Bêta information de technologie d'UltraVnc v1.03
Changements
La construction dans le service de winvnc est remplacée par un service
externe. Vista exigent un isolement entre le service et l'application de bureau.
Pour la sécurité, les applications commencées par un service, par commencé
en tant que même utilisateur que le propriétaire de bureau, ceci empêchent
d'autres applications essayant de gagner l'accès d'admin par l'intermédiaire du
winvnc.
v1.0.3 RC1 n'emploie pas plus l'enregistrement pour l'économie d'option.
Il a été trop compliqué pour obtenir les permissions d'enregistrement droit,
et parce que winvnc.exe doit être commencé comme système, le mot de passe et les
ports pourraient changer si l'utilisateur et le système ont différents
arrangements
Nous pensons à réserver l'utilisation du dossier d'ultravnc.ini
pour Vista seulement et gardons l'enregistrement pour d'autres des versions de
Windows. Nous pourrions également soutenir les deux modes.
En fait v1.0.3
avec des travaux d'enregistrement sous Vista mais des utilisateurs doit
configurer arrangements d'"utilisateur" de WinVNC "défaut" et même lorsqu'alors
n'installez pas le service de WinVNC...
- endroit : le même annuaire que winvnc.exe
- si vous voulez empêcher les utilisateurs normaux pour changer le dossier, vous devez placer des restrictions à l'accès d'inscription de ce dossier
L'automobile de visionneuse maintenant rebranche quand la sécurité de bureau
change ou quand l'utilisateur login/logoff.
Le défaut retardent est 10s
(aucun écran de visionneuse ne régénèrent).
Si l'autoreconnect échoue jamais
vous pouvez manuellement encore rebrancher et devriez pouvoir accéder à tout le
(logon/screen saver/default/UAC) dessus de bureau de sécurité.
ctrl-alt-del
Winvnc ne peut pas envoyer l'ordre ctrl-alt-del si vous faites neutraliser
UAC et le DAO permettent.
Automatique d'UAC non seulement "acceptent" la
boîte pour les apps élevés, mais traitent également les arrangements manifestes
de sécurité.
Si vous neutralisez UAC, vous devez également neutraliser le
DAO, d'autre aucun software(comprenant la MME. sur le clavier d'écran) pouvez
simuler l'ordre de DAO.
Si vous téléchargez et vous ouvrez les dossiers Vista mettent un peu de
sécurité sur eux et demandent la permission chaque fois que vous voulez les
exécuter. Ceci empêchent le service de winvnc du fonctionnement approprié.
Après que vous ayez téléchargé et ayez extrait les dossiers que vous devez
les copier dans un subfolder dans le "programme classe", cette remise ce peu.
INFORMATION DE FOND
Activate/Deactivate ctrl-alt-del dans Vista
Vous
pouvez configurer la politique locale de sécurité ainsi la zone de dialogue de
sécurité de Windows sera montrée, exigeant de tous les utilisateurs de serrer
CTRL + alt + DEL Ã entrer.
Des utilisateurs seront alors incités à fournir
un username et un mot de passe valides pour accéder à l'ordinateur.
1° dans le panneau de commande, le système de clic et l'entretien. outils administratifs du Clic 2° puis la politique locale de sécurité. 3° dans la console, augmentent la configuration d'ordinateur | arrangements de Windows | arrangements de sécurité | politiques locales. Options De Sécurité Du Clic 4°. Les diverses options de sécurité sont montrées dans le carreau de détails. le rouleau 5° par les options et localisent l'ouverture interactive : N'exigez pas CTRL + alt + DEL. clic du double 6° l'option de sécurité. 7° choisissent handicapé pour exiger des utilisateurs de serrer CTRL + alt + DEL. OK du Clic 8°.Activer/ UAC
1° course MsConfig de l'option courue. 2° dans la fenêtre de configuration de système, clic sur l'étiquette d'outils. le rouleau 3° vers le bas et localisent UAP&rdquo “Disable; ou UAC&rdquo “Disable; article d'option. Clic sur cette ligne. Clic 4° le bouton de lancement. la fenêtre de message de sollicitation de commande de 5° A ouvrira et automatiquement exécutera et courra certain processus pour neutraliser UAC. 6° ferment la fenêtre de CMD une fois faits. 7° Clôturent Msconfig. ordinateur du relancement 8° pour que les changements appliquent et efficaces. Pour permettre à nouveau à UAC, choisissez simplement UAP&rdquo “Enable; ou UAC&rdquo “Enable; au lieu d'UAP&rdquo “Disable; ou UAC&rdquo “Disable;, et cliquez alors sur le bouton de lancement.
Défi I (isolement de session)
. Nous passons environ 4 mois sur le R&D et la finale l'a obtenu fonctionnant avec un certain appui du helpdesk de MME..
Vnc et tous les softwares de télécommande ont l'osier d'ennui le nouveau modèle de sécurité de Vista. Dans le vieux modèle de De, le winlogon fonctionnait toujours en même session que les services, session0
Tandis que dans le nouveau modèle, le winlogon fonctionnent en même session que le dessus de bureau.
L'isolement du session0, seulement utilisé maintenant pour des services, empêchent le winvnc en mode de service pour accéder à la session X et aucune interaction avec le dessus de bureau en session X n'est possible. En utilisant le service, vous ne pouvez pas ouvrir une session ou capturer le dessus de bureau.
Le winvnc courant en mode d'application (manuel commencé dans le sessionX) tout semble fonctionner aussi longtemps que vous ne fermez une session ou n'employez pas aucune application de système ce popup l'UAC.
Solution I
Le besoin de Winvnc de dédoubler l'exe dans un service et une application pièce. Quand nous courons le winvnc_service dans session0 et laissons le winvnc_app de début de service dans le sessionX, le winvnc_app peut communiquer avec le dessus de bureau et commander la souris et le clavier.
Un autre problème est que le sessionX ont le dessus de bureau différent, nous a laissés jeter un coup d'oeil plus étroit comment le dessus de bureau existent dans Vista. (ce modèle était déjà en partie en service sur XP, pour "la commutation rapide d'utilisateur", se rappellent l'écran noir que vous avez eu avec VNC après utilisateur de commutation)
- session 0 | | | WinSta0 (station interactive de fenêtre) | | | | | défaut (dessus de bureau) | | | | | débranchez (dessus de bureau) | | | | | Winlogon (dessus de bureau) | | | service de winvnc (station non-interactive de fenêtre) | | | | | défaut (dessus de bureau) | | - la session 1 | | | WinSta0 (station interactive de fenêtre) | | | | | défaut (desktop)(1**) | | | | | débranchez (dessus de bureau) | | | | | Winlogon (dessus de bureau) | | - la session 2 | | | WinSta0 (interactifs station de fenêtre) | | | | | transférez (dessus de bureau) | | | débranchez (dessus de bureau) | | | | | Winlogon (dessus de bureau) (2**)
La nécessité de service de vérifier le dessus de bureau et la session de
console.
Si le dessus de bureau de console est (1**) la nécessité de service
de commencer le winvnc_app dans session1 sur le dessus de bureau de défaut, le
dessus de bureau de défaut est le dessus de bureau normal où votre application
fonctionnent dessus.
Si le dessus de bureau de console est (2**) la
nécessité de service de commencer le winvnc_app dans session2 sur le dessus de
bureau de winlogon, c'est le dessus de bureau bloqué utilisé pour ouvrir une
session.
Pour éviter des problèmes d'accès, vous le meilleur début le
winvnc_app avec le même contexte de sécurité que le dessus de bureau il est
commencé dedans.
Utilisateur de bureau de --> de défaut
Dessus de
bureau de Winlogon - > système local
Createprocessasuser() permettent au
service de commencer l'exe dans le contexte correct de sécurité.
Cette méthode serait une solution complète pour soutenir la commutation rapide d'utilisateur et à accéder sur le RDP fonctionnant du PC. Mais Vista a d'autres tours méchants pour empêcher des applications pour commander un dessus de bureau.
Défi II (altitude et UAC)
. Altitude de sécuritéDe vous de la MME. OS précédent savez que des permissions où basé sur des
utilisateurs. Si vous entriez comme administrateur, vous pourriez clic simple
sur un exécutable le commencer. En tant qu'utilisateur normal, vous avez dû
exécuter la permission sur cet exécutable.
Dans Vista les applications ont
une "altitude de sécurité".
Bas : Iexplorere commencé comme administrateur
fonctionne dans la basse altitude de sécurité, cet accès d'iexplorer de bloc Ã
beaucoup de sources de système et les applications.
Normale : Une
application standard, garniture de mot, course dans l'altitude normale.
Haut
: Pour des utilités de système, comme le directeur de service.
Le bloc
d'altitude de l'interaction de l'application élevée inférieure à plus haut. Pour
Vnc le plus important est que le sendinput() est bloqué. Vous ne pouvez pas
commander une application fonctionnant dans une altitude plus élevée alors que
le winvnc d'altitude court.
Si vous commencez le directeur de service Ã
partir de dans VNC, les clics de souris de VNC deviennent verrouillés par
l'application élevée "de directeur de service".
Si les utilisateurs Ã
distance réduisent au minimum le "directeur de service" vous avez le plein accès
encore, mais l'extérieur que vous êtes bloqué.
Dans une version plus ancienne d'OS vous pourriez début simple une
"application de système" avec un double clic, dans Vista que l'UAC saute dedans.
Le popup d'UAC une fenêtre "CORRECTE" dans le dessus de bureau bloqué, il
passage temporel au dessus de bureau de winlogon et demandent votre permission
d'exécuter ce programme.
Le problème pour VNC est que votre winvnc_app
fonctionnant dans le dessus de bureau de défaut n'a aucune permission d'accéder
au dessus de bureau de winlogon, extérieur la serrure de bureau entière et vous
devez demander l'utilisateur à distance à la pression le bouton correct de
continuer.
Solution II
Le problème d'UAC peut être résolu en remettant en marche le winvnc_app dans
le dessus de bureau de winlogon, pour serrer BIEN, et se remettant en marche il
encore dans le dessus de bureau de défaut.
Serrure la grande, mais
maintenant de VNC parce que le "système APP" a le foyer et le sendinput() est
verrouillée parce qu'elle fonctionnent dans l'altitude d'"haute".
Aucun
problème, vous pensez, nous juste ajoutons un manifeste au winvnc_app et disons
qu'il le besoin de commencer dans l'altitude de "haute", alors il peut commander
toute l'application. (la haute d'altitude a accès à toute l'altitude > = la
haute)
Ceci fonctionne, quand vous clic manuel sur le winvnc_app.exe, lui
popup l'UAC et vous serrez BIEN, mais quand vous le commencez à partir du
service que vous obtenez une permission niée, CreateprocessAsUser(CPAU) n'est
pas permis de commencer l'application élevée......
Ne jouez pas avec le manifeste, la seule manière est de jouer avec la marque passée à CPAU et passer la pleine marque élevée, puis début de winvnc_app élevé et vous ont accès.
Défi II (Ctrl-alt-del)
. Dans l'OS précédent vous pourriez envoyer un message d'un service dans le
dessus de bureau de winlogon pour simuler l'ordre de DAO...
PostMessage(HWND_BROADCAST, WM_HOTKEY, 0, MAKELPARAM(MOD_ALT|MOD_CONTROL,
VK_DELETE));
Ceci ne fonctionne pas dans Vista....
Solution III
Nous examinons, il doit être possibles, l'osk (sur le clavier d'écran)
pouvons simuler l'ordre. Les fonctions non documentées d'utilisation d'osk,
l'"winlogon IPC api"...
Comme workaround, vous pouvez utiliser dessus le
clavier d'écran. Quand vous serrez l'icône de left/down il popup le clavier et
vous pouvez cela simuler le DAO...
Le problème résolu, Ctrl-Alt-Del peut
être fait avec un exe séparé "cad.exe"