.

Взаимодействие с Parental Control (Родительский контроль)
В Windows Vista появилась новая функция, называемая Родительский контроль. Она помогает обеспечивать безопасность компьютера при посещении различных сайтов. Например, родители хотят, чтоб их ребенок не играл в игры, которые имеют рейтинг G (18+) или просматривал web-сайты с непристойным содержанием. Такой запрет будет распространятся не только на web-браузер, но и на гаджеты. Например, Родительский контроль настроен так, что разрешен просмотр сайтов с рейтингом только A и B. В таком случае, если гаджет запросит страницу с рейтингом C, то просто не сможет её отобразить.

Взаимодействие с Windows Defender
Загрузка гаджетов станет безопаснее, с появлением Windows Defender в Windows Vista. Когда это возможно, Windows Defender проверяет загрузки инициированные в Internet Explorer 7. Таким образом, Windows Defender проверяет гаджеты на наличие вредоносного кода ещё при их закачке. Это обезопасит пользователя ещё до того, как он установит гаджет на свой компьютер.

Защищенный режим в Internet Explorer
Internet Explorer 7 в Windows Vista содержит новую функцию безопасности, называемую Защищенный режим. Защищенный режим - расширение, разработанное, чтобы защитить пользователей от вредоносного кода, скрытно выполняющегося на открытой web-странице в Интернете. Безопасный режим не распространяется на гаджеты, так как это код на локальном компьютере и работает при помощи файлов локального компьютера соответственно.

Нам можно доверять
Гаджеты – это по своей сути мини-приложения. Некоторые гаджеты выполняют простейшие задания – открывают файл и считывают информацию из него. Или отображать кнопки для управления каким либо другим приложением – различные варианты объединения этих и других функций может давать различные гаджеты. Другими словами – гаджеты выполняют те же самые операции, что и обычные приложения.

Способ запуска гаджета представлен так же как и способ запуска обычного приложения, скачанного с Интернета. Информация об авторе указана в диалоговом окне, которое, так же, содержит информацию об опасности, которая может возникнуть при установке гаджета. Но такой диалог появляется всего лишь один раз – при установке. То есть вы подтверждаете гаджет один раз, а дальше он уже может запускаться без вашего согласия.

Дополнительная безопасность для корпораций
Если пользователи на Вашем компьютере подчиняются групповой политике, то можно внести дополнительную безопасность. Sidebar поддерживает общую папку в Program Files, которая может быть изменена только членами группы Администраторы (Administrators) данного компьютера. Таким образом, гаджеты можно поместить в эту папку и все пользователи данного компьютера смогут использовать эти гаджеты. Также, при помощи групповой политики, можно запретить пользователям устанавливать гаджеты в их пользовательские папки. Также, эта опция запрещает использовать любые гаджеты, не находящиеся в общей папке гаджетов, которую могут изменять только члены группы Администраторы.

Также, в Windows Sidebar присутствуют следующие опции групповой политики:

- Выключить Windows Sidebar
Эта опция позволяет членам группы Администраторы полностью запретить пользователям использовать Windows Sidebar.

- Запретить пользователям распаковывать и устанавливать гаджеты, не имеющие цифровой подписи
Эта опция позволяет Администраторам требовать цифровую подпись гаджета при его установке пользователем. Эта функция распространяется только на те гаджеты, которые были скачены и установлены после её применения. Все уже установленные гаджеты будут продолжать работать.

- Выключить гаджеты, установленные пользователями
Эта та опция, о которой говорилось выше – запрещается использование всех гаджетов, не расположенных в Общей папке гаджетов.

- Изменить ссылку на закачку гаджетов в диалоге Add Gadget (More Gadgets)
Диалог Gadget Gallery содержит ссылку, которая ведет к странице, на которой можно найти и скачать гаджеты. По-умолчанию эта ссылка ведет на сайт Microsoft, но Администраторы могут изменить адрес этой ссылки. Таким образом Администраторы могут разместить набор гаджетов, который будет использоваться в их компании в определенном месте и указать ссылку на это место при помощи этой опции.

Источник: http://blogs.msdn.com/sidebar/
Перевод: QiSoft

Комментарии

Комментариев нет...
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.047 секунд (Общее время SQL: 0.03 секунд - SQL запросов: 51 - Среднее время SQL: 0.00059 секунд))
Top.Mail.Ru