Какие способы закрепления впо в пространстве пользователя существуют windows

Закрепление (Persistence)

Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)

Основная задача закрепления доступа состоит в обеспечении постоянства присутствия в атакуемой системе, ведь доступ может быть утрачен в связи с перезапуском атакуемой системы, утерей учетных данных или блокированием инструментов удаленного доступа вследствие обнаружения атаки.

Автор не несет ответственности за возможные последствия применения изложенной в статье информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Публикуемая информация является свободным пересказом содержания MITRE ATT&CK.

Методы обеспечения постоянства в системе можно условно разделить на 3 категории:

• Несанкционированное создание учетных записей или кража существующих учетных данных;
• Скрытая установка и запуск средств удаленного доступа;
• Внесение в конфигурацию атакуемой системы изменений, с помощью которых становится возможен многочисленный запуск вредоносного кода. Вредоносный код может автоматически запускаться при каждой загрузке системы или каждом входе пользователя в систему, запуске модифицированных или вредоносных служб, запуске пользователем определенных программ, запуске процессов обновления системного или стороннего ПО.

Далее, представлены техники закрепления доступа, предлагаемые ATT&CK.

Модификация файлов ~/.bash_profile и ~/.bashrc

Система: Linux, macOS
Права: Пользователь, администратор
Описание: Злоумышленники могут вставлять код в файлы ~/.bash_profile и ~/.bashrc (предназначены для создания пользовательской среды в ОС), который будет выполнятся когда пользователь войдёт в систему или запустит новую оболочку. Файл ~/.bash_profile выполняется при входе пользователя в систему, ~/.bashrc выполняется при интерактивном открытии оболочек. Когда пользователь входит в систему (локально или удаленно, например по SSH) с помощью имени пользователя и пароля ~/.bash_profile выполняется до того, как будет возвращено пользовательское приглашение. После этого, каждый раз когда открывается новая оболочка выполняется ~/.bashrc.
В macOS Terminal.app немного отличается тем, что он запускает оболочку входа по умолчанию при каждом открытии окна терминала, тем самым каждый раз вызывая ~/.bash_profile.

Рекомендации по защите: Предоставление прав на изменение файлов ~/.bash_profile и ~/.bashrc только для уполномоченных администраторов.

Модификация исполняемых файлов приложений «специальные возможности Windows» (Accessibility Features)

Система: Windows
Права: Администратор
Описание: Приложения «специальные возможности» (экранная лупа, экранная клавиатура и т.п.) могут запускаться с помощью комбинаций клавиш до входа пользователя в систему. Злоумышленник может подменить файлы запуска этих программ или изменить способ их запуска и открыть командную консоль или получить бэкдор без входа в систему.

• C:WindowsSystem32sethc.exe — запускается 5-кратным нажатием клавиши Shift;
• C:WindowsSystem32utilman.exe — запускается нажатием комбинации Win+U.

В WinXP и более поздних версиях sethc.exe и utilman.exe могут быть заменены, например, на cmd.exe, впоследствии при нажатии нужной комбинации клавиш cmd.exe запуститься до входа в Windows с привилегиями System.
В Vista и более поздних версиях нужно изменить ключ реестра, который настраивает cmd.exe или другую программу в качестве отладчика, например, для ultiman.exe. После правки реестра и нажатии нужной комбинации клавиш на экране входа в систему или при подключении к хосту по RDP выполнится cmd.exe с правами System.
Есть ещё программы Windows, которые могут использоваться при реализации данной техники атаки:

• C:WindowsSystem32osk.exe;
• C:WindowsSystem32Magnify.exe;
• C:WindowsSystem32Narrator.exe;
• C:WindowsSystem32DisplaySwitch.exe;
• C:WindowsSystem32AtBroker.exe.

Рекомендации по защите: Настройте запуск обязательной сетевой аутентификации удаленных пользователей до создания RDP-сеанса и отображения экрана входа в систему (включено по умолчанию в Windows Vista и более поздних версиях). Используйте Remote Desktop Gateway для управления соединениями и настройкой безопасности RDP.

Модификация ключа AppCert DLLs

Система: Windows
Права: Администратор, System
Описание: Библиотеки DLL, указанные в значении ключа AppCertDLLs загружаются в каждый процесс, который вызывает часто используемые функции API: CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec. Значением ключа AppCertDLLs можно злоупотреблять, вызвав загрузку вредоносной DLL и запустив определенные процессы. AppCertDLLs хранится в следующем разделе реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession Manager.

Рекомендации по защите: Применяйте всевозможные средства блокировки потенциально-опасного программного обеспечения и загрузки неизвестных DLL-библиотек, например AppLocker и DeviceGuard.

Модификация ключа AppInit DLLs

Система: Windows
Права: Администратор, System
Описание: DLL-библиотеки, указанные в значении ключа AppInit_DLLs, загружаются в каждый процесс, который загружает user32.dll. На практике, это почти каждая программа.
AppInit_DLLs хранится в следующих разделах реестра:

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows;
• HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftWindows NTCurrentVersionWindows.

Значением ключа AppInit_DLLs можно злоупотреблять для превышения привилегий, загружая вредоносные DLL и запуская определенные процессы. Функциональность AppInit_DLLs отключена в Windows 8 и более поздних версиях, когда активирована безопасная загрузка.

Рекомендации по защите: Рассмотрите возможность использования ОС версии не ранее Windows 8 и включения безопасной загрузки. Применяйте всевозможные средства блокировки потенциально-опасного программного обеспечения и загрузки неизвестных DLL-библиотек, например AppLocker и DeviceGuard.

Злоупотребление подсистемой совместимости приложений (Application Shimming)

Система: Windows
Права: Администратор
Описание: Microsoft Windows Application Compatibility Infrastructure/Framework создана для обеспечения совместимости программ с обновлениями Windows и изменениями кода ОС. Система совместимости использует так называемые shim («прокладки») — библиотеки, выступающие в качестве буфера между программой и ОС. С помощью shim-кэша система определяет необходимость использования shim-прокладок (хранятся в виде БД типа .sdb). В файлах .sdb хранятся различные процедуры для перехвата кода приложения, его обработки и дальнейшего перенаправления в ОС. Перечень всех shim-прокладок, установленных установщиком (sdbinst.exe) по умолчанию храниться в:

• %WINDIR%AppPatchsysmain.sdb;
• HKLMSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsInstalledSDB.

Кастомные shim-базы хранятся в:

• %WINDIR%AppPatch[64]Custom;
• HKLMSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsCustom.

Для обеспечения защиты в пользовательском режиме исключена возможность изменения ядра ОС c помощью shim-прокладок, а для их установки необходимы права администратора. Однако некоторые shim-прокладки могут использоваться для обхода контроля учетных записей (UAC), DLL-инъекций, отключения Data Execution Prevention и Srtucture Exception Handling, а так же перехвата адресов памяти. Использование злоумышленником shim-прокладок позволяет повысить привилегии, установить бэкдоры, отключить защиту ОС, например Защитник Windows.

Рекомендации по защите: Способов предотвращения Application shiming не так много. Отключение совместимости приложений не рекомендуется во избежание проблем со стабильностью работы ОС. Microsoft выпустила KB3045645, которое удалит флаг «auto-elevate» в файле sdbinst.exe для предотвращения использования shim-системы для обхода UAC.

Модификация компонентов Windows Authentication Package

Система: Windows
Права: Администратор
Описание: DLL-библиотеки Windows Authentification Pack загружаются процессом Local Security Authority (LSA) при запуске системы и обеспечивают поддержку нескольких процессов входа в систему и нескольких протоколов безопасности ОС. Злоумышленники могут использовать механизм автозапуска LSA помещая ссылку на двоичный файл в следующий ключ реестра:
HKLMSYSTEMCurrentControlSetControlLsaAuthentication Packages:[целевой бинарник].
[Целевой бинарник] будет запущен системой при загрузке пакетов Authentication Pack.

Рекомендации по защите: В Windows 8.1, Windows Server 2012 R2 и более поздних версиях LSA можно заставить работать как защищенный процесс (PPL) c помощью ключа реестра:
HKLMSYSTEMCurrentControlSetControlLsaRunAsPPL = DWORD:00000001,
который требует, чтобы все DLL, загруженные LSA были подписаны цифровым сертификатом Microsoft.

Создание заданий BITS (BITS Jobs)

Система: Windows
Права: Пользователь, Администратор, System
Описание: Windows Background Intelligent Transfer Service (BITS) — это механизм асинхронной передачи файлов через Component Object Model (COM) с использованием низкой пропускной способности. BITS обычно используется программами обновления, мессенджерами и другими приложениями, предпочитающими работать в фоновом режиме без прерывания работы других сетевых приложений. Задачи по передаче файлов представляются как BITS-задания, которые содержат очередь из одной или нескольких операций с файлами. Интерфейс для создания и управления BITS-заданиями доступен в PowerShell и BITSAdmin tool. Злоумышленники могут использовать BITS для загрузки, запуска и последующей очистки после выполнения вредоносного кода. BITS-задания автономно хранятся в базе данных BITS, при этом в системе не создаются новые файлы или записи в реестре, зачастую BITS разрешен брандмауэром. С помощью BITS-заданий можно закрепиться в системе, создавая длительные задания (по умолчанию 90 дней) или вызывая произвольную программу после завершения BITS-задания или ошибки (в том числе после перезагрузки ОС).

Рекомендации по защите: BITS — стандартный функционал ОС, использование которого трудно отличить от вредоносной активности, поэтому вектор защиты нужно направлять на предотвращение запуска инструментов злоумышленника в начале цепочки атаки. Полное отключение BITS может привести к прекращению обновления законного ПО, однако можно рассмотреть возможность ограничения доступа к интерфейсу BITS для конкретных пользователей и групп доступа, так же можно ограничить время жизни BITS-заданий, которое задается с помощью изменения следующих ключей:

• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsBITSJobInactivityTimeout;
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsBITSMaxDownloadTime.

Буткиты (Bootkit)

Система: Linux, Windows
Права: Администратор, система
Описание: Bootkit — это разновидность вредоносного ПО, которое может менять загрузочные секторы жесткого диска, включая Master Boot Record (MBR) и Volume Boot Record (VBR). Злоумышленники могут использовать Bootkit для закрепления в системах на уровне ниже ОС. MBR — раздел ЖД, который загружается сразу после завершения аппаратной инициализации Bios. Злоумышленник, имеющий доступ на перезапись MBR, может заменить код загрузчика ОС на вредоносный. VBR — раздел жесткого диска, который получает управление процессом загрузки от MBR. По аналогии с вариантом перезаписи MBR, злоумышленник может запустить вредоносной код на этапе загрузки системы.

Рекомендации по защите: Использование средств контроля целостности MBR и VBR. Применение Trusted Platform Module (TPM) и безопасной загрузки (Secure Boot).

Расширения браузеров (Browser Extensions)

Система: Windows, Linux, macOS
Права: Пользователь
Описание: Как правило, плагины имеют все доступы и права, которые может получить браузер. Вредоносные плагины могут быть установлены через загрузку вредоносных приложений, замаскированных под законные программы посредством применения техник социальной инженерии, фишинга или злоумышленником, который уже скомпрометировал систему. Вредоносные плагины могут в фоновом режиме открывать веб-сайты, красть информацию, которую пользователь вводит в браузере, включая учетные данные, использоваться как установщики средств удаленного администрирования (RAT) и закрепления в системе.

Рекомендации по защите: Установка плагинов только из надежных источников. Контроль устанавливаемых плагинов с помощью групповой политики. Запрет установки плагинов обычными пользователями. Инвентаризация и мониторинг установленных плагинов.

Модификация параметров ассоциаций файлов (Change Default File Association)

Система: Windows
Права: Пользователь, администратор, system
Описание: Злоумышленники могут изменять ассоциации файлов для запуска произвольных команд. Выбор ассоциации файлов с приложениями храниться в реестре Windows и может быть отредактирован пользователями, администраторами и программами, имеющими доступ к реестру. Приложения могут модифицировать ассоциации для вызова произвольных программ. Параметры системных ассоциаций хранятся в реестре: HKEY_CLASSES_ROOT.[extension], например, HKEY_CLASSES_ROOT.txt. Различные команды перечисляются как подразделы: HKEY_CLASSES_ROOT[handler]shell[action][command], например:

• HKEY_CLASSES_ROOTtxtfileshellopen[command];
• HKEY_CLASSES_ROOTtxtfileshellprint[command];
• HKEY_CLASSES_ROOTtxtfileshellprintto[command];

где [command] — это команда, которая будет выполнена при открытии файла с заданным расширением.

Рекомендации по защите: Следуйте рекомендациям Microsoft в отношении файловых ассоциаций. Применяйте всевозможные средства блокировки потенциально-опасного программного обеспечения, например AppLocker и DeviceGuard.

Прошивка компонентов (Component Firmware)

Система: Windows
Права: System
Описание: Некоторые злоумышленники могут применять сложные средства для компрометации компонентов компьютера и установки на них вредоносной прошивки, которая будет запускать вредоносный код вне операционной системы или даже главной системной прошивки (Bios). Техника заключается в прошивке компонентов компьютера, которые не имеют встроенной системы проверки целостности, например, жестких дисков. Устройство с вредоносной прошивкой может обеспечивать постоянный доступ к атакуемой системе несмотря на сбои и перезапись жесткого диска. Техника рассчитана на преодоление программной защиты и контроля целостности.

Перехват ссылок и связей Component Object Model Hijacking

Система: Windows
Права: Пользователь
Описание: Microsoft Component Object Model (COM) — это технология создания ПО на основе взаимодействующих компонентов объекта, каждый из которых может использоваться во многих программах одновременно. Злоумышленники могут использовать COM для вставки вредоносного кода, который может быть выполнен вместо легитимного через захват COM-ссылок и связей. Для перехвата COM-объекта необходимо заменить в реестре Windows ссылку на легитимный системный компонент. При дальнейшем вызове этого компонента будет выполняться вредоносный код.

Рекомендации по защите: Превентивные меры предотвращения данной атаки не рекомендуются, поскольку COM-объекты являются частью ОС и установленного в системе ПО. Блокировка изменений COM-объектов может влиять на стабильность работы ОС и ПО. Вектор защиты рекомендуется направить на блокирование вредоносного и потенциально-опасного ПО.

Создание учетных записей (Create Account)

Система: Windows, Linux, macOS
Права: Администратор
Описание: Злоумышленники, получившие достаточный доступ могут создавать локальные или доменные учетные записи для дальнейшего закрепления в системе. Сетевые пользовательские команды так же могут использоваться для создания учетных записей.

Рекомендации по защите: Применение многофакторной аутентификации. Конфигурация параметров безопасности на важных серверах, настройка элементов управления доступом, брандмауэров. Запрет использования учетной записи администратора домена для выполнения ежедневных операций, в ходе которых злоумышленник может получить сведения об учетной записи. Злоумышленники, которые создали аккаунты в системе могут получить только ограниченный доступ к сети, если уровни доступа должным образом заблокированы. Учетные записи могут потребоваться только для закрепления доступа в отдельной системе.

Перехват поиска DLL (DLL Search Order Hijacking)

Система: Windows
Права: Пользователь, Администратор, System
Описание: Техника заключается в эксплуатации уязвимостей алгоритма поиска приложениями файлов DLL, необходимых им для работы (MSA2269637). Зачастую директорией поиска DLL является рабочий каталог программы, поэтому злоумышленники могут подменять исходную DLL на вредоносную с тем же именем файла.
Удаленные атаки на поиск DLL могут проводиться когда программа устанавливает свой текущий каталог в удаленной директории, например, сетевую шару. Также злоумышленники могут напрямую менять способ поиска и загрузки DLL заменяя файлы .manifest или .local, в которых описываются параметры поиска DLL. Если атакуемая программа работает с высоким уровнем привилегий, то подгруженная ею вредоносная DLL также будет выполняться с высокими правами. В этом случае техника может использоваться для повышения привилегий от пользователя до администратора или System.

Рекомендации по защите: Запрет удаленной загрузки DLL (включено по умолчанию в Windows Server 2012+ и доступно с обновлениями для XP+ и Server 2003+). Включение безопасного режима поиска DLL, который ограничит каталоги поиска директориями типа %SYSTEMROOT% до выполнения поиска DLL в текущей директории приложения.
Включение режима безопасного поиска DLL:
Computer Configuration > [Policies] > Administrative Templates > MSS (Legacy): MSS: (SafeDllSearchMode) Enable Safe DLL search mode.
Соответствующий ключ реестра:
HKLMSYSTEMCurrentControlSetControlSession ManagerSafeDLLSearchMode.
Рассмотрите целесообразность аудита защищаемой системы для устранения недостатков DLL с помощью таких инструментов как модуль PowerUP в PowerSploit. Не забывайте про блокировку вредоносного и потенциально-опасного ПО, а так же выполнение рекомендаций Microsoft.

Перехват поиска Dylib (Dylib Hijacking)

Система: macOS
Права: Пользователь
Описание: Техника основана на уязвимостях алгоритмов поиска динамических библиотек dylib в macOS и OS X. Суть заключается в определении dylib, которые подгружает атакуемое приложение и последующем размещении вредоносной версии dylib с тем же именем в рабочей директории приложения. Это приведёт к загрузке приложением dylib, которая размещена в рабочем каталоге программы. При этом вредоносная Dylib будет выполнятся с правами доступа атакуемого приложения.

Рекомендации по защите: Запрет записи пользователями файлов в каталоги поиска dylib. Аудит уязвимостей с помощью Dylib Hijacking Scanner от Objective-See.

Внешние удаленные сервисы (External Remote Services)

Система: Windows
Права: Пользователь
Описание: Злоумышленники могут использовать внешние удаленные сервисы организации, такие как VPN, Citrix и WinRM для закрепления в пределах атакуемой сети. Доступ к сервисам может осуществляться с помощью валидных аккаунтов, полученных с помощью техник перенаправления пользователей на ложные сайты (pharming), или на этапе компрометации сети.

Рекомендации по защите: Ограничение доступа к удаленным сервисам с помощью централизованно управляемых коммутаторов, применение VPN. Запрет прямого удаленного доступа во внутреннюю сеть посредством использования прокси, шлюзов и межсетевых экранов. Отключение служб, которые можно использовать удаленно, например, WinRM. Применение двухфакторной аутентификации. Мониторинг активности использования удаленных сервисов вне рабочего времени.

Недостатки разрешений на уровне файловой системы (File System Permissions Weakness)

Система: Windows
Права: Пользователь, Администратор
Описание: Суть техники заключается в подмене исполняемых файлов, которые автоматически запускаются различными процессами (например, при загрузке ОС или в определенное время, в случае если права на исполняемые файлы настроены неверно). После подмены вредоносный файл будет запущен с правами процесса, таким образом если процесс имеет более высокий уровень доступа злоумышленник сможет осуществить эскалацию привилегий. В рамках данной техники злоумышленники могут пытаться манипулировать двоичными файлами служб Windows.
Другой вариант атаки связан с недостатками алгоритмов в работе самораспаковывающихся установщиков. В процессе инсталляции ПО, установщики зачастую распаковывают различные полезные файлы, в том числе .dll и .exe, в каталог %TEMP%, при этом они могут не устанавливать соответствующие разрешения для ограничения доступа к распаковываемым файлам, что позволяет злоумышленникам совершать подмену файлов и, как следствие, повысить привилегии или обойти контроль учетных записей, т.к. некоторые установщики выполняются с расширенными правами.

Рекомендации по защите: Ограничение прав учетных записей, чтобы только администраторы могли управлять службами и взаимодействовать с бинарными файлами, используемыми службами. Отключение в UAC возможности повышения привилегий для стандартных пользователей. Параметры UAC хранятся в следующем разделе реестра:

• [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem].

Для автоматического отклонения запросов на повышение привилегий необходимо добавить ключ:

• «ConsentPromptBehaviorUser»=dword:00000000.

Для контроля работы установщиков необходимо добавить ключ:

• «EnableInstallerDetection»=dword:00000001, который будет требовать ввода пароля для установки программ.

Скрытые файлы и папки (Hidden Files and Directories)

Система: Windows, Linux, macOS
Права: Пользователь
Описание: Злоумышленники могут использовать возможность скрытия файлов и папок, чтобы не привлекать внимания пользователей. В Windows пользователи могут скрывать файлы с помощью команды attrib. Достаточно указать атрибут +h <имя файла>, чтобы скрыть файл или «+s», чтобы отметить файл как системный. Добавив параметр «/S» утилита attrib применит изменения рекурсивно. В Linux/Mac пользователи могут скрывать файлы и папки просто указав в начале имени файла символ «.». После этого файлы и папки будут скрыты от приложения Finder и таких как утилита «ls». В macOS файлы могут быть отмечены флагом UF_HIDDEN, который включит запрет на их видимость в Finder.app, но не запретит видеть скрытые файлы в Terminal.app. Многие приложения создают скрытые файлы и папки, чтобы не загромождать рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, в которой хранится список известных хостов и ключи пользователя.

Рекомендации по защите: Предотвращение возможности использования данной техники затруднено в силу того, что скрытие файлов — это штатная функция ОС.

Перехват вызовов функций Windows API (Hooking)

Система: Windows
Права: Администратор, System
Описание: API функции Windows обычно хранятся в DLL-библиотеках. Техника Hooking заключается в перенаправлении вызовов API-функций посредством:

• Hook-процедур — встроенных в ОС процедур, которые выполняют код при вызове различных событий, например, нажатие клавиш или перемещение мыши;
• Модификации адресной таблицы (IAT), в которой хранятся указатели на API-функции. Это позволит «обмануть» атакуемое приложение, заставив его запустить вредоносную функцию;
• Непосредственного изменения функции (сплайсинг), в ходе которого меняются первые 5 байт функции, вместо которых вставляется переход на вредоносную или иную функцию, определенную злоумышленником.

Подобно инъекциям, злоумышленники могут использовать hooking для исполнения вредоносного кода, маскировки его выполнения, доступа к памяти атакуемого процесса и повышения привилегий. Злоумышленники могут захватывать вызовы API, включающие параметры, содержащие аутентификационные данные. Hooking обычно применяется руткитами для скрытия вредоносной активности в системе.

Рекомендации по защите: Перехват событий в ОС является частью нормальной работы системы, поэтому какое либо ограничение данной функциональности может негативно влиять на стабильность работы законных приложений, например антивирусного ПО. Усилия по предотвращению применения техник перехвата необходимо сосредоточить на более ранних этапах цепочки атаки. Обнаружить вредоносную hooking-активность можно с помощью мониторинга вызовов функций SetWindowsHookEx и SetWinEventHook, использования детекторов руткитов, анализа аномального поведения процессов.

Гипервизор (Hypervisor)

Система: Windows
Права: Администратор, System
Описание: Гипервизор может быть скомпрометирован злоумышленником и иметь руткиты, скрытые от гостевых систем.
Рекомендации по защите: Предотвращение доступа злоумышленников к привилегированным учетным записям, необходимым для установки и конфигурирования гипервизора.

IFEO-инъекции (Image File Execution Options Injection)

Система: Windows
Права: Администратор, System
Описание: Механизм Image File Execution Options (IFEO) позволяет запускать вместо программы её отладчик, заранее указанный разработчиком в реестре:

• HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options/[executable]
• HKLMSOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options[executable],, где [executable] — это исполняемый двоичный файл отладчика.

Подобно инъекциям, значением [executable] можно злоупотреблять запуская произвольный код, чтобы повысить привилегии или закрепиться в системе. Вредоносные программы могут использовать IFEO на для обхода защиты, регистрируя отладчики, которые перенаправляют и отклоняют различные системные приложения и приложения безопасности.

Рекомендации по защите: Описываемая техника основана на злоупотреблении штатными средствами разработки ОС, поэтому какие-либо ограничения могут вызвать нестабильность работы законного ПО, например, приложений безопасности. Усилия по предотвращению применения техники IFEO-инъекций необходимо сосредоточить на более ранних этапах цепочки атаки. Обнаружить подобную атаку можно с помощью мониторинга процессов с флагами Debug_process и Debug_only_this_process.

Расширения и загружаемые модули ядра (Kernel Modules and Extensions)

Система: Linux, macOS
Права: Root
Описание: Загружаемые модули ядра (LKM) — это специальные программы, которые могут загружаться и выгружаться из ядра без необходимости полной перезагрузки системы. Например, к LKM относятся драйверы устройств. Злоумышленники могут подгружать вредоносные LKM с помощью различных rootkit. Как правило, такие руткиты срывают себя, файлы, процессы, сетевую активность, фальсифицируют журналы аудита, предоставляют бэкдоры. Подобно LKM в macOS существуют так называемые KEXT, которые загружаются и выгружаются командами kextload и kextunload.

Рекомендации по защите: Используйте инструменты обнаружения руткитов в Linux: rkhunter, chrootkit. Ограничивайте доступ к учетной записи root, которая необходима для загрузки модулей в ядро. Применяйте систему принудительного контроля доступа SELinux.

Модификация заголовка LC_LOAD_DYLIB Addition в файлах Mach-O (LC_LOAD_DYLIB Addition)

Система: macOS
Права: Пользователь
Описание: Файлы Mach-O содержат ряд заголовков, которые используются для выполнения определенных операций при загрузке двоичного файла. Заголовок LC_LOAD_DYLIB в бинарниках Mach-O указывает ОС какие dylib-библиотеки нужно подгружать. Изменения заголовков приведут к аннулированию цифровой подписи, однако злоумышленник может удалить из двоичного файла команду LC_CODE_SIGNATURE и система не будет проверять корректность подписи во время его загрузки.

Рекомендации по защите: Все двоичные файлы должны быть подписаны корректными Apple Developer IDs, а белые списки приложений составлены по известным хешам.

Драйверы Local Security Authority (LSASS Driver)

Система: Windows
Права: Администратор, system
Описание: Local Security Authority (LSA) — подсистема Windows, обеспечивающая аутентификацию пользователя. LSA включает несколько динамических взаимосвязанных библиотек DLL, которые выполняются в процессе LSASS.exe. Злоумышленники могут атаковать LSASS.exe путем замены или добавления нелегитимных драйверов LSA с последующим выполнением произвольного кода. Техника реализована во вредоносных программах Pasam и Wingbird, которые «подбрасывают» модифицированные DLL, используемые при загрузке LSASS. При этом вредоносный код выполняется до того, как нелегитимная DLL вызовет сбой и последующее падение службы LSASS.

Рекомендации по защите: В Windows 8.1 и Server 2012 R2 включите защиту LSA путём активации указанного ключа:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaRunAsPPL=dword:00000001.

Эта защита гарантирует, что загружаемые LSA плагины и драйверы будут подписаны цифровой подписью Microsoft. В Windows 10 и Server 16 включите Windows Defender Credential Guard для запуска lsass.exe в изолированной виртуальной среде. В целях снижения риска загрузки в lsass.exe вредоносных библиотек включите режим безопасного поиска DLL:

• HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSafeDllSearchMode.

Агенты запуска (Launch Agent)

Система: macOS
Права: Пользователь, администратор
Описание: Техника заключается в злоупотреблении функционалом создания и запуска пользователями Агентов запуска (Launch Agent) — автозапускаемых сервисов на уровне пользователя. При входе каждого пользователя в систему launchd загружает параметры Агентов запуска из файлов *.plist. Plist-файлы имеют XML-структуру и содержат инструкции, которые указывают launchd какие исполняемые файлы и когда запускать. Plist-файлы можно найти в следующих директориях:

• /System/Library/LaunchAgents;
• /Library/LauncAgents;
• $Home/Library/LaunchAgents.

Злоумышленники могут также маскировать имена вредоносных Агентов запуска с использованием названий легитимных программ. Например, троян Komplex создаёт агент запуска: $HOME/Library/LaunchAgents/com.apple.updates.plist.

Рекомендации по защите: С помощью групповой политики настройте ограничение создания пользователями Агентов запуска. Создание Агентов запуска предполагает загрузку или создание plist-файлов на диск, поэтому сосредоточьте усилия по защите на более ранних этапах атаки.

Запуск демонов (Launch Daemon)

Система: macOS
Права: Администратор
Описание: Техника заключается в изменении злоумышленником параметров сервисов системного уровня запуска — Launch Daemon, указанных в plist-файлах. При загрузке системы процесс Launchd загружает параметры сервисов (демонов) из plist-файлов расположенных в следующих директориях:

• /System/Library/LaunchDeamons;
• /Library/LaunchDeamons.

Launch Daemon могут создаваться с администраторскими привилегиями, но выполнятся под учетной записью root, таким образом злоумышленник может реализовать эскалацию привилегий. Разрешения plist-файлов должны быть root:while, однако сценарий или программа, указанные в нём, могут иметь менее строгие разрешения. Поэтому злоумышленник может изменить исполняемые файлы, указанные в plist, и, таким образом, модифицировать текущие системные сервисы для закрепления в системе или эскалации привилегий.

Рекомендации по защите: Ограничьте привилегии пользователей, чтобы только авторизованные администраторы могли создавать Launch Daemon. Рассмотрите возможность мониторинга создания в системе plist-файлов с помощью таких приложений как KnockKnock.

Утилита Launchctl

Система: macOS
Права: Пользователь, Администратор
Описание: Launchctl — утилита для управления сервисом Launchd. C помощью Launchctl можно управлять системными и пользовательскими сервисами (LaunchDeamons и LaunchAgents), а также выполнять команды и программы. Launchctl поддерживает подкоманды в командной строке, интерактивные или перенаправленные со стандартного ввода:
launchctl submit -l [labelname] — /Path/to/thing/to/execute »arg» »arg» »arg».
Запуская и перезапуская сервисы и демоны, злоумышленники могут выполнить код и даже обойти белый список, если launchctl является разрешенным процессом, однако загрузка, выгрузка и перезагрузка сервисов и демонов может требовать повышенных привилегий.

Рекомендации по защите: Ограничение прав пользователей на создание Launch Agents и запуск Launch Deamons с помощью групповой политики. С помощью приложения KnockKnock можно обнаружить программы, которые используют launchctl для управления Launch Agents и Launch Deamons.

Локальное планирование задач (Local Job Scheduling)

Система: Linux, macOS
Права: Пользователь, администратор, root
Описание: Злоумышленники могут создать в атакуемых системах задания для несанкционированного запуска программ при загрузке системы или по расписанию. В системах Linux и Apple поддерживается несколько методов планирования запуска периодических фоновых задач: cron, at, launchd. В отличие от Планировщика задач Windows, планирование заданий в Linux-системах невозможно осуществить удаленно, за исключением использования удаленных сеансов типа SSH.

Рекомендации по защите: Ограничение прав пользователей на создание планируемых заданий, блокировка системных утилит и другого ПО, которое может использоваться для планирования заданий.

Элементы входа (Login Item)

Система: macOS
Права: Пользователь
Описание: Злоумышленники в целях закрепления в системе могут настроить автозапуск своего кода с помощью элементов входа (login Item) — пользовательских настроек автозапуска приложений при каждом входе в систему. Login Item, созданные с помощью Service Management Framework, не отображаются в системных настройках и могут быть удалены только через приложение, в котором они были созданы. Пользователи могут управлять только теми Login Item, которые отображаются в системных настройках. Настройки таких Login Item хранятся в plist-файле в пользовательской директории:
~/Library/Preferences/com.apple.loginitems.plist.
Приложения, входящие в состав Login Item, при запуске могут отображать видимые пользователю окна, но с помощью опции «Hide» их можно скрыть.

Рекомендации по защите: Ограничивайте права пользователей на создание Login Item. Стоит отметить, что удержание клавиши shift во время входа в систему запрещает автоматический запуск приложений. Контролируйте настройки Login Item (Системные настройки → Пользователи и группы → Элементы входа).

Logon-скрипты (Logon Scripts)

Система: Windows, macOS
Описание: В целях закрепления в системе атакующий может использовать возможность создания новых или изменения существующих logon-скриптов — сценариев которые выполняются всякий раз когда конкретный пользователь или группа пользователей выполняет вход в систему. Если злоумышленник получил доступ к logon-скрипту на контроллере домена Windows, то он может модифицировать его для исполнения кода во всех системах домена в целях «бокового перемещения» по сети. В зависимости от настроек прав доступа к файлам сценариев входа в систему (обычно такие сценарии хранятся в \[DC]NETLOGON) атакующему могут потребоваться локальные или административные учетные данные.

В Mac, logon-скрипты (Login/Logout Hook), в отличие от Login Item, которые запускаются в контексте пользователя, могут запускаться от имени root.

Рекомендации по защите: Ограничение прав администраторов на создание сценариев входа в систему. Идентификация и блокирование потенциально-опасного ПО, которое может использоваться для модификации сценариев входа.

Модификация существующих служб (Modify Existing Service)

Система: Windows
Права: Администратор, System
Описание: Для многократного запуска вредоносного кода в системе, атакующий может изменять конфигурацию существующих служб с помощью системных утилит или инструментов взаимодействия с Windows API. Злоумышленники могут преднамеренно повредить или убить службу для последующего вызова модифицированной программы или команды восстановления службы. Использование существующих служб — это один из приёмов маскарадинга, который затрудняет обнаружение вредоносной активности. Информация о конфигурации служб Windows, включая путь к программам и командам запуска и восстановления службы, хранится в реестре:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices.

Конфигурацию служб можно менять с помощью консольных утилит sc.exe и Reg.

Рекомендации по защите: Ограничение привилегий пользователей и групп на изменение конфигураций служб, предоставив права только уполномоченным администраторам. Блокирование потенциально-опасного ПО. Для исследования изменений в системных службах с целью выявления попыток закрепления атакующего в системе можно применять утилиту Sysinternals Autoruns.

Вспомогательные DLL утилиты Netsh (Netsh Helper DLL)

Система: Windows
Права: Администратор, System
Описание: Атакующие могут выполнить код с помощью встроенной консольной утилиты Netsh, которая для расширения функционала позволяет подгружать вспомогательные DLL:
netsh> add helper [Путь к DLL]
Информация о зарегистрированных библиотеках, используемых netsh, хранится в реестре:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetSh
Некоторые корпоративные VPN-клиенты и сетевые утилиты могут использовать netsh.exe, запуская его от имени System, в такой ситуации атакующий может зарегистрировать или модифицировать вспомогательную DLL, которая будет выполняться при использовании netsh VPN-клиентом. Инструменты для реализации данного типа атаки включены в состав CobaltStrike (фреймворк для проведения тестов на проникновение).

Рекомендации по защите: Блокирование потенциально-опасного ПО с помощью таких средств, как AppLocker.

Новые службы (New Service)

Система: Windows
Права: Администратор, System
Описание: Имя доступ в систему, злоумышленники могут создавать новые службы и настраивать их автоматический запуск. Имя службы может быть замаскировано с использованием имён, характерных для операционной системы. Службы могут быть созданы с привилегиями администратора, но запускаться от имени System. Сервисы могут создаваться из командной строки, с помощью средств удаленного доступа с функциями взаимодействия с Windows API или с помощью стандартных средств управления Windows и PowerShell.

Рекомендации по защите: Ограничьте права пользователей на создание новых служб, чтобы только уполномоченные администраторы могли это делать. Применяйте AppLocker и Software Restriction Policy.

Автозапуск в офисных приложениях (Office Application Startup)

Система: Windows
Права: Пользователь, администратор
Описание: Некоторые механизмы работы MS Office могут использоваться для выполнения кода при запуске офисных приложений и, как следствие, для обеспечения атакующим своего постоянства в системе:
• Встраивание вредоносных VBA-макросов в базовые шаблоны Office. Word использует шаблон Normal.dotm:
C:Users[Username]AppDataRoamingMicrosoftTemplatesNormal.dotm.
В Excel нет шаблона по умолчанию, однако его можно добавить вручную, и он будет автоматически загружаться:
C:Users[Username]AppDataRoamingMicrosoftExcelXLSTARTPersonal.xls.
Реализация атаки возможна только при включенном параметре «Запуск всех макросов» в Центре управления безопасностью Office:
HKEY_CURRENT_USERSoftwareMicrosoftOffice[Версия][Приложение]SecurityVBAWarnings: 1;
• Размещение ссылки на DLL в разделе Office test в реестре Windows приводит к выполнению указанной DLL при каждом запуске приложения Office:
HKEY_CURRENT_USERSoftwareMicrosoftOffice TestSpecialPerf[Default]:[Указываем путь к DLL];
• Добавление в приложение Office надстройки с вредоносным кодом, который будет выполнятся при запуске атакуемого приложения.

Рекомендации по защите: Следуйте рекомендациям Microsoft при настройке параметров безопасности макросов. Для предотвращения эксплуатации механизма Office Test создайте указанный раздел в реестре и установите на него разрешения «Только чтение», чтобы предотвратить к нему доступ без прав администратора. По возможности отключите надстройки Office, если они нужны, то следуйте рекомендациям Microsoft при организации их работы.

Перехват пути (Path Interception)

Система: Windows
Права: Пользователь, администратор, system
Описание: Техника перехвата пути заключается в помещении исполняемого файла в директорию, из которой приложение запустит его вместо целевого файла. Атакующий может использовать следующие методы:

• Несуществующие пути. Пути к исполняемым файлам служб хранятся в ключах реестра и могут иметь один или несколько пробелов, например, C:Program Filesservice.exe, если атакующий создаст в системе файл C:Program.exe, то Windows при обработке пути запустит его вместо целевого файла службы.
• Неправильная конфигурация переменных окружения. Если в переменной PATH путь C:example предшествует c:WindowsSystem32 и существует файл C:examplenet.exe, то при вызове команды net, будет выполнен C:examplenet.exe, а не c:WindowsSystem32net.exe.
• Перехват порядка поиска (Search order hijacking). Когда не задан полный путь к исполняемому файлу, Windows, как правило, ищет файл с указанным именем в текущем каталоге, затем осуществляет поиск в системных каталогах. Например, файл «example.exe» при выполнении запускает cmd.exe с аргументами для выполнения команды net use. Атакующий может поместить в каталог расположения example.exe файл net.exe и он будет запущен вместо утилиты c:WindowsSystem32net.exe. Кроме того, если атакующий поместит файл net.com в каталог с файлом net.exe, то Windows выполнит net.com в соответствии с порядком исполнения, определенном в системной переменной PATHEXT.

Перехват порядка поиска файлов также применяется для выполнения DLL с помощью техники DLL Search Hijacking.

Рекомендации по защите: Выделите кавычками пути, указанные в файлах конфигураций, сценариях, переменной PATH, настройках служб и ярлыках. Помните о порядке поиска исполняемых файлов и используйте только полные пути. Выполните очистку старых ключей реестра, оставшихся от удаленного ПО, чтобы в реестре не осталось ключей, указывающих на несуществующие файлы. Установите запрет на запись пользователями системы в корневой каталог С: и системные каталоги Windows, ограничивайте права на запись в каталоги с исполняемыми файлами.

Модификация файлов Plist (Plist Modification)

Система: macOS
Права: Пользователь, Администратор
Описание: Злоумышленники могут модифицировать plist-файлы, указывая в них собственный код для его исполнения в контексте другого пользователя. Файлы свойств plist, расположенные в /Library/Preferences выполняются с повышенными привилегиями, а plist из ~/Library/Preferences выполняются с привилегиями пользователя.

Рекомендации по защите: Предотвратите изменение файлов plist, сделав их доступными только на чтение.

Port Knocking

Система: Linux, macOS
Права: Пользователь
Описание: Злоумышленники могут применять методы Port Knocking для скрытия открытых портов, которые они используют для соединения с системой.

Рекомендации по защите: Применение stateful-брандмауэров может предотвратить реализацию некоторых вариантов Port Knocking.

Модификация Port Monitors в Диспетчере печати (Port Monitors)

Система: Windows
Права: Администратор, System
Описание: Атакующий может организовать выполнение произвольной DLL от имени System при каждой загрузке Windows с помощью злоупотребления настройками Диспетчера печати (Spoolsv.exe). Для взаимодействия с устройствами печати Spoolsv.exe использует так называемые мониторы порта (port monitor) — это DLL-библиотеки, с помощью которых посредством LAN, USB, LPT или COM-интерфейса на устройства печати передаются низкоуровневые команды. Вышеописанные DLL хранятся в C:windowssystem32 и регистрируются в реестре:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintMonitors.
Port Monitor можно установить с помощью API функции AddMonitor или напрямую через редактирование вышеуказанного раздела реестра.

Рекомендации по защите: Организуйте блокирование потенциально-опасного ПО и применяйте инструменты контроля запуска приложений.

Rc.common

Система: macOS
Права: root
Описание: Атакующий может добавить в файл /etc/rc.common код, который будет выполнятся при каждой загрузке системы с правами root. Rc.common — это сценарий, который выполняется во время загрузки OC, является предшественником Launch Agents и Launh Deamons. Это устаревшая технология автозапуска программ, но она до сих пор поддерживается в macOS и OS X.

Рекомендации по защите: Ограничение привилегий пользователей на редактирование файла rc.common.

Повторный запуск приложений (Re-opened Applications)

Система: macOS
Права: Пользователь
Описание: В системах, начиная с OS X 10.7 (Lion), атакующий может организовать выполнение вредоносного файла при каждой перезагрузке ОС. Техника основывается на злоупотреблении функцией повторного запуска приложений после перезагрузки системы. Пользователь с помощью инструментов, встроенных в GUI, может указывать системе какие приложения необходимо повторно запустить в случае перезагрузки ОС. Эти настройки хранятся в plist-файлах:

• ~/Library/Preferences/com.apple.loginwindow.plist;
• ~/Library/Preferences/ByHost/com.apple.loginwindows.*.plist.

Злоумышленник может модифицировать вышеуказанные файлы для выполнения вредоносного кода при каждой перезагрузке системы.

Рекомендации по защите: Функцию перезапуска приложений можно отключить с помощью консольной команды: defaults write -g ApplePersistence -bool no.
Кроме того, удерживание клавиши shift во время загрузки предотвращает автоматический запуск приложений.

Резервный доступ (Redundant Access)

Система: Windows, Linux, macOS
Права: Пользователь, администратор, System
Описание: Злоумышленники могут одновременно использовать несколько средств удаленного доступа с различными протоколами управления с целью диверсификации рисков обнаружения. Так, если один из инструментов удаленного доступа обнаружен и заблокирован, но защищающая сторона не выявила всех инструментов злоумышленника, то удаленный доступ в атакуемую сеть будет по-прежнему сохранен. Атакующие так же могут пытаться получить доступ к валидным учетным записям удаленных корпоративных сервисов, типа VPN, для получения альтернативного доступа в систему в случае блокировки основных инструментов удаленного доступа. Использование web-shell так же является одним из способов удаленного доступа в сеть через web-сервер.

Рекомендации по защите: Осуществляйте мониторинг наличия и блокирование запуска в вашей сети известных средств удаленного доступа (AmmyAdmin, Radmin, RemotePC, VNC и т.п.), применяйте инструменты контроля запуска приложений и блокирования потенциально-опасного ПО. Внедрение IDS и IPS систем, которые с помощью сигнатур выявляют конкретные вредоносные программы, снизит вероятность успешной атаки, однако со временем злоумышленники будут модифицировать свои инструменты для изменения сигнатуры и, как следствия, обхода IDS и IPS систем.

Автозапуск с помощью ключа Run Keys и папки «Автозагрузка» (Registry Run Keys / Start Folder)

Система: Windows
Права: Пользователь, администратор
Описание: Атакующий может добавить в реестре Windows «ключ запуска (run keys)» или ссылку в папку «Автозагрузка» для запуска вредоносного файла при входе пользователя в систему. Программа будет выполняться с правами текущего пользователя. Злоумышленники могут замаскировать ключи запуска в реестре, чтобы они выглядели как часть законных программ.
Ключи запуска (run keys) хранятся в следующих разделах реестра:

• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce;
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce.

Рекомендации по защите: Идентификация и блокирование потенциально-опасного ПО, мониторинг изменений папки «Автозагрузка» и вышеперечисленных веток реестра.

Захват SIP и Trust Provider (SIP and Trust Provider Hijacking), Subverting Trust in Windows

Система: Windows
Права: Администратор, System
Описание: Злоумышленники могут модифицировать компоненты архитектуры подписания и проверки цифровой подписи кода Windows, чтобы обойти средства контроля запуска программ, которые разрешают запускать только подписанный код. Для создания, подписания и проверки подписи файлов различных форматов в Windows используются так называемые Subject Interface Package (SIP) — уникальные для каждого типа файла программные спецификации, с помощью которых обеспечивается взаимодействие между API-функциями, которые инициируют создание, вычисление и проверку подписей и непосредственно файлами. Валидность же подписи подтверждается с помощью так называемых Trust Provider — это программные компоненты ОС, осуществляющие различные процедуры, связанные с вычислением и проверкой цифровых подписей.
Популярные методы совершения атаки:

• Модификация ключей DLL и FuncName в разделе CryptSIPDllGetSignedDataMsg:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptSIPDllGetSignedDataMsg[SIP_GUID].
  Выполняется с целью подмены DLL-библиотеки, предоставляющей функцию CryptSIPDllGetSignedDataMSG, которая возвращает закодированный цифровой сертификат из подписанного файла. Подложная функция может всегда возвращать заранее известное валидное значение сигнатуры (например, подпись Microsoft для исполняемых системных файлов) при использовании модифицированного SIP. Атакующий может пытаться применять одну валидную сигнатуру для всех файлов, однако, вероятнее всего, это приведёт к недействительности сигнатуры, так как хэш, возвращаемый функцией, не будет совпадать с хэшем, вычисленным из файла.
• Модификация ключей DLL и FuncName в разделе:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptSIPDllVerifyIndirectData/[SIP_GUID].
  Выполняется с целью подмены DLL-библиотеки, предоставляющей функцию CryptSIPDllVerifyIndirectData, которая выполняет сверку хэша, вычисленного из файла, с хэшем, указанным в цифровой подписи, и возвращает результат сверки (True/False). Таким образом, атакующий может обеспечить успешную проверку любого файла c использованием модифицированного SIP. Вышеуказанные значения ключей могут перенаправлять на подходящую функцию из уже существующей библиотеки, таким образом исключая необходимость создания на диске нового DLL-файла.
• Модификация ключей DLL и FuncName в разделе:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyProvidersTrustFinalPolicy/[Trust Provider GUID].
  Выполняется с целью подмены DLL-библиотеки, предоставляющей функцию FinalPolicy для определенного Trust Provider, которая декодирует, анализирует подпись и принимает решение о доверии. По аналогии с CryptSIPDllVerifyIndirectData, значение вышеуказанных ключей может перенаправлять на уже существующую DLL-библиотеку.

Важно отметить, что описанную атаку на механизм доверия Windows можно осуществить с помощью техники перехвата поиска DLL (DLL Search Order Hijacking).

Рекомендации по защите: Убедитесь, что пользователи защищаемой системы не могут изменять ключи реестра, относящиеся к компонентам SIP и Trust Provider. Рассмотрите возможность удаления ненужных и устаревших SIP. Используйте всевозможные средства блокирования загрузки вредоносных DLL, например, встроенные в Windows AppLocker и DeviceGuard.

Планирование задач (Scheduled Task)

Система: Windows
Права: Пользователь, администратор, система
Описание: Такие утилиты как at, schtasks и Планировщик задач Windows могут использоваться для планирования запуска программ и сценариев, которые будут выполнятся в определенную дату и время. Задачу можно запланировать в удаленной системе, при условии, что для проверки подлинности используется RPC, и включен общий доступ к принтерам и файлам. Планирование задач в удаленной системе требует прав администратора. Злоумышленник может использовать удаленное выполнение кода для получения прав System или для запуска процесса под определенной учетной записью.

Рекомендации по защите: Ограничение привилегий пользователей. Применение инструментов, таких как модуль PowerUP в PowerSploit, которые могут использоваться для поиска слабых мест в разрешениях запланированных задач. Отключение возможности запуска задач от имени System, отключение в политике безопасности параметра «Разрешить операторам сервера планировать задачи» и включение параметра «Назначение прав пользователя: Увеличить приоритет планирования«.

Экранная заставка (Screensaver)

Система: Windows
Права: Пользователь
Описание: Злоумышленники могут использовать настройки экранной заставки для запуска вредоносного ПО после определенного периода бездействия пользователя.
Приложение Windows Screensaver (scrnsave.exe) располагается в C:WindowsSystem32, вместе с другими заставками, включенными в базовую сборку ОС. Атакующий может манипулировать параметрами заставки в разделе реестра HKEY_CURRENT_USERControl PanelDesktop:

• SCRNSAVE.EXE — указать путь к вредоносному исполняемому файлу;
• ScreenSaveActivr — установить значение «1», чтобы активировать заставку;
• ScreenSaverISSecure — установить значение «0», чтобы система не требовала пароль для разблокировки рабочего стола Windows после отключения заставки;
• ScreenSaverTimeout — установить период бездействия перед запуском заставки.

Рекомендации по защите: Блокируйте возможность запуска файлов *.scr из нестандартных мест. Управляйте параметрами заставки с помощью групповой политики, запрещающей локальное изменение параметров заставки.

Security Support Provider (SPP)

Система: Windows
Права: Администратор
Описание: Злоумышленники могут настроить выполнение вредоносного кода при каждой загрузке системы или вызове API-функции AddSecurityPackage с помощью добавления в конфигурацию Local Security Authority (LSA) фиктивного провайдера поддержки безопасности — Security Support Provider (SSP). SSP — программные модули (DLL), содержащие одну или несколько схем аутентификации и криптографии, которые загружаются в процесс LSASS при запуске системы. DLL-библиотеки SPP имеют доступ к зашифрованным и открытым текстовым паролям, которые хранятся в Windows. Конфигурация SPP хранится в двух ключах реестра:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSecurity Packages;
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaOSConfigSecurity Packages.

Рекомендации по защите: В Windows 8.1, Windows Server R2 и более поздних версиях ОС необходимо активировать защищенный режим работы LSA (Process Protect Light — PPL), в котором все DLL-файлы SPP должны быть подписаны цифровой подписью Microsoft:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaRunAsPPL=dword:00000001

Слабости разрешений параметров служб в реестре (Service Registry Permissions Weakness)

Система: Windows
Права: Администратор, System
Описание: Если разрешения пользователей и групп позволяют изменять в реестре Windows значения ключей, в которых хранятся параметры служб, то злоумышленники могут напрямую модифицировать ключи, в которых хранятся пути к исполняемым файлам запуска служб или использовать различные инструменты управления службами — sc.exe, PowerShell или Reg. Атакующие так же могут менять параметры, связанные с отказом служб, например, FailureCommand, указывающие команду, которая будет выполнятся в случае отказа или преднамеренного повреждения службы. Параметры служб хранятся в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservices.

Рекомендации по защите: Убедитесь, что пользователи защищаемой системы не могут изменять в реестре ключи, хранящие параметры системных компонентов. Используйте всевозможные средства блокирования потенциально-опасного ПО, например, Windows AppLocker.

Модификация ярлыков (Shortcut Modification)

Система: Windows
Права: Пользователь, Администратор
Описание: Злоумышленники могут создавать новые ярлыки и символические ссылки, замаскированные под законные программы или модифицировать пути в существующих ярлыках, чтобы их инструменты были запущены вместо исходного приложения.

Рекомендации по защите: Ограничьте права пользователей и групп, таких как Администраторы, на создание символических ссылок с помощью GPO:
Computer Configuration > [Policies] > Windows Settings > Security Settings > Local Policies > User Rights Assignment: Create symbolic links.
Применяйте средства блокирования потенциально-опасного ПО и политики ограничения ПО (Software Restriction Policy).

Элементы автозапуска (Startup Items)

Система: macOS
Права: Администратор
Описание: Атакующий может использовать устаревший, но до сих пор работающий в macOS Sierra, механизм автозапуска приложений с помощью StartupItems для настройки запуска своего кода с правами root во время загрузки ОС. StartupItems — это каталог в /Library/Startupitems, командный сценарий и файл свойств StartupParameters.plist. Сценарий и файл свойств должны находится на верхнем уровне иерархии: /Library/Startupitems/[MyStartupItem].

Рекомендации по защите: Поскольку механизм StartupItems является устаревшим, то запрет записи в каталоге /Library/Startupitems/ позволит избежать создания элементов автозагрузки.

Системная прошивка (System Firmware)

Система: Windows
Права: Администратор, System
Описание: Особо изощрённые злоумышленники могут модифицировать или перепрошить Bios, UIFI или UFI, для того что бы обеспечить возможность установки вредоносных обновлений прошивки и закрепления в системе.

Рекомендации по защите: Направьте вектор защиты на предотвращение доступа атакующего к привилегированным учетным записям, которые необходимы для реализации описываемой техники. Рассмотрите необходимость и возможность применения в защищаемой системе Trusted Platform Module (TPM). Рассмотрите необходимость применения внешних инструментов контроля и анализа защищенности системной прошивки, например, CHIPSEC Framework.

Провайдеры времени (Time Providers)

Система: Windows
Права: Администратор, System
Описание: Атакующие могут регистрировать в качестве поставщика времени (Time Provider) вредоносную DLL, которая будет выполнятся при запуске системы или изменении конфигурации Windows Time Server (W32Time). Параметры поставщиков времени хранятся в реестре:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW32TimeTimeProviders.
Для регистрации поставщика времени потребуются права администратора, но его выполнение будет происходит в контексте учетной записи локальной службы.

Рекомендации по защите: Рассмотрите возможность использования GPO для настройки блокирования изменений параметров W32Time. Используйте всевозможные средства блокирования загрузки вредоносных DLL, например, встроенные в Windows AppLocker и DeviceGuard.

Команда Trap

Система: Linux, macOS
Права: Пользователь, администратор
Описание: Команда trap служит для защиты скрипта от прерываний (ctrl+c, ctrl+d, ctrl+z и т.п.). Если скрипт получает сигнал о прерывании, указанном в аргументах команды trap, то он обрабатывает сигнал прерывания самостоятельно, при этом командная оболочка такой сигнал обрабатывать не будет. Злоумышленники могут использовать trap для регистрации кода, который будет выполняться при получении командной оболочкой определенных сигналов прерываний.

Рекомендации по защите: Использование этой техники трудно предотвратить, потому что злоумышленник использует штатные механизмы работы ОС. Вектор защиты следует направить на предотвращение вредоносных действий на более ранних этапах атаки, например, на стадии доставки или создания вредоносного файла в системе.

Действующие учетные записи (Valid Accounts)

Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетную запись службы с помощью техник доступа к учетным данным, захватить учетные данные в процессе разведки с помощью социальной инженерии. Скомпрометированные учетные данные могут использоваться для обхода систем управления доступом и получения доступа к удаленным системам и внешним службам, таким как VPN, OWA, удаленный рабочий стол или получения повышенных привилегий в определенных системах и областях сети. В случае успешной реализации сценария злоумышленники могут отказаться от вредоносных программ, чтобы затруднить своё обнаружение. Так же злоумышленники могут создавать учетные записи используя заранее определенные имена и пароли для сохранения резервного доступа в случае неудачных попыток использования других средств.

Рекомендации по защите: Применение парольной политики, следование рекомендациям по проектированию и администрированию корпоративной сети для ограничения использования привилегированных учетных записей на всех административных уровнях. Регулярные проверки доменных, локальных учетных записей и их прав с целью выявления тех, которые могут позволить злоумышленнику получить широкий доступ. Мониторинг активности учетных записей с помощью SIEM-систем.

Web Shell

Система: Windows, Linux, macOS
Описание: Web Shell может использоваться злоумышленником в качестве шлюза доступа в вашу сеть или избыточного доступа в атакуемую систему, как резервного механизма закрепления в случае обнаружения и блокирования основных каналов доступа в атакуемую среду.

Рекомендации по защите: Убедитесь, что ваши внешние веб-серверы регулярно обновляются и не имеют известных уязвимостей, которые позволяют злоумышленникам загрузить на сервер файл или сценарий с последующим исполнением. Проверьте, что разрешения учетных записей и групп с правами управления серверами не совпадают с учетными записями внутренней сети, которые могут быть использованы для входа на веб-сервер, запуска Web shell или закрепления на Web-сервере. Web Shell трудно обнаружить, т.к. они не инициируют подключения и их серверная часть может быть маленькой и безобидной, например, PHP-версия оболочки China Chopper Web выглядит как строчка:
[?php eval($_POST [‘password’]);]

Windows Management Instrumentation Event Subscription

Система: Windows
Права: Администратор, System
Описание: WMI Event Subscription — это функциональность, которая позволяет администратору настроить получение извещений о событиях (Event), в том числе произошедших в удаленных системах, с последующим автоматическим выполнением каких-либо действий (запуск скрипта, приложения и т.п.). Злоумышленники, в целях закрепления в системе, могут злоупотреблять вышеописанной функциональностью, настраивая подписку на такие события, как время системных часов или время работы компьютера, с последующим выполнением кода при возникновения этого события.

Рекомендации по защите: Убедитесь, что только у учетных записей администраторов есть права на удаленное подключение к WMI, и что в защищаемой системе нет совпадения учетных записей системных администраторов с другими привилегированными аккаунтами. Отключение WMI может вызвать нестабильность системы, поэтому требует предварительной оценки возможных негативных последствий.

Winlogon Helper DLL

Система: Windows
Права: Администратор, System
Описание: Модифицируя в реестре параметры вспомогательных DLL, используемых Winlogon.exe, атакующий может обеспечить многократное выполнение вредоносных DLL для закрепления в системе. Параметры Winlogon хранятся в разделах:

• • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon
• • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Известно, несколько уязвимых подразделов:

• WinlogonNotify — указывает DLL, обрабатывающие события Windows
• WinlogonUserinit — указывает на файл userinit.exe, программу инициализации пользователя, выполняемую при входе пользователя в систему;
• WinlogonShell — указывает на файл explorer.exe, системную оболочку, выполняемую при входе пользователя в систему.

Рекомендации по защите: Убедитесь, что параметры Winlogon могут менять только уполномоченные администраторы. Применяйте всевозможные средства блокирования загрузки вредоносных DLL и потенциально-опасных программ, например, встроенные в Windows AppLocker и DeviceGuard.

Вариант 1: Закрепление любого окна

Чтобы закрепить окно Windows поверх остальных, потребуется воспользоваться сторонними утилитами, поскольку штатных средств для этого не предусмотрено. Разберем несколько бесплатных вариантов, которые позволят сделать так, чтобы любое окно системы и софта располагалось всегда поверх. Алгоритм зависит от выбранного средства: у некоторых утилит реализована функция горячих клавиш, у других – через меню в области уведомлений.

Способ 1: PinWin

PinWin – бесплатное приложение, с помощью которого можно закрепить любое окно поверх других, даже если оно неактивно. Работает через область уведомлений, где после инсталляции появится его иконка:

Скачать PinWin с официального сайта

1. Скачайте установочный файл и запустите его, чтобы инсталлировать приложение на компьютер, следуя инструкциям пошагового мастера.



2. В трее появится значок, стилизованный под канцелярскую кнопку, нажмите на него. Отобразится меню, где доступен список всех окон, которые запущены. Выберите из перечня нужное или воспользуйтесь пунктом «Select Window From Screen».



3. То окно, которое нужно закрепить, будет подсвечиваться красным цветом. Щелкните левой кнопкой мыши, чтобы указать, что именно отобразится поверх остальных окон.

В утилите реализована горячая клавиша при выборе окна с рабочего стола: достаточно одновременно зажать «Ctrl + Alt + V».

Несмотря на то, что интерфейс на английском языке, он интуитивно прост. При необходимости можно открепить сразу все окна, выбрав пункт «Unpin All Windows».

Способ 2: DeskPins

Еще одно решение, упрощающее работу с окнами в Windows 10, – это DeskPin. С помощью него можно без особых усилий закрепить любое окно поверх остальных:

Скачать DeskPins с официального сайта

1. Загрузите и установите DeskPins. После инсталляции нажмите на «Close» в окне пошагового мастера.



2. Чтобы иконка приложения появилась на панели уведомлений, запустите его, отыскав в списке установленного софта.



3. Щелкните ЛКМ по значку на трее, и тогда курсор мыши преобразуется в значок канцелярской кнопки. Кликните по тому окну, которое надо закрепить. Вверху появится картинка в виде кнопки, указывающая, что окно располагается поверх остальных.

Чтобы открепить окно, наведите курсор на красный значок канцелярской кнопки. Появится иконка в виде крестика, после чего щелкните по нему ЛКМ.

Способ 3: AutoHotKey

AutoHotKey – удобная программа, с помощью которой пользователь может самостоятельно создавать различные скрипты для своих горячих клавиш. При этом они применяются не только в определенных приложениях, но и в операционной системе в общем. Создать скрипт, отвечающий за функцию «Всегда сверху» у активного окна, достаточно просто:

Скачать AutoHotKey с официального сайта

1. После скачивания установочного файла запустите его. Его функции автоматически интегрируются в контекстное меню Windows 10. Щелкните правой кнопкой мыши по свободной области рабочего стола и в списке наведите курсор на пункт «Создать». В развернувшемся дополнительном меню нажмите на пункт «AutoHotkey Script».



2. Задайте имя скрипту, затем кликните по нему правой кнопкой мыши и выберите функцию «Edit Script».



3. По умолчанию запустится встроенный редактор «Блокнот». Не удаляйте уже введенные символы, а ниже пропишите команду ^+SPACE:: Winset, Alwaysontop, , A.



4. Нажмите на вкладку «Файл» и выберите пункт сохранения.

Затем потребуется запустить файл скрипта двойным нажатием ЛКМ. Теперь, когда открыто окно, которое нужно закрепить, достаточно использовать комбинацию клавиш «Ctrl + Shift + Space».

Вместо «Space» можно задать любую клавишу, вписав ее в файле скрипта, открытом в «Блокноте».

Чтобы остановить работу скрипта, достаточно в трее щелкнуть по его иконке правой кнопкой мыши и выбрать пункт «Exit». Также можно поставить его на паузу, воспользовавшись параметром «Pause Script».

Вариант 2: Закрепление отдельных программ

Встроенных в Windows средств закрепления окон, как вы уже понимаете, нет — лишь только пара системных приложений умеет выносить себя на первый план. Кроме того, если говорить о функциях самой программы, браузеры сейчас позволяют выносить окно плеера отдельно, и оно по умолчанию закрепляется поверх всех окон.

Закрепление «Диспетчера задач»

Штатное средство «Диспетчер задач» позволяет отслеживать работу активных процессов и производительность системы в целом, поэтому иногда важно, чтобы окно приложения было на виду. Разработчики предусмотрели такую возможность: для этого достаточно в запущенном «Диспетчере задач» кликнуть по вкладке «Параметры», затем отметить пункт «Поверх остальных окон».

Читайте также: Методы запуска «Диспетчера задач» в Windows 10

После этого «Диспетчер задач» будет всегда находиться сверху. Его размер можно уменьшить, если навести курсор на границу интерфейса, чтобы он преобразился в стрелку с двумя концами. Удерживая левую кнопку мыши, перетащите границу окна, пока оно не примет нужный размер.

Закрепление проигрывателя Windows Media Player

Встроенный мультимедийный проигрыватель Windows Media Player также предусматривает функцию «Окно в окне», то есть при которой он будет закреплен на экране:

1. В запущенном приложении нажмите на кнопку «Упорядочить» и из меню выберите пункт «Параметры».



2. В новом системном окне перейдите на вкладку «Проигрыватель» и поставьте галочку около опции «Отображать проигрыватель поверх остальных окон». Кликните по «ОК», чтобы применить изменения.

Закрепление плеера браузера

Некоторые браузеры имеют встроенную функцию «Окно в окне», что удобно при просмотре видеоконтента с сайтов или специальных сервисов. Во время воспроизведения через встроенный проигрыватель на ресурсе в этом случае нужно нажать на специальную иконку, запускающую плеер в отдельном окне, которое по умолчанию поверх остальных. Это доступно в таких обозревателях, как Яндекс.Браузер, Opera, встроенном Microsoft Edge.

Если в «Яндекс.Браузере» нет значка для выноса видео в отдельном окне поверх остальных, то эту функцию потребуется активировать вручную:

1. Откройте раздел «Настройки», нажав на три вертикальные полоски на верхней панели.



2. На вкладке «Инструменты» найдите блок «Просмотр видео поверх других вкладок и программ». Отметьте опцию «Показывать на видеороликах кнопку для выноса видео».

Многие разработчики при создании своего софта не предусматривают для них специальную функцию, позволяющую закреплять окна. Поэтому пользователям приходится самостоятельно придумывать, как это можно сделать. Чаще всего для того, чтобы закрепить окно поверх всех окон Windows 10, приходится устанавливать сторонний софт.

Когда это может пригодиться

Многих пользователей интересует, когда может понадобиться крепление одного окна поверх других. Поэтому рекомендуется заранее ознакомиться с тем, когда люди чаще всего пользуются данной функцией.

Довольно часто желание зафиксировать окошко появляется у любителей смотреть кинофильмы или сериалы. Некоторые из них смотрят кино в небольшом окне в одном из углов экрана и одновременно с этим работают или просто пользуются браузером для просмотра страниц в интернете.

Однако есть и другие ситуации, когда пользователю может понадобиться закрепление окон в Windows 10:

• визуальное сравнение графиков, которое проводится, чтобы установить их основные сходства и различия;
• проведение математических расчетов, когда необходимо, чтобы на виду постоянно была формула или константа;
• выполнение важной работы за персональным компьютером, для которой нужна пошаговая инструкция;
• работа с различными источниками данных.

В большинство проигрывателей для Виндовс встроена функция, позволяющая закреплять окна.

Полезные программы

Дело в том, что во многих программах для Windows отсутствует возможность закреплять окна. Поэтому, чтобы это сделать, придется устанавливать сторонний софт. Есть несколько полезных утилит, с помощью которых удастся решить данную проблему.

DeskPins

Это наиболее популярный софт, который чаще всего используют для закрепления интерфейса той или иной программы.

Среди главных достоинств Desk Pin можно выделить то, что он абсолютно бесплатный и поэтому воспользоваться им сможет каждый. Также к преимуществам можно отнести простоту использования.

Чтобы воспользоваться данной полезной утилитой, необходимо:

1. Скачать софт с официального сайта и установить его на ПК.
2. Перейти в параметры утилиты и задать горячие клавиши.
3. Добавить программы, которые сразу после запуска будут всегда отображаться поверх других запущенных приложений.
4. Сохранить внесенные изменения.

При необходимости в DeskPins можно изменить язык интерфейса на русский.

TurboTop

Это довольно старая программа, которая создавалась еще для ОС Windows ХР. Однако несмотря на это, данная утилита отлично работает и с более современными версиями ОС. Поэтому ее можно будет без проблем устанавливать на Виндовс 10.

К главным преимуществам такого софта можно отнести такое:

• простота использования;
• бесплатное распространение;
• интуитивно понятный интерфейс, с которым легко разобраться;
• не требовательна к компьютеру пользователя.

Чтобы использовать эту простую программу, необходимо:

1. Установить утилиту, предварительно скачав ее с официального сайта.
2. Запустить программу на компьютере.
3. Кликнуть по иконке TurboTop, расположенной снизу на панели задач Вин 10.
4. В открывшемся перечне запущенных приложений выбрать то, чье окно должно отображаться поверх остальных.

Чтобы открепить окно, необходимо просто закрыть TurboTop.

OneTopReplica

Данное приложение часто используется, если нужно закрепить окно той или иной утилиты. Стоит отметить, что этот софт лучше всего сочетается с более старыми версиями Windows.

На Win10 ее лучше не устанавливать, так как из-за плохой совместимости во время работы могут появиться определенные проблемы.

Однако несмотря на это, у программы есть немало преимуществ:

• настройка прозрачных окон;
• поддержка русского языка;
• бесплатное распространение;
• занимает мало места на HDD.

Пользоваться этой программой очень легко:

1. Загрузить и открыть софт.
2. Зайти в меню и нажать на «Select window».
3. Выбрать приложение из списка.

При необходимости можно выбрать несколько утилит, чьи окна будут отображаться поверх остальных.

PinMe!

Люди, не знающие, как закрепить окно поверх других в Windows 10, могут использовать для этого данную программу. Такая утилита обладает обширным функционалом, позволяющим быстро настроить отображение тех или иных программ поверх других.

К преимуществам утилиты относятся:

• простота использования;
• понятный интерфейс;
• совместимость с новыми и старыми операционными системами.

Среди минусов можно выделить то, что софт поддерживает только английский язык.

Чтобы использовать PinMe!, надо выполнить такие действия:

1. Загрузить и установить приложение.
2. Перейти в параметры.
3. Выбрать пункт «Position».
4. В списке отметить программу, которую надо оставить открытой поверх других окон.

В PinMe! есть специальный инструмент, позволяющий делать по таймеру скриншоты запущенных на ПК приложений.

Always on Top

Также есть специальные скрипты, позволяющие закреплять софт поверх других окон. Наиболее популярный из них — скрипт Always on Top. Это универсальный способ решения проблемы, который подойдет для любой версии операционной системы Виндовс.

Среди достоинств данного скрипта можно выделить то, что он не требует установки. Нужно просто скачать его и запустить.

Чтобы активировать работу скрипта, придется нажать сочетание клавиш Пробел+Ctrl. После этого он автоматически закрепит на экране активное окно.

Window On Top

Это многофункциональное приложение специальной разработано для ОС Windows. От других аналогичных утилит отличается тем, что за его использование придется платить. Именно поэтому пользуются Window On Top не очень часто.

Среди плюсов данного софта следует выделить то, что им довольно легко пользоваться. Чтобы добавить или убрать закрепление, нужно нажать на клавиши F8+Ctrl.

AquaSnap

Довольно старая программа, которая разрабатывалась еще для Windows XP. Однако несмотря на это, она совместима и с более современным разновидностями ОС. К особенностям AquaSnap относят ее расширенный функционал. Она позволяет:

• выравнивать объекты;
• закреплять окна;
• изменять прозрачность объектов и растягивать их.

Есть платная версия AquaSnap, которая позволяет одновременно работать с двумя окнами.

4t Tray Minimizer

Данное ПО используется очень часто, если нужно расположить одно из окон поверх других. Стоит отметить, что есть у 4t Tray Minimizer и другое предназначение. Его часто используют, чтобы сворачивать запущенные программы в трей.

Распространяется 4t Tray Minimizer абсолютно бесплатно и поэтому воспользоваться им сможет каждый. Также ПО совместимо с большинством версий ОС Виндовс.

Пользоваться такой утилитой легко. Для этого необходимо загрузить ее с официального сайта и запустить. После этого на окошках запущенных приложений появятся дополнительные функциональные кнопки, с помощью которых можно будет их закреплять.

Стандартные средства

В ОС Виндовс есть только одно встроенное средство, которое позволяет работать с окнами. Речь идет о стандартной функции Snap Assist, впервые появившейся в Win7.

С помощью данного функционала пользователи могут закреплять окна запущенных утилит на экране. При необходимости их можно прикреплять к правой или левой части рабочего стола. Это позволяет одновременно работать с двумя запущенными приложениями.

В каком софте по умолчанию присутствует возможность закрепления

В некоторых программах есть встроенные функции, с помощью которых можно закреплять окна на экране. К такому софту можно отнести следующие:

• VLC. Это популярный медиа проигрыватель для запуска аудио и видео. В нем есть специальная опция «Поверх окон».
• iTunes. Чтобы активировать функцию в этом приложении, придется открыть дополнительные параметры.
• WMP. Данное ПО используется для просмотра видеофайлов или прослушивания музыки. Найти опцию, которая отвечает за закрепление, можно в расширенных настройках.
• AIMP. Это популярный плеер для проигрывания аудиофайлов. Чтобы активировать в нем нужную функцию, придется нажать на значок в виде булавки.
• Яндекс Браузер. Недавно на него вышло новое дополнение, в котором появилась опция, позволяющая закреплять браузер на экране.

Довольно часто пользователи сталкиваются с необходимостью закрепить одно из окон поверх остальных. Прежде чем это сделать, необходимо ознакомиться с перечнем приложений, которые для этого могут пригодиться.

Последнее обновление — 12 июля 2022 в 10:07

Обновлено: 06.02.2023

Цель работы:Ознакомиться с процедурами создания ученых записей пользователей и управления их правами.

Теоретическая часть

В операционной системе Windows XP на одном и том же компьютере могут работать разные пользователи, каждый под своим именем. При входе в ОС запрашиваются имя и пароль, на основе которых происходит аутентификация пользователя.

Компьютер может работать автономно, а может быть рабочей станцией в сети. Если компьютер загружается для автономной работы или для работы в одноранговой сети , то пользователь регистрируется, используя внутренний (локальный) список имен пользователей системы.

Если компьютер загружается для работы в сети с выделенным сервером , то пользователь регистрируется, используя имя, которое ему выдал администратор сети. Список с этими именами хранится на сервере.

Данные о пользователе находятся в специальной базе данных на локальных компьютерах и на сервере. На каждого пользователя заводится отдельная учетная карточка, которая носит название учетная запись.

Windows XP использует три типа учетных записей пользователей:

1. Локальные учетные записи для регистрации пользователей локального компьютера. База локальных учетных записей хранится на каждом компьютере своя, и содержит информацию о пользователях только данного компьютера. Создаются учетные записи администратором этого компьютера.
2. Встроенные учетные записи пользователей создаются автоматически при установке Windows XP. Встроенных учетных записей две — Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи.
3. Учетные записи пользователей домена хранятся на выделенном сервере и содержат данные о пользователях локальной сети.

Локальная учетная запись — это учетная запись, которой могут быть предоставлены разрешения и права на вашем компьютере. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, чтобы не устанавливать одни и те же настройки для каждого пользователя в отдельности. Ограничения, установленные для группы, распространяются на всех пользователей этой группы.

Домен или глобальные пользователи и группы управляются сетевым администратором . Имеется возможность добавить локальных пользователей, глобальных пользователей и глобальные группы в локальные группы. Однако невозможно добавить локальных пользователей и локальные группы в глобальные группы.

Пользователи и группы важны для безопасности Windows XP поскольку позволяют ограничить возможность пользователей и групп выполнять определенные действия путем назначения им прав и разрешений. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. Разрешение представляет собой правило, связанное с объектом (например, файлом, папкой или принтером), которое определяет, каким пользователям и какого типа доступ к объекту разрешен.

Операционная система содержит несколько встроенных учетных записей пользователей и групп, которые не могут быть удалены:

Учетная запись пользователя с именем «Администратор» используется при первой установке рабочей станции или рядового сервера. Эта учетная запись позволяет выполнять необходимые действия до того, как пользователь создаст свою собственную учетную запись. Администратор является членом группы администраторов на рабочей станции или рядовом сервере.

Учетную запись «Администратор» нельзя удалить, отключить или вывести из группы администраторов, что исключает возможность случайной потери доступа к компьютеру после уничтожения всех учетных записей администраторов. Это свойство отличает пользователя «Администратор» от остальных членов локальной группы «Администраторы».

Учетная запись гостя предназначена для тех, кто не имеет реальной учетной записи на компьютере. Учетную запись «Гость» нельзя удалить, но можно переименовать или отключить. Учетной записи пользователя «Гость», как и любой другой учетной записи, можно предоставлять права и разрешения на доступ к объектам. Учетная запись «Гость» по умолчанию входит во встроенную группу «Гости», что позволяет пользователю войти в систему с рабочей станции или рядового сервера. Дополнительные права, как любые разрешения, могут быть присвоены группе «Гости» членом группы администраторов.

К стандартным группам Windows XP относятся следующие группы:

Пользователи, входящие в группу «Администраторы», имеют полный доступ на управление компьютером. Это единственная встроенная группа, которой автоматически предоставляются все встроенные права и возможности в системе. По умолчанию туда входит учетная запись «Администратор».

Члены группы «Операторы архива» могут архивировать и восстанавливать файлы на компьютере, независимо от всех разрешений, которыми защищены эти файлы. Также они могут входить на компьютер и выключать его, но не могут изменять параметры безопасности.

Члены группы опытных пользователей могут создавать учетные записи пользователей, но могут изменять и удалять только созданные ими учетные записи. Они могут создавать локальные группы и удалять пользователей из локальных групп, которые они создали. Они также могут удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости».

Они не могут изменять группы «Администраторы» и «Операторы архива», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Члены группы пользователей могут выполнять наиболее распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров , завершение работы и блокировка рабочих станций. Пользователи могут создавать локальные группы, но изменять могут только те, которые они создали. Пользователи не могут организовывать общий доступ к каталогам или создавать локальные принтеры .

Группа «Гости» позволяет случайным или разовым пользователям войти в систему со встроенной учетной записью гостя рабочей станции и получить ограниченные возможности. Члены группы «Гости» могут только прекратить работу компьютера.

Управление учетными записями пользователей и группами осуществляется пользователями, входящими в группу Администраторы.

Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.

Дискретное разграничение прав доступа

Для того, что бы настроить правила безопасности для папок нужно воспользоваться вкладкой «Безопасность». В Windows XP эта вкладка отключена по умолчанию. Для ее активации нужно зайти в свойства папки (Меню «Сервис» -> «Свойства папки» -> «Вид») и снять флажок «Использовать простой общий доступ к файлам».

Основные права доступа к папкам

В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:

1. Полный доступ;
2. Изменить;
3. Чтение и выполнение;
4. Список содержимого папки;
5. Чтение;
6. Запись.

В Windows 10 нет стандартного разрешения «Список содержимого папки».

Эти разрешения могут предоставляться пользователю (или группе пользователей) для доступа к папкам и файлам. При этом право «Полный доступ» включат в себя все перечисленные права, и позволяет ими управлять.

Права доступа назначаются пользователю для каждого объекта (папки и файла). Для назначения прав нужно открыть меню «Свойства» и выбрать вкладку «Безопасность». После этого выбрать необходимо пользователя, которому будут назначаться разрешения.

Создайте папки по названиям разрешений, всего у вас будет 6 папок для Windows XP и для Windows 10. Я рассмотрю на примере Windows XP, на «десятке» вам будет проще. Скачайте папки по ссылке и скопируйте в них содержимое (не сами папки, а то, что в них находится).

Отройте вкладку «Безопасность» в свойствах папки «Список содержимого папки». У меня есть пользователь user, вы можете добавить своего. Для того, что бы изменить право на объект нужно выбрать пользователя и указать ему разрешение, в данном случае «Список содержимого папки». Затем нажмите «Применить» и «ОК».

Выбор пользователя Список содержимого

По аналогии установите права для соответствующих папок.

После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.

Откройте каждую папку и проверьте, что разрешения выполняются.

Элементы разрешений на доступ

Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.

Просмотреть элементы разрешений на доступ можно, нажав на кнопку «Дополнительно» во вкладке «Безопасность» и выбрав любой элемент разрешений.

Поэкспериментируйте с элементами и проверьте, как они работаю.

Элементы разрешений на доступ для записи

Владелец файла

В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.

Узнать, какой пользователь является владельцем файла или папки можно на закладке «Владелец» в дополнительных параметрах безопасности.

Наследование прав доступа

В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.

При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.

Для изменения унаследованных разрешений нужно открыть вкладку «Разрешения» в дополнительных параметрах безопасности. Там же можно отключить наследование разрешений.

Запреты

Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.

Запреты на объекты в файловой системе NTFS

В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.

Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)

При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.

Первым делом нужно запустить локальные параметры безопасности от имени Администратора: «Пуск –> Программы –> Secret Net 5 –> Локальная политика безопасности».

Далее необходимо перейти в «Параметры Secret Net» –> «Настройка подсистем» –> «Полномочное управление доступом: название уровней конфиденциальности».

Введите названия уровней. У меня это:

• Низший – Общедоступно.
• Средний – Конфиденциально.
• Высший – Секретно.

Настройка субъектов

Настройка субъектов в Secret Net производится в группе «Локальные пользователи и группы». Зайдите в меню «Пуск» –> «Программы» –> «Secret Net 5» –> «Управление компьютером» –> «Локальные пользователи и группы» –> «Пользователи».

Что бы настроить права администратора нужно выбрать учетную запись «Администратор» и перейти на вкладку Secret Net 5. Установим уровень доступа «секретно».

Далее установите все флажки.

• Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
• Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
• Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.

После установки всех флажков нажмите «Применить» и «ОК».

Создадим нового пользователя. Для этого нужно перейти «Локальные пользователи и Группы» –> «Пользователи». Создайте новых пользователей, я назову их «Конфиденциальный» и «Секретный». По аналогии с пользователем Администратор установите для новых пользователей аналогичные уровни доступа и настройки как на рисунках ниже.

Настройка объектов

Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.

Автоматическое присваивание категории конфиденциальности можно включить или отключить в окне настройки свойств папки. Этот параметр может редактировать только пользователь, у которого есть права на «Редактирование категорий конфиденциальности».

При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.

Попробуйте создать в паке новый файл или каталог, а после чего изменить ее уровень (повысить) и установить флажок «Автоматически присваивать новым файлам». У вас появиться окно «Изменение категорий конфиденциальности».

Выберите пункт «Присвоение категорий конфиденциальности всем файлам в каталоге» и нажмите «ОК» для присвоения категории конфиденциальности всем файлам кроме скрытых и системных файлов.

В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.

Если пользователь с категорией «Общедоступно» попробует прочитать или удалить документ, то он получит соответствующие ошибки.

То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.

Если вы зайдете под пользователем «Секретный» то вы сможете повысить уровень конфиденциальности файлов и работать с ними.

Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.

Контроль потоков данных

Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.

Для этого нужно запустить «Локальные параметры безопасности»: «Пуск» – «Программы» –> «Secret Net 5» –> «Локальная политика безопасности», затем перейти в группу «Параметры Secret Net» –> «Настройки подсистем» и выбрать параметр «Полномочное управление доступом: Режим работы» и включить контроль потоков. Изменения вступят в силу после перезагрузки компьютера.

Если зайти (после перезагрузки) под пользователем «Секретный» появиться выбор уровня конфиденциальности для текущего сеанса. Выберите секретный уровень.

Если вы откроете файл с уровнем «Конфиденциально», отредактируете его и попробуете сохранить под другим именем и в другую папку, то вы получите ошибку, так как уровень сеанса (секретный) выше, чем уровень файла (конфиденциальный) и включен контроль потоков данных.

На этом все, если у вас остались вопросы задавайте их в комментариях.

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Повышение привилегий, пожалуй, один из ключевых моментов, от которого зависит сценарий дальнейшего проведения пентеста или атаки. Очень часто на этом этапе все и заканчивается, если не получается «расширить свои полномочия». Поэтому сегодня мы немного поговорим о способах, позволяющих пользователю повысить свои привилегии не только до администраторских, но и до системных.

Введение

Повышение привилегий в Windows и Linux несколько различается. Несмотря на то что обе операционные системы несут обычное число уязвимостей, исследователи отмечают, что полностью пропатченный Windows-сервер встречается гораздо чаще, чем обновленный до актуального состояния Linux. К тому же время выхода виндовых патчей зачастую меньше, что делает повышение привилегий на винде задачей достаточно интересной и амбициозной. Именно ей мы и посвятим наш рассказ.

Варианты

Итак, какие у нас есть возможности приподняться в мире Windows? Прежде всего, в последнее время в ядре ОС было найдено достаточно уязвимостей, связанных с парсингом шрифтов, что делает процесс повышения привилегий достаточно простым, если на руках есть подходящий сплоит. Если ты используешь Metasploit, то достаточно всего лишь одной команды, чтобы получить системный шелл. Однако все это с большой вероятностью успешно сработает только в том случае, если система не полностью пропатчена. Если же на машине установлены все обновления, то, в отличие от Linux, здесь не получится найти SUID-бинарников, а переменные окружения обычно не передаются сервисам или процессам с более высокими привилегиями. Что же в результате нам остается?

От админа до системы, или то, что знают все

Обычно при упоминании повышения привилегий на ум сразу приходит способ, использующий планировщик задач. В винде можно добавить задачу с помощью двух утилит: at и schtasks . Вторая запустит задачу от имени пользователя, добавившего задание, в то время как первая — от имени системы. Стандартный трюк, о котором ты наверняка слышал, позволяющий запустить консоль с правами системы:

Второе, что приходит в голову, — это добавление сервиса, который будет запускать необходимый файл / выполнять команду:

Третий способ заключается в подмене системной утилиты C:windowssystem32sethc.exe на, например, cmd . Если после этого разлогиниться и нажать несколько раз клавишу Shift , то появится консоль с системными правами.

Что касается автоматизированных способов, то на ум сразу же приходит Metasploit и его getsystem . Альтернативным вариантом можно считать PsExec от Sysinternals ( psexec -i -s -d cmd.exe ).

Мы пойдем другим путем

У всех названных методов есть общий недостаток: необходимы администраторские привилегии. Это означает, что мы повышаем привилегии уже из-под привилегированного аккаунта. В большинстве случаев, когда ты получил админские права, у тебя на руках появляется куча вариантов, как подняться еще выше. Так что это не очень сложная задача. Мы же поговорим сегодня о методах повышения привилегий, не использующих какие-либо 0day-уязвимости, полагая, что у нас обычная система и на руках аккаунт обычного непривилегированного пользователя.

Охота за credentials

Один из надежных и стабильных способов повышения привилегий и закрепления в системе — получить пароли администраторов или пользователей, обладающих более высокими привилегиями. И тут самое время вспомнить об автоматизированной установке программного обеспечения. Если ты управляешь доменом, включающим в себя обширный парк машин, однозначно тебе не захочется ходить и устанавливать ПО на каждую из них вручную. Да и времени это будет отнимать столько, что ни на какие другие задачи не хватит. Поэтому используются Unattended installations, которые порождают файлы, содержащие админские пароли в чистейшем виде. Что представляет собой просто клад как для пентестеров, так и для злоумышленников.

Unattended Installs

В случае автоматизированной установки на клиенте остается достаточно любопытный для нас файл Unattended.xml , который обычно находится либо в %WINDIR%PantherUnattend , либо в %WINDIR%Panther и может хранить пароль администратора в открытом виде. С другой стороны, чтобы получить этот файл с сервера, не требуется даже никакой аутентификации. Надо найти лишь «Windows Deployment Services» сервер. Для этого можно воспользоваться скриптом auxiliary/scanner/dcerpc/windows_deployment _services из Metasploit. И хотя Windows Deployment Services не единственный способ выполнения автоматизированных инсталляций, файл Unattended.xml считается стандартом, так что его обнаружение можно приравнять к успеху.

Пример файла Unattended.xml с сохраненными данными

XML-файлы настроек групповой политики безопасности (Group Policy Preference) довольно часто содержат в себе набор зашифрованных учетных данных, которые могут использоваться для добавления новых пользователей, создания шар и так далее. На счастье, метод шифрования документирован, таким образом, можно запросто получить пароли в чистом виде. Более того, команда Metasploit уже все сделала за тебя — достаточно воспользоваться модулем /post/windows/gather/credentials/gpp.rb . Если тебе интересны подробности, то вся необходимая информация доступна по этой ссылке.

Пользовательские права

Очень часто повышение привилегий оказывается следствием неправильно настроенных пользовательских прав. Например, когда пользователь домена является локальным администратором (или Power User’ом) на хосте. Или когда пользователи домена (или члены доменных групп) являются локальными админами на всех хостах. В таком случае тебе уже толком не придется ничего делать. Но такие варианты подворачиваются не так часто.

AlwaysInstallElevated

Иногда администраторы позволяют обычным пользователям самостоятельно устанавливать программы, обычно делается это через следующие ключи реестра:

Они указывают системе, что любой MSI-файл должен устанавливаться с повышенными привилегиями (NT AUTHORITYSYSTEM). Соответственно, задействовав специальным образом созданный файл, можно опять же выполнить действия от имени системы и прокачать свои привилегии.

В состав Metasploit входит специальный модуль exploit/windows/local/always_install_elevated , который создает MSI-файл со встроенным в него специальным исполняемым файлом, который извлекается и выполняется установщиком с привилегиями системы. После его выполнения MSI-файл прекращает установку (путем вызова специально созданного невалидного VBS), чтобы предотвратить регистрацию действия в системе. К тому же если запустить установку с ключом /quiet , то юзеру даже не выведется ошибка.

Пропавший автозапуск

После чего, как ты догадался, останется только как-то подсунуть на место пропавшего файла своего кандидата.

Магия кавычек

Да-да, кавычки могут не только сыграть злую шутку в SQL-запросах, позволив провести инъекцию, но и помочь поднять привилегии. Проблема довольно старая и известна со времен NT. Суть в том, что пути до исполняемых файлов некоторых сервисов оказываются не обрамленными кавычками (например, ImagePath=C:Program FilesCommon FilesNetwork AssociatesMcShieldMcShield.exe ), при этом в пути присутствуют символы пробела. В таком случае, если атакующий создаст файл, который будет добавлять новых админов в систему или выполнять еще какие-то действия, и назовет его C:Program Filescommon.exe , то при последующем запуске сервиса запустится именно common.exe , а оставшаяся часть пути будет воспринята в качестве аргумента (аргументов). Понятно, что в Program Files непривилегированный пользователь положить ничего не сможет, но исполняемый файл сервиса может находиться и в другой директории, то есть у юзера будет возможность подсунуть свой файл.

Для того чтобы воспользоваться данной техникой, надо найти уязвимый сервис (который не будет использовать кавычки в пути к своему бинарнику). Делается это следующим образом:

Правда, на XP это потребует привилегий админа, поэтому там лучше воспользоваться следующим методом: получить список сервисов — sc query , далее смотреть информацию по каждому сервису — sc qc servicename .

Все по плану

Еще один механизм, который может помочь поднять права и про который обычно забывают, — планировщик задач. Утилита schtasks позволяет вешать задачи на определенные события. Наиболее интересные для нас — ONIDLE, ONLOGON и ONSTART. Как следует из названий, ONIDLE будет выполняться каждый раз при простое компьютера, ONLOGON и ONSTART — при входе пользователя и при запуске системы соответственно. Таким образом, на каждое из событий можно повесить отдельную задачу. Например, при запуске системы копировать куда-либо вредоносный бинарник/кейлоггер/. и запускать его. При входе пользователей в систему — запускать дампер кредитных карт. Короче, все ограничивается только твоей фантазией и поставленной задачей.

Фокусы с разрешениями

Разрешения на доступ к файлам — это обычно первое защитное средство, которое мешает поднять нам свои привилегии. Было бы заманчиво просто так переписать какой-либо системный файл (например, тот же самый sethc.exe, упомянутый в самом начале статьи) и получить сразу системные привилегии. Но все это лишь мечты, на деле у нас есть лишь разрешение на его чтение, которое нам ровным счетом ничего не дает. Однако не стоит вешать нос, ибо с разрешениями тоже не все так гладко — здесь, как и везде, существуют свои подводные камни, знание которых позволяет делать невозможное возможным.

Одна из системных директорий, защищенных данным механизмом, особенно интересна с точки зрения повышения привилегий — Program Files. Непривилегированным пользователям доступ туда заказан. Однако иногда бывает, что в процессе установки инсталляторы некорректно выставляют права на файлы, в результате чего всем пользователям предоставляется полный доступ к исполняемым файлам. Что из этого следует — ты уже догадался.

Еще одно из ограничений — обычному смертному не позволяется писать в корень системного диска. Однако, например, на XP при создании новой директории в корне диска группа BUILTINUsers получает FILE_APPEND_DATA и FILE_WRITE_DATA разрешения (даже если владельцем папки является администратор):

На «семерке» происходит почти то же самое, только разрешения получает группа AUTHENTICATED USERS. Каким образом такое поведение может превратиться в проблему? Просто некоторые приложения устанавливают себя вне защищенных директорий, что позволит легко подменить их исполняемые файлы. Например, такая оказия случилась с Metasploit Framework в случае ее многопользовательской установки. Данный баг был пофиксен в версии 3.5.2, а утилита переехала в Program Files.

Windows 7. Права на папку, созданную администратором

Как искать такие директории/файлы

Обнаружение директории с некорректными разрешениями — это уже половина успеха. Однако ее нужно сначала найти. Для этого можно воспользоваться следующими двумя инструментами: AccessChk и Cacls/ICacls. Чтобы найти при помощи AccessChk «слабые» директории, понадобятся данные команды:

Для поиска файлов со «слабыми» разрешениями служат следующие:

То же самое можно выполнить и при помощи Cacls/ICacls:

Трюки с сервисами

Еще один вариант, как подняться в системе повыше, — это воспользоваться мисконфигурациями и ошибками сервисов. Как показывает практика, некорректными разрешениями могут обладать не только файлы и папки, но также и сервисы, работающие в системе. Чтобы обнаружить такие, можно воспользоваться утилитой AccessChk от небезызвестного тебе Марка Руссиновича:

Отраднее всего будет увидеть SERVICE_ALL_ACCESS разрешение для аутентифицированных пользователей или power-юзеров. Но также большой удачей можно считать и следующие:

• SERVICE_CHANGE_CONFIG — можем изменять исполняемый файл службы;
• WRITE_DAC — можно менять разрешения, что приводит к получению разрешения SERVICE_CHANGE_CONFIG ;
• WRITE_OWNER — можно стать владельцем и изменить разрешения;
• GENERIC_WRITE — наследует разрешения SERVICE_CHANGE_CONFIG ;
• GENERIC_ALL — наследует разрешения SERVICE_CHANGE_CONFIG .

Если обнаруживается, что установлено одно (или несколько) из этих разрешений для непривилегированных пользователей, шансы повысить свои привилегии резко возрастают.

Как повысить?

Допустим, ты нашел подходящий сервис, настало время поработать над ним. В этом поможет консольная утилита sc. Для начала получаем полную информацию об интересующем нас сервисе, допустим, это upnphost:

С помощью этой же утилиты отконфигурируем его:

Как видишь, при следующем старте службы вместо ее исполняемого файла выполнится команда net user john hello /add && net localgroup Administrators john /add , добавив в систему нового пользователя john с паролем hello . Остается только вручную перезапустить сервис:

Вот и вся магия.

Что в итоге

Когда-то давным-давно я прочитал в журнале статью, в которой были приведены основные приемы для повышения привилегий в ОС Windows. Особого значения я ей тогда не придал, но теория в голове отложилась и однажды очень сильно меня выручила. Так что, надеюсь, и ты найдешь в этой статье для себя что-то новое, что поможет однажды преодолеть очередной барьер.

Ранее в статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм добавления объектов групповой политики для редактирования параметров, которые будут применяться для определенных пользователей.

Содержание

Запрет доступа к редактору реестра и командной строке

Иногда бывает крайне рационально запрет неопытному пользователю доступ к редактору реестра и командной строке. Для этого можно настроить два параметра.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики (описание можно посмотреть в статье Основы работы с редактором локальной групповой политики в ОС Windows 10).
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютерTest». В данном примере Test – это учетная запись пользователя с ограниченными правами для которой будет применяться политика.

Рис.1 Окно консоли с добавленными оснастками объектов групповой политики

• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Система в окне Редактора локальной групповой политики.

Рис.2 Редактирование параметров политик узла Система

• Дважды щелкнуть ЛКМ по параметру политики Запретить использование командной строки.
• Выбрать значение Включено.
• Нажать OK.

Рис.3 Редактирование параметра политики Запретить использование командной строки

• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики.

Рис.4 Результат действия запрета при запуске командной строки

Рис.5 Результат действия запрета при запуске редактора реестра

Запрет определенных настроек узла Персонализация

С помощью узла Персонализация оснастки локальной групповой политики можно настроить для определенных пользователей запрет на изменение цветовой схемы, темы, фона рабочего стола. Можно запретить изменять заставку, стиль оформления окон и кнопок и многое другое. Все эти параметры доступны по следующему пути: Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютерTest».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления > Персонализация.

Рис.6 Редактирование параметров политик узла Персонализация

• Дважды щелкнуть ЛКМ по нужному параметру политики. Например, выбрать Запретить изменение фона рабочего стола.
• Выбрать значение Включено.

Рис.7 Редактирование параметра политики Запрет изменения фона рабочего стола

1. Нажать OK.
2. Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
3. Закрыть консоль
4. Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики

При активировании данной политики, при попытке изменить фон рабочего стола через настройки персонализации, данная опция будет не активна.

Рис.8 Результат действия запрета на изменение фона рабочего стола

Запрет доступа к различным элементам меню Пуск и настройки панели задач

При администрировании рабочих станций рационально для неопытных пользователей запретить изменять параметры панели задач и меню Пуск, удалить не используемые элементы Windows из меню Пуск. Все эти параметры доступны в узле локальной групповой политики Конфигурация пользователя > Административные шаблоны > Меню Пуск и панель задач.

Рис. 9 Редактирование параметров политик узла Меню «Пуск» и панель задач

Ниже представлен лишь не полный перечень политик, который доступен в Меню Пуск и панель задач в операционной системе Windows 10 Pro:

• Очистить уведомления на плитке при входе
• Удалить раздел «Люди» с панели задач.
• Закрепить панель задач
• Макет начального экрана
• Запретить пользователям настраивать начальный экран
• Удалить ссылку Игры из меню Пуск (актуально для Windows Server 2008, Windows 7 и Windows Vista)
• Удалить ссылку Программы по умолчанию из меню Пуск (актуально для Windows Server 2012 R2, Windows 8.1, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista, Windows XP, Windows 2000)
• Удалить значок Музыка из меню Пуск (актуально для Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP)
• Удалить значок Изображения из меню Пуск (актуально для Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista и Windows XP)
• Запретить доступ к контекстному меню для панели задач
• Запретить пользователям удалять приложения из меню Пуск
• Показывать команду «Запуск от имени другого пользователя» при запуске
• Запретить закрепление программ в панели задач
• Запретить все параметры панели задач (в моем примере на рисунке показан неправильный перевод данной политики). В Windows 7 данная политика называлась «Блокировать все параметры панели задач».

• Запретить добавление и удаление панелей инструментов
• Запретить перемещение панелей инструментов
• Запретить изменение размера панели задач

И другие политики.

В данном примере будет рассмотрена политика Запретить изменение размера панели задач.

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютерTest».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Меню «Пуск» и панель задач.
• Дважды щелкнуть ЛКМ по параметру политики Запретить изменение размера панели задач.

Рис.11 Редактирование параметра политики Запретить изменение размера панели задач

• Выбрать значение Включено.
• Нажать OK.
• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики. Для этого необходимо открыть Параметры панели задач и убедиться, что настройка Использовать маленькие кнопки панели задач не активна.

Рис.12 Открытие параметров панели задач

Рис.13 Результат действия запрета на редактирование размера панели задач

Скрытие определенных элементов панели управления

При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя определенные элементы панели управления. В статье Основы работы с редактором локальной групповой политики в ОС Windows 10 был рассмотрен механизм отображения только указанных элементов панели управления. В данном примере рассмотрен механизм скрытия определенных элементов из всего перечня апплетов панели управления. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить консоль с добавленными оснастками объектов групповой политики
• Выбрать набор политик для определенного пользователя Политика «Локальный компьютерTest».
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.14 Редактирование параметра политики Скрыть указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Скрыть указанные объекты панели управления.
• Выбрать значение Включено.

Рис.15 Редактирование параметра политики Скрыть указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо скрыть в Панели управления, и нажать Enter.

Рис.16 Список запрещенных элементов панели управления

• Нажать OK.
• Сохранить внесенные изменения, выбрав в главном меню консоли Файл > Сохранить
• Закрыть консоль
• Проверить результат под учетной записью, для которой был настроен параметр локальной групповой политики

Рис.17 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.18 Список элементов панели управления после изменения параметра локальной групповой политики

Читайте также:

  

• Настройка цветов в ubuntu

  

• Windows 7 register program что это

  

• Windows device portal что это

  

• Убрать установку windows 10

  

• Удалить содержимое папки windows

Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP

• 12.08.2021
• 15 325
• 2
• 11.09.2021
• 9
• 9
• 0

• Содержание статьи
  • DeskPins
  • TurboTop
  • Комментарии к статье ( 2 шт )
  • Добавить комментарий

Идут годы, версии Windows меняются одна за другой, но за долгое время в данных операционных системах так и не появилось одной удобной функции работы с окнами — закрепление определенного окна поверх остальных окон. Но как обычно водится, если чего-то не предусмотрено разработчиками Windows, то обычно реализуется сторонними разработчиками — и данная задача не исключение. Здесь мы рассмотрим программы, которые позволяют закрепить любое окно любой программы поверх других окон в Windows.

DeskPins

Официальный сайт

Одной из известных решений для этой цели является программа под названием DeskPins. Данная программа работает с практически любой версией Windows, начиная с совсем архаичной Windows 95, и заканчивая современной Windows 10. Скачать программу можно с официального сайта автора.

Работает программа по следующему принципу — вы открываете нужное окно, после чего нажимаете по иконке DeskPins в трее, и ваш курсор мыши принимает вид пина, которым нужно отметить окно, которое вы хотите закрепить поверх других. После этого, у закрепленного окна появляется символ пина, убрать который можно просто нажав на него.

Кроме того, в программе поддерживается возможность автоматического закрепления указанных окон — для этого, нужно нажать по её значку в трее правой кнопкой мыши (или зажав поочередно горячие клавиши Ctrl + F11, и выбрать пункт «Options». Там же, будет раздел «Autopin», где можно будет добавить все нужные окна, просто отметив галочкой пункт «Enable» и нажав на кнопку «Add». Так же, с помощью горячих клавиш Ctrl + F12 можно просто закрепить активное окно поверх других.

Откроется окно, где в строке «Description» можно указать любое желаемое имя, а в поле «Class» следует вписать имя класса приложения, которое нужно автоматически закрепить при его появлении. Это так же можно сделать автоматически, просто зажав мышкой на значок прицела рядом, и перетащив в зажатом виде на нужное окно программы.

Программа имеет открытый исходный код, который можно найти на её сайте.

TurboTop

Официальный сайт

Эта очень простая в использовании программа — после её установки и запуска, в трее появится её значок, по нажатию на который, отображается список всех открытых окон в системе, и если выбрать нужное окно, то оно станет закрепленным поверх остальных.

Программа абсолютно бесплатна, и просто скачивается с официального сайта разработчика.

Отображать Блокнот или любое другое приложение всегда поверх всех окон в Windows

Большинство приложений Windows изначально не поддерживают функцию “Поверх всех окон”. Сегодня мы рассмотрим как сделать, чтобы “Блокнот” или любое другое приложение всегда были поверх всех окон в Windows 10,8 и 7.

Отображать Блокнот или любое другое приложение всегда поверх всех окон

1. Вам понадобится небольшое и бесплатное приложение AutoHotkey. Перейдите на сайт и нажмите на Download.

2. Нажмите на “Download Current Version”.

3. Запустите скачанный файл и нажмите на “Express Installation”.

4. Нажмите на “Exit”.

5. Нажмите в пустом месте рабочего стола правой кнопкой мыши и выберите “Создать” => “AutoHotkey Script”.

6. Нажмите на созданном файле правой кнопкой мыши и выберите “Edit Script”.

7. Удалите весть текст и вставьте следующий:

8. Сохраните и закройте файл скрипта.

9. Запустите созданный файл.

10. Найдите окно, которое хотите отображать всегда поверх всех окон, выберите его и нажмите Ctrl+ пробел на клавиатуре.

На сегодня все, если вы знаете другие способы – пишите в комментариях! Удачи Вам 🙂

Источник

Как закрепить окно поверх всех окон Windows 10

Для комфортной работы бывает необходимо закрепить окно программы поверх всех остальных окон в ОС Windows 10. Особенно если же приходится работать на компьютере за одним монитором. Некоторые используемые Вами приложения уже имеют функцию картинка в картинке.

Эта статья расскажет, как закрепить окно поверх всех окон Windows 10. Часто нужно закрепить калькулятор, браузер, блокнот или видеоплеер. Все окна можно закрепить с помощью небольших программ. Что касается проигрывателей, то зачастую их можно закрепить и без стороннего софта.

Картинка в картинке Windows 10

Режим картинка в картинке позволяет закрепить видео в браузере или видеоплеер поверх всех остальных окон. Очень удобно и не требует использования стороннего программного обеспечения. Хотя для закрепления любого активного окна можно воспользоваться небольшими утилитами. Всё зависит от режима использования.

Закрепить программу поверх всех окон

DeskPins

Всё просто. В трее запущенных приложений откройте контекстное меню программы DeskPins. Теперь выберите Enter pin mode, и кликните по нужной для закрепления программе.

Выделенная программа будет отображаться поверх всех активных окон приложений. Отменить действие можно, выбрав в контекстном меню Remove all pin (или кликнуть по булавке).

PinMe!

Для закрепления достаточно в списке выбрать активное окно, например, браузер Opera. Закреплённое окно сразу же можно определить по иконке замок слева от названия.

Чтобы убрать окно нужно повторно нажать на закреплённое приложение. Утилита распространяется как портативное приложение и не нуждается в установке. Запускаем её прямо с архива.

PinWin

В контекстном меню отображаются все приложения, которые можно закрепить. Вы выбираете одно из приложений, например, Кино и ТВ и оно будет отображаться поверх всех окон.

Для отключения выбираем Unpin All Windows (Открепить все окна). Можно просто закрыть программку, и окна будут откреплены. Как и во всех приложениях настройте горячие клавиши.

TurboTop

Ничего лишнего в интерфейсе утилиты нет. Только список окон доступных к закреплению. В трее открываем контекстное меню и выбираем программу, которую нужно закрепить.

Источник

Как в Windows 10 закрепить окно приложения поверх остальных

В продолжении статьи «Как запустить вкладку Chrome без панелей инструментов» расскажу о том, как закрепить любое окно поверх всех. Темы похожи, так как входят в одну задачу — разместить на большом мониторе окно браузера без лишних меню и чтобы его ничего не перекрывало.

Для этого я предлагаю не лезть в реестр или команды, а воспользоваться двумя лёгкими программами на выбор.

1. PinWin — Pin On Top

Очень простая утилита, которая позволяет поместить любое количество окон поверх других.

После установки в трэе появится значок. Выберите окно из списка или через пункт «Select Window From Screen». Пункт «Unpin All Windows» снимает закрепление всех окон.

Особенности:

2. DeskPins

После установки программы кликните по значку в системном трэе. Щелкните измененным курсором по окну, которое необходимо закрепить. Для отмены закрепления щелкните мышью по заголовку открепляемого окна.

Особенности:

Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

партнёры блога

telegram

Реклама

Последние

Рубрики

СЧЕТЧИКИ

РЕКЛАМА И ДОНАТЫ

Социальные сети

©2016-2022 Блог Евгения Левашова. Самое интересное и полезное из мира ИТ. Windows 10, Linux, Android и iOS. Обзоры программ и веб-сервисов. Статьи о мотивации и продуктивности.

Использование материалов разрешается с активной ссылкой на levashove.ru.

Данный блог является личным дневником, содержащим частные мнения автора. В соответствии со статьей 29 Конституции РФ, каждый человек может иметь собственную точку зрения относительно его текстового, графического, аудио и видео наполнения, равно как и высказывать ее в любом формате. Блог не имеет лицензии Министерства культуры и массовых коммуникаций РФ и не является СМИ, а, следовательно, автор не гарантирует предоставления достоверной, не предвзятой и осмысленной информации. Сведения, содержащиеся в этом блоге не имеют никакого юридического смысла и не могут быть использованы в процессе судебного разбирательства. Автор блога не несёт ответственности за содержание комментариев к его записям.

Источник

Все способы и программы, чтобы закрепить окно поверх всех окон в Windows

Многие люди способны справиться с несколькими задачами сразу, поэтому они располагают окна на экране так, чтобы можно было одновременно управлять мультимедиа, работать или заниматься серфингом. Но не во всех случаях это удобно. Например, вести расчеты и одновременно заполнять таблицу в Excel невозможно из-за того, что при переходе к другому окну вы не видите полученную сумму. В этой ситуации выходом бы было закрепить калькулятор поверх всех окон, но стандартная программа не дает этого сделать.

Зачем закреплять окно поверх всех окон?

Есть несколько ситуаций, когда вам необходимо закрепить окно поверх остальных. С ними сталкиваются практически все пользователи:

Можно придумать массу причин, зачем необходимо закреплять одно окно поверх других. Некоторые производители программного обеспечения дополнили свои продукты приоритетным расположением на рабочем столе, но все же большинство браузеров и других полезных утилит не имеют такой опции. В Lunix эту опцию уже включили в стандартную сборку системы, создатели Windows OC пока не торопятся добавлять эту функцию

Какие программы по умолчанию имеют функцию закрепления окна?

Прежде всего разберемся, когда можно обойтись без дополнительных утилит для закрепления окон, а можно воспользоваться стандартными возможностями приложений. Ставить дополнительно программное обеспечение не стоит. В Windows поверх всех окон можно закрепить следующие приложения:

Если вы пользуетесь одной из этих программ, наложение поверх других окон не потребует от вас дополнительных действий. Чтобы закрепить на рабочем столе браузер или другое запущенное ПО, можно использовать сторонние утилиты.

Для каких систем можно использовать специальные утилиты? В чем их преимущества?

Использовать сторонние средства для Windows можно при любой версии операционной системы. Они не сложны, не требовательны к количеству оперативной памяти и видеокарте. Более удобно применение утилит будет, если у вас широкоформатный монитор, тогда на рабочем столе вы сможете разместить больше и кона не будут мешать друг другу.

Преимущества утилит в том, что вы можете как закрепить окно поверх других окон всего за пару кликов мышкой, так и прекратить их использование в кратчайшие сроки. Прибегать к помощи утилит можно время от времени. Некоторые из них имеют другие дополнительные функции, помогающие оптимизировать рабочее пространство. Отдельно можно скачать плагины для браузеров, но у них есть важный недостаток – вы не сможете использовать возможность закрепления окна для других программ.

Лучшие утилиты для закрепления окон

Существует два типа программ и плагинов для закрепления окон – бесплатные и коммерческие. Мы расскажем, как сделать окно поверх всех окон при помощи самых популярных приложений. Всего в обзор попали 8 программ, но их гораздо больше.

DeskPins

Разработчик распространяет эту программу бесплатно. Ее дистрибутив весит около 100 килобайт, а работать программа может на любой версии Windows, начиная с 2000. Наибольшим преимуществом можно назвать то, что это приложение не попадает в автозапуск и не оставляет за собой ярлыков на рабочем столе. Вызвать его можно при помощи меню «Пуск». После запуска вы можете заметить иконку этого приложения в правом нижнем углу, в трее.

Использовать утилиту крайне просто:

При необходимости пользователи могут настроить программу под свои нужды. Для этого достаточно щелкнуть по иконке утилиты в трее правой кнопкой мыши. Перед вами откроется контекстное меню. С его помощью можно прекратить использование утилиты, но вам нужно познакомиться с разделом Options. В нем вы можете:

В этой утилите нет ничего лишнего: она идеально подходит для любой версии Windows, поверх остальных окон закрепляет нужные объекты за два клика. Использовать ее можно даже на сенсорных планшетах, работающих на Windows OC.

TurboTop

Эта программа также распространяется бесплатно. TurboTop отлично подходит для Windows, начиная с XP. Ее размер чуть больше – около 1000 килобайт, но это связано с немного иным принципом работы. Пользоваться этой утилитой нужно по инструкции:

Эта утилита также является универсальной. Она может использоваться на ноутбуках, стационарных ПК и планшетах. Это ПО максимально простое – в нем нет никаких дополнительных настроек. Важное преимущество в том, что можно использовать программу сразу для нескольких окон. К тому же на рабочем столе вас не будут отвлекать яркие булавки и другие метки.

OneTopReplica

Это приложение способно разместить работающую программу поверх всех окон Windows 7 или 8. Последний раз обновление утилиты было в 2014 году, поэтому не стоит пытаться ее применить для 10 версии операционной системы, она не будет корректно работать. По своему принципу действия эта программа клонирует окно и располагает его копию поверх других.

Отзывы об OneTopReplica только положительные. Она сложнее ранее описанных утилит, в ней есть несколько основных опций:

Пользоваться этой утилитой просто:

В целом меню интуитивно подсказывает, что вы можете сделать при помощи этой программы. На всех его пунктах есть поясняющие пиктограммы. Этот вариант утилиты не для неопытных пользователей, она подойдет системными администраторами, геймерами.

PinMe!

Закрепить окно поверх всех окон в Windows 10 поможет англоязычная утилита Pin Me. Она также отличается расширенными настройками, которые можно использовать для удобства пользователя. Разобраться в ней не составит труда. После запуска программа сворачивается в трей и о ее работе свидетельствует только небольшая иконка.

Для того, чтобы использовать утилиту, вам нужно выучить несколько команд:

Программа не только корректно располагает объект поверх всех окон в Windows 10, но и работает с более ранними версиями – 7 и 8. Разработчики постарались на славу и регулярно оснащают свое творение новыми опциями, улучшают работу утилиты.

Always on Top

Если вы не хотите каждый раз запускать программу, то можно использовать скрипт Always on Top. Он не будет оснащен дополнительными опциями, но зато всегда будет под рукой. Это отличное решение для пользователей с мощными системами, хотя и слабые офисные ПК программа сильно не нагружает. Установка этой программе также не требуется – вам нужно лишь скачать ее. А все остальное будет сделано после запуска дистибутива.

Управляется скрипт при помощи горячих клавиш – сочетания Ctrl+Пробел. Для того, чтобы закрепить окно поверх остальных вам необходимо перейти в него, подогнать размер и нажать сочетание клавиш, теперь ваше окно никуда не пропадет. Отключить опцию также просто – перейдите в нужное окно и снова нажмите на Ctrl с Пробелом. Единственной дополнительной опцией стало прекращение работы скрипта – для этого необходимо нажать на его иконку в трее и выбрать Exit («Выход»).

Этой программой предпочитают пользоваться офисные работники, а также бухгалтеры, у которых каждая минута на счету. Не понравится она тем, кто хочет смотреть поверх остальных окон развлекательный контент или управлять медиаплеером во время игры. Дополнительные горячие клавиши в таких ситуациях будут неудобны, а отсутствие регулировки прозрачности неудобны для геймеров.

Window On Top

Это платная программа, этим она уже проигрывает перед остальными. Мы не будем на ней останавливаться подробно, принцип работы у нее схож с Always on Top. Единственное отличие в том, что ее потребуется установить и запустить. Для фиксации элементов необходимо нажать горячие клавиши Ctrl+F8 либо активировать работы программы из трея и пометить нужное окно курсором в виде руки.

Преимуществами программы является то, что она корректно работает даже с устаревшими версиями Windows. Ее можно запускать на XP, Vista, 7, 8, 10. Мы включили эту программу в список на тот случай, если другие приложения не смогли помочь вам с проблемой закрепления окон. Но в начале рекомендуем попробовать DeskPins.

AquaSnap

Приложение AquaSnap имеет несколько функции, полезных для офисных работников. Программа распространяется в двух версиях – бесплатной и стоящей 18 долларов. Эта утилита известна и популярна со времен Windows 7. Она является надстройкой для стандартной Snap на седьмой версии операционной системы, а также с ее помощью можно было добавить функциональности XP и Vista. Сейчас вышел апгрейд популярного приложения, оно работает на всех версиях операционной системы, в том числе и на 10.

Большая часть функционала отдана для работы с приложениями и их окнами. AquaSnap позволяет:

Платная версия отличается тем, что в ней есть возможность управлять одновременно несколькими окнами. В бесплатной версии функционал ограничен. Хороша эта программа тем, что она не навязывает платные услуги, для домашнего использования достаточно простой версии. Навязчивых уведомлений о необходимости заплатить не будет. Также в окне программы вы не найдете рекламу.

4t Tray Minimizer

Основное предназначение 4t Tray Minimizer – сворачивать окна в трей и располагать одно из них поверх всех окон. При этом она позволит убрать любое приложение, даже то в функциях которого нет возможности минимизации. Скачивается программа с официального сайта. Установка дистрибутива не отличается особенностями. После запуска программы вы обнаружите на окнах дополнительные кнопки, среди них будет булавка, которая позволит закрепить объект поверх остальных.

Сворачивание в трей происходит при помощи сочетания клавиш Shift+Esc. Также можно свернуть окно в ролл (заголовок) или сделать его прозрачным. Кнопки в каждом окне позволяют не использовать горячие клавиши, они представляют все необходимые опции. Программу можно настроить под конкретного пользователя:

Использование приложения абсолютно бесплатно. Главные его достоинства в том, что оно работает на старых версиях Windows, также хорошо, как и на десятой операционной системе. Приятный графический интерфейс и обширные пользовательские настройки позволяют использовать программу даже новичкам. Если вы хотите пользоваться всеми опциями 4t Tray Minimizer, то придется заплатить почти 20 долларов.

Вывод

Среди всех описанных программ можно назвать лучшей OneTopReplica она подойдет для просмотра стриммов во время игры, использования мультимедиа во время работы, а также для решения самых простых задач. Если вам не часто нужно закреплять окна поверх остальных, то лучше всего выбрать TurboTop. С помощью этой небольшой программы вы сможете закрепить несколько окон. Ее хватает для решения офисных задач.

Теперь вы все знаете о закреплении окон в Windows. Задавайте вопросы в комментариях, оценивайте материал и делитесь им с друзьями. Мы приветствуем обратную связь и обсуждения, возможно вы подскажете не менее хорошие программы или поделитесь опытом использования таких утилит.

Источник

Как сделать одно окно в Windows 10 поверх остальных. PinWin

Как сделать одно окно в Windows 10 поверх остальных. PinWin

Вы постоянно переключаетесь между приложениями? PinWin может решить эту проблему. Это приложение с открытым исходным кодом, которое было написано для одной цели — прикрепить окно так, чтобы оно все врем оставалось поверх любого другого окна.

Это похоже на опцию «всегда сверху», которую можно найти в видеоплеерах или Sticky Notes. Окно, которое вы хотите закрепить, останется видимым на экране даже при переключении на другое приложение. Это может быть очень полезно, если вы хотите поработать над чем-то, используя другой источник для справки, или посмотреть видео или чат, или поиграть в игру в маленьком окне на экране.

Интерфейс программы разделен на две секции, в верхней из которых перечислены все открытые в настоящее время окна.

Наведите курсор мыши на список и нажмите на окно, которое вы хотите прикрепить. Закрепленное окно будет отмечено галочкой рядом со своим названием в списке.

Вы также можете прикрепить окно, используя опцию «Выбрать окно из экрана» в меню PinWin.

Существует третий способ прикрепить окно — это с помощью сочетания клавиш Ctrl + Alt + V. Вы можете изменить это из опций программы в случае, если вы используете эту комбинацию клавиш в качестве горячей клавиши для другого приложения.

PinWin

Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

партнёры блога

telegram

Реклама

Последние

Рубрики

СЧЕТЧИКИ

РЕКЛАМА И ДОНАТЫ

Социальные сети

©2016-2022 Блог Евгения Левашова. Самое интересное и полезное из мира ИТ. Windows 10, Linux, Android и iOS. Обзоры программ и веб-сервисов. Статьи о мотивации и продуктивности.

Использование материалов разрешается с активной ссылкой на levashove.ru.

Данный блог является личным дневником, содержащим частные мнения автора. В соответствии со статьей 29 Конституции РФ, каждый человек может иметь собственную точку зрения относительно его текстового, графического, аудио и видео наполнения, равно как и высказывать ее в любом формате. Блог не имеет лицензии Министерства культуры и массовых коммуникаций РФ и не является СМИ, а, следовательно, автор не гарантирует предоставления достоверной, не предвзятой и осмысленной информации. Сведения, содержащиеся в этом блоге не имеют никакого юридического смысла и не могут быть использованы в процессе судебного разбирательства. Автор блога не несёт ответственности за содержание комментариев к его записям.

Источник