WINDOWS 8 EMBEDDED LOCKDOWN ВОЗМОЖНОСТИ ДЛЯ ВСТРАИВАНИЯ
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
WINDOWS 8 EMBEDDED LOCKDOWN ВОЗМОЖНОСТИ ДЛЯ ВСТРАИВАНИЯ СЕРГЕЙ АНТОНОВИЧ info@quarta.ru В предыдущей статье цикла публикаций, посвященных новейшей встраиваемой ОС Windows Embedded 8, были перечислены особенности платформы Windows Embedded в общем и представлены средства разработки ОС Windows Embedded 8 Standard. Данный материал посвящен расширенным возможностям Windows 8 Embedded Lockdown для встраивания в устройства. Одной из особенностей, отлича- , крайне неже- ФИЛЬТРЫ ЗАПИСИ ющих Windows Embedded от клас- лательны, так как позволят выйти Фильтры записи используют- сических систем Windows, являются за пределы специализированного ся во встраиваемой системе, чтобы расширенные возможности блоки- приложения и получить доступ защитить носитель данных от записи ровки (lockdown) устройства. к системе. на него. Под носителем данных под- Блокировка устройства подразу- В основном, именно эти, спец- разумевается любое устройство для мевает реализацию его контроли- ифические для Embedded возмож- хранения данных, поддерживаемое руемого поведения для конечного ности отличают Windows семейства Windows 8. Такая возможность может пользователя за счет ограничения Embedded от классических систем быть полезна, например, для того, путей взаимодействия с устрой- Windows общего назначения: чтобы предотвратить многократную ством. Существуют различные • фильтры записи (Write Filters) перезапись данных на твердотельный причины для блокировки, напри- и связанная с ними технология жесткий диск, тем самым увеличив мер защита от проникновения многократного восстановления срок его службы. Фильтры записи в систему пользователем с термина- системы из единожды ини- позволяют также представить для опе- ла, определенное поведение систе- циированного спящего режима рационной системы носитель только мы для пользователя, увеличение (Hibernate-Once-Resume-Many, для чтения как записываемый. надежности работы системы. HORM); Включенный фильтр записи пере- Windows Embedded 8 Standard • фильтр реестра (Registry Filter); хватывает попытки записи на защи- основана на Windows 8, поэтому • фильтр диалоговых окон (Dialog щенные носители и перенаправляет включает базовые возможности Filter); их в специальную область — овер- блокировки классической Windows • фильтр клавиатуры (Keyboard лей, в которой сохраняются только 8: AppLocker, брандмауэр, группо- Filter); изменения, внесенные при попыт- вые политики. Но для встраивания • фильтр жестов (Gesture Filter); ках записи на защищенный носи- системы зачастую бывают необходи- • брендирование (Branding). тель. Обычно оверлей размещается мы дополнительные возможности. На рис. 1 показаны компонен- в системной памяти, хотя возможно Например, если устройство пред- ты в каталоге Windows Embedded, его размещение и на диске. ставляет собой электронную кассу, предоставляющие возможности Оверлей в памяти полезен, когда нажатия комбинаций клавишей блокировки. необходимо уменьшить количество
ПРОГРАМНЫЕ СРЕДСТВА I 65
в этом случае ограничен объемом При чтении, если запрашиваемая
свободной памяти; при заполнении область ранее записывалась в овер-
оверлея система должна быть пере- лей, возвращаются данные именно
загружена. из оверлея.
Оверлей на диске может быть Такое поведение становится инте-
гораздо большего размера, тем ресным, когда рассматривается воз-
самым время непрерывной работы действие на систему вредоносных
системы, связанное с заполнением программ: такие программы вместе
оверлея, многократно возрастает. с нежелательными изменениями,
Возможность размещения оверлея внесенными ими в систему, будут
на диске вместо памяти существо- существовать только до ближай-
вала также в Windows Embedded шей ее перезагрузки, после которой
Standard 2009, но если там дисковый оверлей с изменениями будет очи-
оверлей сохранялся после переза- щен и система вернется в исходное
грузки устройства и в любой момент состояние.
можно было перенести измене- Windows Embedded 8 Standard
ния из него на диск (commit), то поддерживает следующие фильтры
в Windows Embedded 8 Standard дис- записи:
ковый оверлей ведет себя подобно • EWF (Enhanced Write Filter, улуч-
оверлею в памяти, то есть не сохра- шенный фильтр записи);
няется после перезагрузки; также • FBWF (File Based Write Filter,
в любой момент можно перенести файловый фильтр записи);
изменения из оверлея на диск. • UWF (Unified Write Filter, объе-
Если разработчиком не создано диненный фильтр записи).
никаких исключений, то между пере- UWF является новым в Windows
загрузками оверлей не сохраняется, Embedded 8 Standard и объединяет
что позволяет получить устройство, вместе возможности EWF, FBWF
которое после каждой перезагруз- и фильтра реестра, поэтому нельзя
ки будет находиться в исходном одновременно использовать UWF
состоянии. Работу оверлея можно и любой из перечисленных филь-
сравнить с прозрачной пленкой, тров.
наложенной на объектив проектора: Чтобы понять различия фильтров
любое изменение на такой пленке записи, рассмотрим таблицу 1.
отражается на изображении, однако Различия между фильтрами объяс-
если пленку убрать, картинка оста- няются тем, что EWF работает на сек-
нется неизменной. торном уровне, а FBWF — поверх
Работа с защищенным носителем файловой системы, что и позволя-
полностью прозрачна для прило- ет настраивать указанный фильтр
жений: с их стороны защищенный на уровне отдельных файлов. UWF
РИС. 1. записей на твердотельный носитель фильтром носитель ничем не отли- объединяет достоинства обоих
Компоненты блокировки во избежание его износа, а также чается от обычного с возможностью фильтров: он работает на секторном
в каталоге Windows
Embedded
при работе системы на носителях записи. Все попытки записи обраба- уровне, а также позволяет настроить
только для чтения. Размер оверлея тываются фильтром автоматически. фильтрацию на уровне отдельных
ТАБЛИЦА 1. РАЗЛИЧИЯ ФИЛЬТРОВ ЗАПИСИ
Функционал фильтра UWF EWF FBWF
Исключения: директории и файлы да нет да
с использованием с использованием
Исключения: реестр да
Registry Filter Registry Filter
Фильтр на уровне секторов да да нет
Поддержка HORM да нет нет
Оверлей в памяти да да да
Оверлей на диске да нет нет
Провайдеры Windows Management
да нет нет
Instrumentation v2
Сохранение раздела из оверлея на носитель нет да нет
Сохранение файла из оверлея на носитель да нет да
командная строка, PowerShell,
Конфигурирование на работающей системе
Embedded Lockdown Manager, командная строка командная строка
(runtime)
провайдеры WMI
CONTROL ENGINEERING РОССИЯ #3 (45), 2013
66 I ПРОГРАМНЫЕ СРЕДСТВА
их, то есть фактически позволяет
создать исключения, связанные
с реестром, для фильтров EWF
и FBWF.
ИСКЛЮЧЕНИЯ
ФИЛЬТРОВ ЗАПИСИ
Некоторые фильтры записи
допускают настройку исключе-
ний. Так, например, при исполь-
зовании FBWF можно исключить
из фильтра определенные файлы.
В то время как указанные фай-
лы будут записываться на защи-
РИС. 2. файлов. Фактически фильтры EWF ника Windows» (Windows Defender) щаемый носитель, оставшаяся его
Поведение фильтра и FBWF оставлены разработчиками так, что они будут сохраняться после часть будет по-прежнему защищена
диалоговых окон
только для обратной совместимости перезагрузки системы. от записи.
с Windows Embedded Standard 7. Для развертывания (deploy) обра- В исключения, например, реко-
С фильтром UWF связана возмож- за системы, включающей фильтры мендуется вносить файлы и пара-
ность многократно восстанавливать записи, перед захватом (capture) метры реестра, связанные с CEIP
систему из единожды иницииро- образа фильтр следует отключить. (Customer Experience Improvement
ванного спящего режима (HORM). Включение фильтров можно про- Program, программа улучшения
Это достигается путем повторного извести на вновь разворачиваемой качества обслуживания) и настрой-
использования файла дампа памяти системе как вручную, так и автома- ками сети.
спящего режима после перезагрузки тически после развертывания.
(в отличие от классической Windows, ФИЛЬТР
где указанный файл используется ФИЛЬТР РЕЕСТРА ДИАЛОГОВЫХ ОКОН
лишь единожды). Использование Фильтр реестра позволяет сохра- Фильтр диалоговых окон
HORM несовместимо с любыми нить измененные значения отдель- используется для управления
исключениями фильтров, а также ных разделов или параметров реестра окнами, отображаемыми на экра-
с размещением оверлея на диске. между перезагрузками, в то время не, путем совершения выбранного
Отдельного обсуждения требует как носитель, на котором расположе- заранее одного из действий: бло-
установка обновлений на систему, ны файлы данных реестра, защищен кирование или выполнение стан-
защищенную фильтрами записи: фильтром записи. дартного действия. Блокируются
если не изменить поведение филь- Обычно в системе, защищенной все диалоговые окна, которые
тров записи, то все изменения будут фильтром записи, все изменения, соответствуют заранее заданно-
потеряны после перезагрузки устрой- производимые в реестре, попадают му списку правил. Среди таких
ства. Чтобы этого не произошло, для в оверлей и остаются там до переза- правил, например, находятся
фильтров FBWF и EWF предусмо- грузки. Фильтр реестра отслеживает заголовок окна, путь к процессу,
трен следующий сценарий: обновления отдельных разделов или создавшему окно, имена и типы
1. Выключить фильтр и переза- параметров и сохраняет их в свой компонентов верхнего уровня,
грузить систему для вступле- собственный оверлей. После пере- относящихся к окну.
ния изменения в силу. загрузки устройства изменения, Для незаблокированных диалого-
2. Установить необходимые обнов- сохраненные в оверлее, копируют- вых окон задается стандартное дей-
ления, при необходимости пере- ся в память, чтобы создать эффект ствие: показать или закрыть окно
загрузить систему. сохранения настроек. Фильтр (по умолчанию оно отображается).
3. Включить фильтр и перезагру- реестра, скомбинированный с EWF Существует также возможность
зить систему для вступления или FBWF, позволяет сохранять всегда отображать незаблокиро-
изменения в силу. значения разделов или параметров ванные окна определенных («защи-
Для установки обновлений на систе- реестра в то время, как оставшаяся щенных») процессов вне зависимо-
му, защищенную UWF, предусмотрен часть системы остается защищенной сти от выбранного стандартного
специальный режим обслуживания фильтрами записи. действия. Подробнее поведение
(servicing). Все действия выполня- Подчеркнем следующее: фильтра показано на рис. 2.
ются автоматически специальным • Фильтр реестра не применяется Фильтр диалоговых окон имеет
сценарием, участие администратора совместно с фильтром UWF, так два важных ограничения:
не требуется. Для входа в указанный как последний имеет свои соб- • Он не может блокировать диало-
режим необходимо выполнить одну ственные возможности, связан- говые окна, созданные приложе-
команду и перезагрузить устройство. ные с реестром (см. таблицу 1). ниями, выполняющимися от име-
Кроме того, существует специаль- • Как видно из описания, фильтр ни администратора. На реальной
ный компонент UWF Anti-Malware, реестра, в отличие от фильтров системе процессы, взаимодейству-
позволяющий автоматически доба- записи, позволяет именно сохра- ющие с пользователем, обычно
вить в исключения фильтра UWF нять изменения в реестре между выполняются с ограниченными
конфигурацию обновлений «Защит- перезагрузками, а не уничтожать правами, поэтому эта особен-
#3 (45), 2013 CONTROL ENGINEERING РОССИЯ
ПРОГРАМНЫЕ СРЕДСТВА I 67
ность не сказывается на удобстве ки на работающей системе. Один вертывания образа. Необходимо
использования фильтра. из подобных способов описан в [1]. делать это только на разверну-
• Он анализирует только диа- той системе после первого входа
логовые окна, имеющие окно БРЕНДИРОВАНИЕ с учетной записью администра-
рабочего стола в качестве роди- Под брендированием подразу- тора.
тельского. Это предотвращает мевается возможность изменения • Unbranded Boot не может убрать
затрагивание фильтром элемен- в системе визуальных элементов, или изменить загрузочный лого-
тов, имеющих другие родитель- позволяющих ее идентифициро- тип BIOS, так как он отобража-
ские окна (например, кнопки). вать (например, флажок Windows ется до загрузки операционной
при загрузке) и добавление своих системы. Однако существуют
ФИЛЬТР КЛАВИАТУРЫ собственных. Windows Embedded 8 способы сделать это, если целе-
Фильтр клавиатуры использует- Standard включает несколько моду- вое устройство поддерживает
ся для блокирования нежелатель- лей, позволяющих настраивать UEFI (Unified Extensible Firmware
ных нажатий клавиш или их ком- элементы брендирования. Interface).
бинаций. Обычно пользователь Загрузка без элементов бренди- По аналогии с Unbranded Boot,
может использовать некоторые рования (Unbranded Boot) позво- с о б с т в е н н ы й в ход в с и с т е м у
служебные комбинации клавиш, ляет удалить во время загрузки (Custom Logon) позволяет изба-
такие как , тем элементы интерфейса, идентифи- виться от элементов брендирова-
самым изменяя функционирова- цирующие систему как Windows ния уже не при загрузке, а на экра-
ние устройства, например блоки- Embedded 8 Standard, а также пода- не входа в систему и выключения
руя экран или используя диспетчер вить появление экрана с ошибкой, устройства. По отдельности можно
задач для закрытия приложения. после которой система не сможет убрать, например, такие элемен-
Фильтр клавиатуры позволяет восстановиться. Unbranded Boot ты экрана входа, как анимацию,
подавить любые нажатия клавиш настраивается как до развертывания кнопку выключения, выбор метода
или их комбинаций, приводящие системы, так и с командной строки ввода, окно закрытия приложений
к такому нежелательному поведе- на работающей системе. Существу- при выключении и т. д. В качестве
нию системы. ют следующие ограничения: дополнительных возможностей
В Windows Embedded 8 Standard • Для инициализации параметров в качестве опции для Custom Logon
данный фильтр одинаково хорошо Unbranded Boot в реестре пер- настраивается автоматический вход
работает как с физическими, так вый вход в развернутую систе- в систему. Подробнее про Auto
и с экранными клавиатурами. Кор- му необходимо выполнить под Logon можно прочитать в [2].
ректно отслеживаются переключе- учетной записью с администра- Запуск оболочки (Shell Launcher)
ния раскладки, даже если размеще- тивными правами. п о з в о л я е т з а м е н и т ь о б о ло ч -
ние подавляемых клавиш при этом • При использовании Unbranded ку со стандартного проводника РИС. 3.
Управление
изменилось. Boot недопустимо конфигури- на любое приложение, причем
возможностями
Фильтр позволяет подавить ком- ровать автоматический вход по отдельности указать его для раз- блокировки в редакторе
бинации клавиш, даже если их источ- в систему (Auto Logon) до раз- личных групп или пользователей, конфигурации образа
ником являются несколько разных
клавиатур; может быть отдельно
включен или выключен для учетных
записей администраторов; позволя-
ет задать правила блокирования как
для скан-кодов клавиатуры, так и для
виртуальных клавиш.
ФИЛЬТР ЖЕСТОВ
В настольной Windows 8 широко
применяются жесты. Но во встраи-
ваемых системах их использование
может быть нежелательно, посколь-
ку, например, пользователь может
выйти на экран «Пуск», используя
жест в правой части дисплея.
Фильтр жестов позволяет полно-
стью выключить жесты на любом
из краев экрана, как выборочно,
в любой комбинации, так и все
сразу. Обрабатываются как жесты
пальцами, так и указателем мыши.
Настройка фильтра жестов произ-
водится до развертывания системы,
но существуют также недокументи-
рованные возможности его настрой-
CONTROL ENGINEERING РОССИЯ #3 (45), 2013
68 I ПРОГРАМНЫЕ СРЕДСТВА
интерфейсом после входа в систе-
му. Настройка Application Launcher
несколько отличается от Shell
Launcher, так как приложения иден-
тифицируются не путем к исполня-
емому файлу, а идентификатором
специального вида, который носит
название AUMID (Application User
Model ID). Кроме того, Modern-
приложения по своему поведе-
нию и техническим особенностям
отличаются от классических при-
ложений. AUMID установленных
приложений можно узнать, напри-
мер, с помощью командлетов
PowerShell.
УПРАВЛЕНИЕ
ВОЗМОЖНОСТЯМИ
БЛОКИРОВКИ
Возможности блокировки могут
быть настроены в ICE (Image
Configuration Editor, редактор
конфигурации образа) на этапе
проектирования образа (рис. 3),
непосредственно на работающей
РИС. 4. а также указать действие, кото- Запуск приложения Windows 8 системе (различными способами),
Управление рое выполняется при закрытии (Windows 8 Application Launcher), а также с помощью инструмента
возможностями
блокировки в менеджере
оболочки, например перезапуск в отличие от запуска оболочки, ELM (Embedded Lockdown Manager,
блокировки устройства, перезапуск оболочки позволяет автоматически запу- менеджер блокировки).
и т. д. Подробнее про компонент стить не классическое приложение, ELM позволяет производить
можно прочитать в [3]. а приложение Windows 8 с Modern- настройку не только локально,
непосредственно на целевой маши-
не, но и удаленно, по сети. Для этого
необходимо использовать учетную
запись администратора с установ-
ленным не пустым паролем. Кро-
ме того, необходимо сделать ряд
настроек на целевой системе, чтобы
разрешить удаленное управление
возможностями изоляции.
Установка ELM для удаленного
управления производится запу-
ском на компьютере разработчика
РИС. 5. одного из файлов Windows8-RT-
Пример использования KB2758707-x86.msu или Windows8-
командной строки для RT-KB2758707-x64.msu (в зависи-
получения текущей
конфигурации UWF мости от разрядности системы)
с дистрибутива Windows Embedded
8 Standard Toolkit или по ссылке
[4]. Для установки ELM на целевой
системе не следует запускать ука-
занные файлы, следует включить
ELM в образ системы на этапе его
разработки или развертывания.
В ELM (рис. 4) отображают-
ся только доступные на целевой
машине возможности изоляции.
РИС. 6. Те возможности, которые не были
Пример использования включены в образ, не будут доступ-
PowerShell
ны. ELM поддерживает настройку
для включения
комбинации клавиш UWF, Dialog Filter, Keyboard Filter
фильтра клавиатуры и Shell Launcher. Все параметры,
#3 (45), 2013 CONTROL ENGINEERING РОССИЯПРОГРАМНЫЕ СРЕДСТВА I 69
доступные для редактирования Общая информация о системе создавать собственные компонен-
в ICE при создании файла ответов, Windows Embedded 8 Standard может ты каталога Windows Embedded
доступны также для редактирова- быть найдена по ссылкам [6, 7]. для последующего встраивания
ния в ELM во время выполнения их в образ системы.
целевой системы. ВЫВОДЫ
Среди других путей управления Возможности блокировки явля-
блокировкой также присутствует ются ключевым отличием Windows ЛИТЕРАТУРА:
1. http://msembedded.ru/?p=2553
использование командной строки Embedded от классических систем 2. http://msembedded.ru/?p=2513
(рис. 5) или командлетов PowerShell Windows и позволяют добиться жела- 3. http://msembedded.ru/?p=2579
(рис. 6). Не все возможности блоки- емого поведения системы, не тра- 4. http://www.microsoſt.com/en-us/download/details.
ровки управляются всеми перечис- тя время и силы на ее адаптацию aspx?id=37020
5. http://msdn.microsoſt.com/en-US/library/
ленными способами, для детальной ко встраиваемому применению. ff795586(v=winembedded.0).aspx
информации следует обратиться В следующей статье цикла речь 6. http://www.getwindowsembedded8.com
к документации, прилагаемой к ICE, пойдет о редакторе компонентов 7. http://www.microsoſt.com/embedded
или найти ее по ссылке [5]. Module Designer, позволяющем
Компания «Кварта Технологии», основанная в 1997 г., является одним из лидеров российского
ИТ-рынка в области дистрибуции и продажи программных продуктов. Являясь дистрибутором
и тренинг-партнером корпорации Microsoſt в области встраиваемых решений, компания
осуществляет поставку лицензий и средств разработки, предоставляет полную информационную
и техническую поддержку, услуги по разработке образов под нужды заказчика, консалтинг,
обучение специалистов и проведение сертифицированных тренингов по встраиваемым
технологиям Microsoſt.
На ежегодной конференции «Встраиваемые технологии 2013. Современные программные
и аппаратные решения» в апреле 2013 г. «Кварта Технологии» и ее партнеры представили готовые
решения на базе Microsoſt Windows Embedded. В этом году состоялся запуск сразу нескольких
новых продуктов: Windows Embedded 8 Standard, Windows Embedded 8 Professional, Windows
Embedded 8 Industry, а также была анонсирована новая ОС Windows Embedded Compact 2013,
которая планируется к выходу в сентябре 2013 г.
По данным «Кварта Технологии», наиболее полно решения Microsoſt Windows Embedded
используются в таких отраслях, как разработка и производство компьютерного оборудования
и комплексных решений, а также разработка программного обеспечения. Если посмотреть
на статистику по типам решений, то лидируют системы автоматизации предприятий,
программное обеспечение для встраиваемых устройств, платежные и информационные киоски,
промышленные контроллеры, серверы, тонкие клиенты, измерительные устройства.
CONTROL ENGINEERING РОССИЯ #3 (45), 2013Вы также можете почитать
