Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Windows 8 Embedded Lockdown - можливості для вбудовування

  1. ФІЛЬТРИ ЗАПИСИ
  2. ФІЛЬТРИ РЕЄСТРУ
  3. Винятки ФІЛЬТРІВ ЗАПИСИ
  4. ФІЛЬТР діалогових вікон
  5. ФІЛЬТР КЛАВІАТУРИ
  6. ФІЛЬТР ЖЕСТІВ
  7. БРЕНДУВАННЯ
  8. УПРАВЛІННЯ МОЖЛИВОСТЯМИ БЛОКИРОВКИ
  9. ВИСНОВКИ
  10. література:

Наша взаимовыгодная связь https://banwar.org/

Сергій Антонович

Журнал Control Engineering

№3 (45) 2013

У попередній статті циклу публікацій, присвячених новітній вбудованої ОС Windows Embedded 8, були перераховані особливості платформи Windows Embedded в загальному і представлені засоби розробки ОС Windows Embedded 8 Standard. Даний матеріал присвячений розширеним можливостям Windows 8 Embedded Lockdown для вбудовування в пристрої.

Однією з особливостей, що відрізняють Windows Embedded від класичних систем Windows, є розширені можливості блокування (lockdown) пристрої.

Блокування пристрою має на увазі реалізацію його контрольованого поведінки для кінцевого користувача за рахунок обмеження шляхів взаємодії з пристроєм. Існують різні причини для блокування, наприклад захист від проникнення в систему користувачем з терміналу, певна поведінка системи для користувача, збільшення надійності роботи системи.

Windows Embedded 8 Standard заснована на Windows 8, тому включає базові можливості блокування класичної Windows 8: AppLocker, брандмауер, групові політики. Але для вбудовування системи найчастіше бувають необхідні додаткові можливості. Наприклад, якщо пристрій є електронною касу, натискання комбінацій клавішею Alt + F4, Alt + Tab вкрай небажані, так як дозволять вийти за межі спеціалізованого додатки і отримати доступ до системи.

В основному, саме ці, специфічні для Embedded можливості відрізняють Windows сімейства Embedded від класичних систем Windows загального призначення:

  • фільтри записи (Write Filters) і пов'язана з ними технологія багаторазового відновлення системи з одного разу ініційованого сплячого режимі (Hibernate-Once-Resume-Many, HORM);
  • фільтр реєстру (Registry Filter);
  • фільтр діалогових вікон (Dialog Filter);
  • фільтр клавіатури (Keyboard Filter);
  • фільтр жестів (Gesture Filter);
  • брендування (Branding).

На рис. 1 показані компоненти в каталозі Windows Embedded, які надають можливості блокування.

Рис.1. Компоненти блокування в каталозі Windows Embedded

ФІЛЬТРИ ЗАПИСИ

Фільтри записи використовуються під вбудовується системі, щоб захистити носій даних від запису на нього. Під носієм даних мається на увазі будь-який пристрій для зберігання даних, яка підтримується Windows 8. Така можливість може бути корисна, наприклад, для того, щоб запобігти багаторазову перезапис даних на твердотільний жорсткий диск, тим самим збільшивши термін його служби. Фільтри записи дозволяють також представити для операційної системи носій тільки для читання як записується. Включений фільтр записи перехоплює спроби записи на захищені носії і перенаправляє їх в спеціальну область - оверлей, в якій зберігаються тільки зміни, внесені при спробах записи на захищений носій. Зазвичай оверлей розміщується в системній пам'яті, хоча можливо його розміщення на диску.

Оверлей в пам'яті корисний, коли необхідно зменшити кількість записів на твердотільний носій щоб уникнути його зносу, а також при роботі системи на носіях тільки для читання. Розмір оверлею в цьому випадку обмежений обсягом вільної пам'яті; при заповненні оверлею система повинна бути перезавантажена. Оверлей на диску може бути набагато більшого розміру, тим самим час безперервної роботи системи, пов'язане із заповненням оверлею, багаторазово зростає. Можливість розміщення оверлею на диску замість пам'яті існувала також в Windows Embedded Standard 2009, але якщо там дисковий оверлей зберігався після перезавантаження пристрою і в будь-який момент можна було перенести зміни з оверлею на диск (commit), то в Windows Embedded 8 Standard дисковий оверлей поводиться подібно оверлей в пам'яті, тобто не зберігається після перезавантаження; також в будь-який момент можна перенести зміни з оверлею на диск.

Якщо розробником не створено жодних винятків, то між перезавантаженнями оверлей не зберігається, що дозволяє отримати пристрій, який після кожної перезавантаження буде перебувати в початковому стані. Роботу оверлею можна порівняти з прозорою плівкою, накладеної на об'єктив проектора: будь-яка зміна на такій плівці відбивається на зображенні, однак якщо плівку прибрати, картинка залишиться незмінною.

Робота з захищеним носієм повністю прозора для додатків: з їх боку захищений фільтром носій нічим не відрізняється від звичайного з можливістю запису. Всі спроби записи обробляються фільтром автоматично. При читанні, якщо запитувана область раніше записувалася в оверлей, повертаються дані саме з оверлею.

Така поведінка стає цікавим, коли розглядається вплив на систему шкідливих програм: такі програми разом з небажаними змінами, внесеними ними в систему, будуть існувати тільки до найближчої її перезавантаження, після якої оверлей зі змінами буде очищений і система повернеться в початковий стан.

Windows Embedded 8 Standard підтримує такі фільтри записи:

  • EWF (Enhanced Write Filter, покращений фільтр записи;

  • FBWF (File Based Write Filter, файловий фільтр записи);

  • UWF (Unified Write Filter, об'єднаний фільтр записи).

UWF є новим в Windows Embedded 8 Standard і об'єднує разом можливості EWF, FBWF і фільтра реєстру, тому не можна одночасно використовувати UWF і будь-який з перерахованих фільтрів. Щоб зрозуміти відмінності фільтрів записи, розглянемо таблицю 1.

ТАБЛИЦЯ 1. Відмінності ФІЛЬТРІВ ЗАПИСИ

Функціонал фільтраUWFEWFFBWFВинятки: директорії і файли

+ - + Винятки: директорії і файли + - + Винятки: реєстр + з використанням Registry Filter з використанням Registry Filter + Фільтр на рівні секторів + + - Підтримка HORM + - - Оверлей в пам'яті + + + Оверлей на диску + - - Провайдери Windows Management Instrumentation v2 + - - Збереження розділу з оверлею на носій - + - - Збереження файлу з оверлею на носій + - + Конфигурирование на працюючій системі (runtime) командний рядок, PowerShell, Embedded Lockdown Manager, провайдери WMI командна строка- командний рядок +

Відмінності між фільтрами пояснюються тим, що EWF працює на секторному рівні, а FBWF - поверх файлової системи, що і дозволяє налаштовувати вказаний фільтр на рівні окремих файлів. UWF об'єднує гідності обох фільтрів: він працює на секторному рівні, а також дозволяє налаштувати фільтрацію на рівні окремих файлів. Фактично фільтри EWF і FBWF залишені розробниками тільки для зворотної сумісності з Windows.

З фільтром UWF пов'язана можливість багаторазово відновлювати систему з одного разу ініційованого сплячого режиму (HORM). Це досягається шляхом повторного використання файлу дампа пам'яті сплячого режиму після перезавантаження (на відміну від класичної Windows, де вказаний файл використовується лише один раз). Використання HORM несумісне з будь-якими винятками фільтрів, а також з розміщенням оверлею на диску.

Окремого обговорення вимагає установка оновлень на систему, захищену фільтрами записи: якщо не змінити поведінку фільтрів записи, то всі зміни будуть втрачені після перезавантаження пристрою. Щоб цього не сталося, для фільтрів FBWF і EWF передбачений наступний сценарій:

  1. Вимкнути фільтр і перезавантажити систему для вступу зміни в силу.
  2. Встановити необхідні оновлення, при необхідності перезавантажити систему.
  3. Включити фільтр і перезавантажити систему для вступу зміни в силу.

Для установки оновлень на систему, захищену UWF, передбачений спеціальний режим обслуговування (servicing). Всі дії виконуються автоматично спеціальним сценарієм, участь адміністратора не потрібно. Для входу в зазначений режим необхідно виконати одну команду і перезавантажити пристрій. Крім того, існує спеціальний компонент UWF Anti-Malware, що дозволяє автоматично додати в виключення фільтра UWF конфігурацію оновлень «Захисника Windows» (Windows Defender) так, що вони будуть зберігатися після перезавантаження системи.

Для розгортання (deploy) образу системи, що включає фільтри записи, перед захопленням (capture) способу фільтр слід відключити. Включення фільтрів можна зробити на знову розгортається системі як вручну, так і автоматично після розгортання.

ФІЛЬТРИ РЕЄСТРУ

Фільтр реєстру дозволяє зберегти змінені значення окремих розділів або параметрів реєстру між перезавантаженнями, в той час як носій, на якому розташовані файли даних реєстру, захищений фільтром записи.

Зазвичай в системі, захищеної фільтром записи, всі зміни, вироблені в реєстрі, потрапляють в оверлей і залишаються там до перезавантаження. Фільтр реєстру відстежує поновлення окремих розділів або параметрів і зберігає їх в свій власний оверлей. Після перезавантаження пристрою зміни, збережені в оверлее, копіюються в пам'ять, щоб створити ефект збереження налаштувань. Фільтр реєстру, скомбінована з EWF або FBWF, дозволяє зберігати значення розділів або параметрів реєстру в той час, як решта системи залишається захищеною фільтрами записи.

Відзначимо наступне:

  • Фільтр реєстру не застосовується спільно з фільтром UWF, так як останній має свої власні можливості, пов'язані з реєстром (див. Таблицю 1);
  • Як видно з опису, фільтр реєстру, на відміну від фільтрів записи, дозволяє саме зберігати зміни в реєстрі між перезавантаженнями, а не знищувати їх, тобто фактично дозволяє створити виключення, пов'язані з реєстром, для фільтрів EWF і FBWF.

Винятки ФІЛЬТРІВ ЗАПИСИ

Деякі фільтри записи допускають настройку винятків. Так, наприклад, при використанні FBWF можна виключити з фільтра певні файли. У той час як зазначені файли будуть записуватися на захищається носій, що залишилася його частина буде як і раніше захищена від запису.

В винятку, наприклад, рекомендується вносити файли і параметри реєстру, пов'язані з CEIP (Customer Experience Improvement Program, програма поліпшення якості обслуговування) і настройками мережі.

ФІЛЬТР діалогових вікон

Фільтр діалогових вікон використовується для управління вікнами, відображеними на екрані, шляхом вчинення обраного заздалегідь одного з дій: блокування або виконання стандартного дії. Блокуються всі діалогові вікна, які відповідають заздалегідь заданому списку правил. Серед таких правил, наприклад, знаходяться заголовок вікна, шлях до процесу, що створив вікно, імена і типи компонентів верхнього рівня, що відносяться до вікна.

Для незаблокованих діалогових вікон задається стандартне дію: показати або закрити вікно (за замовчуванням воно відображається). Існує також можливість завжди відображати незаблоковані вікна певних ( «захищених») процесів незалежно від обраного стандартного действія.Подробнее поведінку фільтра показано на рис. 2.

2

Рис.2. Поведінка фільтра діалогових вікон

Фільтр діалогових вікон має два важливих обмеження:

  • Він не може блокувати діалогові вікна, створені додатками, що виконуються від імені адміністратора. На реальній системі процеси, що взаємодіють з користувачем, зазвичай виконуються з обмеженими правами, тому ця особливість не позначається на зручності використання фільтра;
  • Він аналізує тільки діалогові вікна, які мають вікно робочого столу в якості батьківського. Це запобігає зачіпання фільтром елементів, що мають інші батьківські вікна (наприклад, кнопки).

ФІЛЬТР КЛАВІАТУРИ

Фільтр клавіатури використовується для блокування небажаних натискань клавіш або їх комбінацій. Зазвичай користувач може використовувати деякі службові комбінації клавіш, таких, як Ctrl + Alt + Delete, тим самим змінюючи функціонування пристрою, наприклад блокуючи екран або використовуючи диспетчер задач, щоб її закрити. Фільтр клавіатури дозволяє придушити будь-які натискання клавіш або їх комбінацій, що призводять до такого небажаного поводження системи. У Windows Embedded 8 Standard фільтр клавіатури однаково добре працює як з фізичними, так і з екранними клавіатурами. Коректно відслідковуються перемикання розкладки, навіть якщо розміщення придушуються клавіш при цьому змінилося. Фільтр дозволяє придушити комбінації клавіш, навіть якщо їх джерелом є кілька різних клавіатур; може бути окремо включений або виключений для облікових записів адміністраторів; дозволяє задати правила блокування як для скан-кодів клавіатури, так і для віртуальних клавіш.

ФІЛЬТР ЖЕСТІВ

У настільної Windows 8 широко застосовуються жести. Але у вбудованих системах їх використання може бути небажано, оскільки, наприклад, користувач може вийти на екран «Пуск», використовуючи жест в правій частині екрана. Фільтр жестів дозволяє повністю вимкнути жести на будь-якому з країв екрану, як вибірково, в будь-якій комбінації, так і все відразу. Обробляються як жести пальцями, так і покажчиком миші. Налаштування фільтру жестів проводиться до розгортання системи, але існують також недокументовані можливості його налаштування на працюючій системі.

БРЕНДУВАННЯ

Під брендування мається на увазі можливість зміни в системі візуальних елементів, що дозволяють її ідентифікувати (наприклад, прапорець Windows при завантаженні) і додавання своїх власних. Windows Embedded 8 Standard включає кілька модулів, що дозволяють налаштовувати елементи брендування. Завантаження без елементів брендування (Unbranded Boot) дозволяє видалити під час завантаження елементи інтерфейсу, що ідентифікують систему як Windows Embedded 8 Standard, а також придушити появу екрану з помилкою, після якої система не може восстановіться.Unbranded Boot налаштовується як до розгортання системи, так і з командного рядка на працюючій системі. Існують наступні обмеження:

Для ініціалізації параметрів Unbranded Boot в реєстрі перший вхід в розгорнуту систему необхідно виконати під обліковим записом з адміністративними правами.

  • При використанні Unbranded Boot неприпустимо конфігурувати автоматичний вхід в систему (Auto Logon) до розгортання образу. Необхідно робити це тільки на розгорнутій системі після першого входу з обліковим записом адміністратора.
  • Unbranded Boot не може прибрати або змінити завантажувальний логотип BIOS, так як він відображається до завантаження операційної системи. Однак існують способи зробити це, якщо цільове пристрій підтримує UEFI (Unified Extensible Firmware Interface).

За аналогією з Unbranded Boot, власний вхід в систему (Custom Logon) дозволяє позбутися від елементів брендування вже не при завантаженні, а на екрані входу в систему або вимкнути пристрій. Окремо можна прибрати, наприклад, такі елементи екрану входу, як анімацію, кнопку вимикання, вибір методу введення, вікно закриття додатків при виключенні і т.д. В якості додаткових можливостей, в якості опції для Custom Logon налаштовується автоматичний вхід в систему. Детальніше про Auto Logon можна прочитати за посиланням [2]. Запуск оболонки (Shell Launcher) дозволяє замінити оболонку зі стандартного провідника на будь-який додаток, причому окремо вказати його для різних груп або користувачів, а також вказати дію, яке виконується при закритті оболонки, наприклад, перезапуск пристрою, перезапуск оболонки і т.д. Детальніше про компонент можна прочитати за посиланням [3].

Запуск програми Windows 8 (Windows 8 Application Launcher), на відміну від запуску оболонки, дозволяє автоматично запустити не класичне додаток, а додаток Windows 8 з Modern-інтерфейсом після входу в систему. Налаштування Application Launcher дещо відрізняється від Shell Launcher, так як додатки ідентифікуються не шляхом до виконуваного файлу, а ідентифікатором спеціального виду, який носить назву AUMID (Application User Model ID). Крім того, Modern-додатки за своєю поведінкою і технічним особливостям відрізняються від класичних додатків. AUMID встановлених додатків можна дізнатися, наприклад, за допомогою командлетів PowerShell.

УПРАВЛІННЯ МОЖЛИВОСТЯМИ БЛОКИРОВКИ

Можливості блокування можуть бути налаштовані в ICE (Image Configuration Editor, редактор конфігурації образу) на етапі проектування образу (рис. 3), безпосередньо на працюючій системі (різними способами), а також за допомогою інструменту ELM (Embedded Lockdown Manager, менеджер блокування).

Рис.3. Управління можливостями блокування в редакторі конфігурації образу

ELM дозволяє робити настроювання не тільки локально, безпосередньо на цільовій машині, але і віддалено, по мережі. Для цього необхідно використовувати обліковий запис адміністратора з встановленим не пустим паролем. Крім того, необхідно зробити ряд налаштувань на цільовій системі, щоб дозволити віддалене керування можливостями ізоляції.

Установка ELM для віддаленого управління проводиться запуском на комп'ютері розробника одного з файлів Windows8-RT-KB2758707-x86.msu або Windows8-RT-KB2758707-x64.msu (в залежності від розрядності системи) з дистрибутива Windows Embedded 8 Standard Toolkit або за посиланням [ 4]. Для установки ELM на цільовій системі не слід запускати зазначені файли, слід включити ELM в образ системи на етапі його розробки або розгортання.

У ELM (рис. 4) відображаються лише доступні на цільовій машині можливості ізоляції. Ті можливості, які не були включені в образ, стануть недоступними. ELM підтримує настройку UWF, Dialog Filter, Keyboard Filter і Shell Launcher. Всі параметри, доступні для редагування в ICE при створенні файлу відповідей, доступні також для редагування в ELM під час виконання цільової системи.

Всі параметри, доступні для редагування в ICE при створенні файлу відповідей, доступні також для редагування в ELM під час виконання цільової системи

Рис.4. Управління можливостями блокування в менеджері блокування

Серед інших шляхів управління блокуванням також присутній використання командного рядка (рис. 5) або командлетів PowerShell (рис. 6). Не всі можливості блокування управляються усіма перерахованими способами, для детальної інформації слід звернутися до документації, що додається до ICE або знайти її за посиланням [5].

Рис.5. Приклад використання командного рядка для отримання поточної конфігурації UWF

Рис.6. Приклад використання PowerShell для включення комбінації клавіш фільтра клавіатури

Загальна інформація про систему Windows Embedded 8 Standard може бути знайдена по посиланнях [6, 7].

ВИСНОВКИ

Можливості блокування є ключовою відмінністю Windows Embedded від класичних систем Windows і дозволяють добитися бажаного поведінки системи, не витрачаючи час і сили на її адаптацію до вбудовувати застосування.

У наступній статті циклу мова піде про редактора компонентів Module Designer, що дозволяє створювати власні компоненти каталогу Windows Embedded для подальшого вбудовування їх в образ системи.

література:

http://msembedded.ru/?p=2553

  1. http://msembedded.ru/?p=2513
  2. http://msembedded.ru/?p=2579
  3. http://www.microsoft.com/en-us/download/details.aspx?id=37020
  4. http://msdn.microsoft.com/en-US/library/ff795586(v=winembedded.0).aspx
  5. http://www.getwindowsembedded8.com
  6. http://www.microsoft.com/embedded

Повний текст статті (Pdf, 7 Mb)

Сергій Антонович,

Системний інженер по вбудовуваним рішенням

ТОВ «Кварта Технології», м.Москва,

[email protected]

Ru/?
Ru/?
Ru/?
Aspx?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: