Condividi tramite

Protezione risorse di Windows aggiuntiva nelle chiavi del Registro di sistema

  • Articolo

Piattaforma

Client - Windows 7
Servers - Windows Server 2008 R2

Impatto sulle funzionalità

Gravità - Medio
Frequenza - Bassa

Descrizione

Altre risorse di sistema hanno aggiunto le impostazioni di Windows Resource Protection (WRP) in Windows 7, rendendole impostazioni di sola lettura. La maggior parte delle risorse che hanno ricevuto una protezione aggiuntiva sono le chiavi del server COM di sistema, anche se alcune funzionalità hanno aggiunto la protezione delle risorse di destinazione. Microsoft ha modificato queste risorse per proteggere il sistema e le altre applicazioni dall'interruzione e fornire una piattaforma coerente e stabile su cui le applicazioni possono essere eseguite in modo affidabile. In passato, le applicazioni potrebbero fornire file personalizzati e usare la registrazione COM non protetta per modificare il sistema. Nel caso di applicazioni meno recenti, questo può effettuare il downgrade dei runtime di sistema o modificare l'interfaccia in base alla quale altre applicazioni devono funzionare correttamente. Nel peggiore dei casi, tali installazioni potrebbero causare errori di sistema o riduzione nel tempo. Per offrire un'esperienza migliore e una piattaforma applicativa più stabile, queste registrazioni sono state bloccate in modo che solo gli aggiornamenti Microsoft possano modificare i componenti di sistema.

Poiché la maggior parte delle risorse modificate sono chiavi COM usate dal sistema, questa modifica non influirà sulla maggior parte delle applicazioni. Anche se ci aspettiamo che la maggior parte delle applicazioni abbia un'esperienza migliore in Windows 7 in seguito a queste modifiche, un piccolo subset di applicazioni potrebbe essere influenzato negativamente. I livelli di compatibilità delle applicazioni del sistema risolveranno automaticamente i problemi di installazione comunicando sempre all'applicazione che ha avuto esito positivo nella modifica di un'impostazione, anche se non è riuscita a causa di una risorsa protetta. Ciò impedisce l'interruzione delle configurazioni dell'applicazione, ma può causare problemi se l'impostazione deve essere modificata affinché l'applicazione funzioni correttamente.

Manifestazione

Le applicazioni potrebbero aver modificato queste impostazioni prima di Windows 7. Dopo l'installazione in Windows 7, le applicazioni potrebbero trovare alcune funzionalità non funzionano più perché le impostazioni non riflettono ciò che previsto dall'applicazione.

Esistono due scenari in cui le applicazioni possono riscontrare problemi correlati a questa protezione aggiunta:

  • Applicazioni che potrebbero usare le impostazioni ora protette come archivio dati o come punto di estendibilità raro o imprevisto
  • In rari casi, il meccanismo di rilevamento usato per identificare le configurazioni dell'applicazione potrebbe non riconoscere una configurazione specifica e quindi il livello di mitigazione della compatibilità delle applicazioni potrebbe non essere applicato

Strategia di riduzione del rischio

Il mezzo principale di mitigazione è il livello di compatibilità dell'applicazione del sistema, che viene applicato automaticamente alle configurazioni dell'applicazione quando viene rilevato. È anche possibile applicarlo manualmente a qualsiasi applicazione usando la scheda compatibilità nelle proprietà dell'applicazione.

Questo livello risolve il problema intercettando le operazioni del Registro di sistema. Nel caso in cui l'applicazione tentasse di modificare un'impostazione di sola lettura (WRP), il livello restituisce sempre esito positivo, anche se l'impostazione non è stata effettivamente modificata. Per la maggior parte delle applicazioni, questo non causerà problemi. Tuttavia, esiste la possibilità che l'applicazione abbia bisogno di modificare l'impostazione per funzionare correttamente, ovvero il primo scenario descritto in precedenza.

Soluzione

Per i due scenari identificati in precedenza:

  • Se l'applicazione richiede che la chiave sia scrivibile per funzionare o usare l'archivio dati, non esiste alcuna soluzione diversa dalla modifica dell'applicazione in modo che non scriva più in tale posizione.
  • Se il livello di compatibilità non è stato applicato a un'installazione, l'errore di installazione deve essere rilevato e offerto per l'applicazione e la ripetizione dell'esecuzione. Le applicazioni possono anche essere eseguite in modalità di compatibilità, nel qual caso viene sempre applicato il livello di mitigazione.

Test di compatibilità

Come rilevare se a un'applicazione è stata applicata una mitigazione WRP:

  • Windows Installer è a conoscenza di WRP; e ignora automaticamente i tentativi di scrittura o modifica di una risorsa protetta. Se l'applicazione è stata installata con Windows Installer e la registrazione è stata abilitata, verrà registrato un avviso per ogni operazione di scrittura della chiave del Registro di sistema ignorata a causa della sua presenza di una risorsa protetta da WRP.
  • L'API Protezione risorse di Windows incorpora SfCIsKeyProtected, che può eseguire una query se una chiave del Registro di sistema è protetta da WRP nel sistema corrente.