Protezione risorse di Windows aggiuntiva nelle chiavi del Registro di sistema
Piattaforma
Client - Windows 7
Server - Windows Server 2008 R2
Impatto sulle funzionalità
Gravità - Medio
Frequenza - Bassa
Descrizione
Altre risorse di sistema hanno aggiunto le impostazioni WRP (Windows Resource Protection) in Windows 7, rendendole impostazioni di sola lettura. La maggior parte delle risorse che hanno ricevuto la protezione aggiunta sono chiavi del server COM di sistema, anche se alcune funzionalità hanno aggiunto protezione delle risorse di destinazione. Microsoft ha modificato queste risorse per proteggere il sistema e altre applicazioni dall'altra e fornire una piattaforma coerente e stabile su cui le applicazioni possono essere eseguite in modo affidabile. In passato, le applicazioni possono fornire file personalizzati e usare la registrazione COM non protetta per modificare il sistema. Nel caso di applicazioni precedenti, questo può eseguire il downgrade dei runtime di sistema o modificare l'interfaccia in base alla quale altre applicazioni necessarie per funzionare correttamente. Nel caso peggiore, tali installazioni potrebbero causare errori di sistema o riduzione nel tempo. Per offrire un'esperienza migliore e una piattaforma applicazione più stabile, sono state bloccate queste registrazioni in modo che solo gli aggiornamenti Microsoft possano modificare i componenti di sistema.
Poiché la maggior parte delle risorse modificate sono chiavi COM usate dal sistema, questa modifica non influisce sulla maggior parte delle applicazioni. Sebbene la maggior parte delle applicazioni abbia un'esperienza migliore in Windows 7 in seguito a queste modifiche, un piccolo subset di applicazioni potrebbe essere influenzato negativamente. I livelli di compatibilità dell'applicazione del sistema risolvono automaticamente i problemi di installazione dicendo sempre all'applicazione che ha avuto esito positivo nella modifica di un'impostazione, anche se non è riuscita a causa di una risorsa protetta. Ciò impedisce l'interruzione delle configurazioni dell'applicazione, ma può causare problemi se l'impostazione deve essere modificata in modo da consentire all'applicazione di funzionare correttamente.
Manifestazione
Le applicazioni potrebbero aver modificato queste impostazioni prima di Windows 7. Dopo l'installazione in Windows 7, le applicazioni potrebbero trovare alcune funzionalità non funzionano più perché le impostazioni non riflettono quello previsto dall'applicazione.
Esistono due scenari in cui le applicazioni possono riscontrare problemi relativi a questa protezione aggiunta:
- Applicazioni che potrebbero essere state usando le impostazioni ora protette come archivio dati o come punto di estendibilità raro o non previsto
- In rari casi, il meccanismo di rilevamento usato per identificare le configurazioni dell'applicazione potrebbe non riconoscere una determinata configurazione e quindi il livello di mitigazione della compatibilità dell'applicazione potrebbe non essere applicato
Strategia di riduzione del rischio
Il mezzo principale di mitigazione è il livello di compatibilità dell'applicazione del sistema, che viene applicato automaticamente alle configurazioni dell'applicazione quando rilevato. È anche possibile applicarlo manualmente a qualsiasi applicazione usando la scheda compatibilità nelle proprietà dell'applicazione.
Questo livello risolve il problema intercettando le operazioni del Registro di sistema. Nel caso in cui l'applicazione tentasse di modificare un'impostazione WRP (Read-Only), il livello restituisce sempre esito positivo, anche se l'impostazione non è stata effettivamente modificata. Per la maggior parte delle applicazioni, ciò non causerà problemi. Tuttavia, è possibile che l'applicazione sia stata modificata per funzionare correttamente, ovvero il primo scenario descritto in precedenza.
Soluzione
Per i due scenari identificati in precedenza:
- Se l'applicazione richiede che la chiave sia scrivibile per funzionare o usare l'archivio dati, non esiste alcuna soluzione diversa dalla modifica dell'applicazione in modo che non venga più usata per la scrittura in tale posizione.
- Se il livello di compatibilità non è stato applicato a un programma di installazione, l'errore di installazione deve essere rilevato e offerto per essere applicato e rieseguato. Le applicazioni possono essere eseguite anche in modalità di compatibilità, nel qual caso viene sempre applicato il livello di mitigazione.
Test di compatibilità
Come rilevare se un'applicazione ha applicato la mitigazione WRP:
- Windows Installer è a conoscenza di WRP; ignora automaticamente i tentativi di scrittura o modifica di una risorsa protetta. Se l'applicazione è stata installata con Windows Installer e la registrazione è stata abilitata, verrà registrato un avviso per ogni operazione di scrittura della chiave del Registro di sistema ignorata a causa della relativa presenza di una risorsa protetta da WRP.
- L'API WRP incorpora SfCIsKeyProtected, che può eseguire query se una chiave del Registro di sistema è protetta da WRP nel sistema corrente. Per altre informazioni sull'uso di questa API, vedere la voce WRP in MSDN nei collegamenti seguenti.
Collegamenti ad altre risorse
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per