Анализ безопасности Windows XP Embedded

В этой статье речь пойдет об устройстве HP t5730 с предустановленной Windows XP Embedded.

В этой статье речь пойдет об устройстве HP t5730 с предустановленной Windows XP Embedded.

Основным отличием Windows XP Embedded от Windows XP являются:

• Enhanced Write Filter (EWF)
• Hibernate Once, Resume Many (HORM)

Оба этих средства предназначены для упрощения выполнения задач по администрированию устройств на базе Windows.

EWF делает выбранный дисковый том доступным только для чтения. Операции записи, направленные на этот дисковый том, перенаправляются в так называемое наложение, которое может находиться на другом диске или в памяти ПК. Операционная система рассматривает наложение EWF и его родительский том как один дисковый том. Тем не менее фактически на родительском томе не выполняются реальные изменения: изменениям подвергается только наложение EWF.

Такая технология в некоторых случаях дает преимущества. К примеру, у современных карт памяти CompactFlash (CF), которые могут устанавливаться в качестве накопителя, ограничен ресурс записи (приблизительно 100 000 операций), поэтому EWF применяется для использования карты памяти только для чтения. Для сохранения изменений в файловой системе используется наложение. Представим размещение наложения EWF в ОЗУ: если пользователь выключит компьютер, то наложение EWF и любые изменения, которые хранятся в ОЗУ, мгновенно теряются. При перезагрузке вы возвращаетесь назад в исходную конфигурацию, хранящуюся на карте памяти CF.

Если наложение расположено в энергонезависимой памяти, то когда возникает необходимость восстановить компьютер до исходной конфигурации, достаточно стереть наложение EWF.

HORM позволяет после однократного перевода компьютера в спящий режим многократно возобновлять его работу из точки перехода в спящий режим. Другими словами, технология позволяет фиксировать состояние запущенной операционной системы. Достаточно настроить компьютер, запустить все необходимые приложения, а затем перевести его в спящий режим: после этого компьютер загрузится почти мгновенно. При каждом включении компьютера вам потребуется только подождать несколько секунд, чтобы обнаружить все приложения работающими.

Сравнение Windows XP Embedded и Windows XP

Windows XP Embedded является многокомпонентным дистрибутивом. Microsoft предоставляет набор компонентов и средство для сборки дистрибутива (Windows Embedded Studio), которые позволяют собрать установочный образ для конкретного аппаратного обеспечения под определенные задачи. При этом можно использовать такой набор компонентов Windows XP Embedded, который позволит иметь такие же функциональные возможности, как и в полной версии Windows XP. К ним относятся возможность установки DirectX 9.0c, Microsoft .NET Framework, Windows Media Player 10 и многого другого. Грубо говоря, Windows XP Embedded — это Windows XP Professional, разобранная на функциональные составляющие, с возможностью их выбора. Например, можно исключить из дистрибутива MSI или заблокировать изменение практически любых настроек системы после установки. Существует также большой объем документации для разработчиков, описывающей способы создания пользовательских компонентов, например, пользовательской оболочки, заменяющей «Проводник», что позволяет создавать среду, соответствующую конкретному встроенному устройству.

Однако операционная система Windows XP Embedded включает в себя не все компоненты, входящие в состав полной версии Windows XP. К примеру, защита файлов Windows (WFP — Windows File Protection) не входит в состав Windows XP Embedded [1] . Не входят в ее состав и некоторые другие удобные компоненты, например «Знакомство с Windows XP», начальные экраны приветствий и мастеры, помогающие начинающему пользователю настраивать компьютер, или программа установки Windows. В Windows XP Embedded не используется активация Windows, образы Windows XP Embedded активируются с помощью ключа продукта (этап выполнения) при работе инструментов Windows Embedded Studio.

Наиболее примечательным является то, что Windows XP Embedded не использует механизм обновления Windows, хотя может использовать в созданной среде сервер служб обновления программного обеспечения Microsoft. Наконец, в Windows XP Embedded нет MSN Explorer, входящего в состав Windows XP Professional.

В перспективе обширный цикл разработки Windows XP Embedded продолжается: в настоящее время доступен Feature Pack 2007, в который добавлены новые компоненты, такие как загрузка с устройства USB, усовершенствование EWF, позволяющее направлять новые файлы на родительский том, не направляя наложение в целом, поддержка сжатия NTFS и многое другое. Эти усовершенствования увеличивают гибкость и количество вариантов операционной системы Windows XP Embedded, одновременно уравнивая ее по набору компонентов с операционной системой Windows XP Professional.

Вход в Windows XP Embedded с правами администратора

При стандартных настройках Windows XP Embedded автоматически производит вход пользователя User. Для настройки Windows XP Embedded необходимо выполнить вход с учетной записью пользователя Administrator.

Для того чтобы войти в Windows XP Embedded с правами администратора, необходимо зажать клавишу Shift и, не отпуская ее, выбрать LogOff в основном меню; затем, не отпуская клавиши Shift, дождаться появления формы для ввода имени пользователя и пароля.

Стандартным паролем к учетной записи Administator являетя пароль Administator. Войдя с этой учетной записью, можно вносить изменения в настройки Windows XP Embedded.

Настройка Windows XP Embedded для сканирования с помощью MaxPatrol

Для правильной проверки Windows XP Embedded с помощью MaxPatrol необходимо настроить следующие параметры.

1. Добавить новую учетную запись пользователя и внести ее в группу «Администраторы». Проверку Windows XP Embedded необходимо проводить, авторизовавшись с этой учетной записью.
2. Необходимо перевести службу Remote Registry в состояние «запускаться автоматически».
3. Необходимо настроить межсетевой экран согласно инструкции по эксплуатации MaxPatrol.
4. Необходимо настроить доступ к WMI согласно инструкции по эксплуатации MaxPatrol.

Далее необходимо сохранить изменения, внесенные в Windows XP Embedded. Для этого следует выполнить процедуру фиксации изменений в EWF с помощью команды ewfmgr c: -commit (для системного диска С: ) или с помощью значка службы (в правом нижнем углу экрана).

После перезагрузки Windows XP Embedded будет готов к сканированию MaxPatrol.

Сканирование Windows XP Embedded при помощи MaxPatrol

Сканирование преднастроенной Windows XP Embedded производится так же, как и сканирование обычной Windows XP. Необходимо указать IP-адрес компьютера, имя учетной записи и пароль пользователя, выбрать режим и запустить сканирование.

В настоящее время поддерживается сканирование Windows XP Embedded в режимах Audit и Compliance.

Оценка Windows XP Embedded в поставке от HP для t5730 в режиме Audit

На настоящий момент для Windows XP Embedded отслеживается более 230 бюллетеней безопасности Microsoft (http://technet.microsoft.com/en-us/security/bulletin/).

При проверке установленной Windows Embedded XP для HP Compaq t5730/t5735 Thin Client программой MaxPatrol было обнаружено 180 уязвимостей, требующих устранения.

Устранение уязвимостей, найденных в режиме Audit, производится с помощью установки обновлений для Windows XP Embedded. В Windows XP Embedded нет возможности обновлять ПО устройства напрямую через сеть с серверов Windows Update: для обновления Windows XP Embedded необходимо разворачивать специальные сервера обновлений Windows Server Update Services (WSUS). Кроме того, можно устанавливать обновления в ручном режиме и выполнять команду Commit изменений.

Для примера рассмотрим установку обновления в ручном режиме.

Открываем ссылку из раздела «Решение», выбираем обновление для Windows XP, скачиваем его и запускаем.

Завершаем установку без перезагрузки.

Выполняем команду Commit (Фиксация). Уязвимость «Переполнение кучи, связанное с протоколом удаленного администрирования» устранена.

Еще одним способом обновления ОС Windows XP Embedded является использование Device Update Agent (DUA). Это служба, с помощью которой отслеживается наличие обновлений на локальном диске или веб-сервере и, соответственно, запускается заранее подготовленный сценарий для установки этих изменений на устройство. Использование DUA позволяет устанавливать приложения, драйвера, работать с файловой системой и реестром в автоматическом режиме.

Выполнение проверки Windows XP Embedded в поставке от HP для t5730 в режиме Compliance

При проверке настроек системы Windows XP Embedded в поставке от HP для t5730 согласно стандарту CIS Benchmark v. 2.01 для Windows XP обнаруживается 69 несоответствий рекомендованным настройкам правил безопасности.

Для настройки Windows XP Embedded в соответствие с рекомендованными значениями можно использовать ручной режим или DUA. Пример настройки «Системные службы: Фоновая интеллектуальная служба передачи (BITS)»:

Далее останавливаем службу Background Intelligent Transfer Service и запрещаем автозапуск.

Не забудьте выполнить команду Commit для изменений, иначе после перезагрузки служба будет снова в активном состоянии.

Делаем повторное сканирование и видим, что контроль «Системные службы: Фоновая интеллектуальная служба передачи (BITS)» принял статус «Соответствует».

Итак, Windows XP Embedded — это встраиваемая компонентная операционная система на базе Windows XP Professional Edition и предназначена для применения в различных встраиваемых системах: системах промышленной автоматизации, банкоматах, медицинских приборах, кассовых терминалах, игровых автоматах, VoIP-компонентах и т. п. Эта операционная система часто используется на критически важных устройствах, чувствительных к отказу и взлому, и поэтому требует анализа уязвимостей и соответствующих работ по их устранению.

База знаний Кварта Технологии

Инструменты пользователя

Инструменты сайта

Боковая панель

Общие вопросы

Решения Кварта Технологии

Системы Windows Embedded/IoT, кроме Compact

Лицензирование, активация и ключи продукта

Загрузка, устройства и драйверы

Разработка, развертывание, тиражирование, обслуживание и обновления

Компоненты для встраивания и брендирование

Системы Windows Embedded Compact

Разработка образа

Эксплуатация и обслуживание образа

.NET Micro Framework

Другое

Пустой экран при входе в систему

Материалы данной статьи относятся к системам Windows Embedded Standard 7/8, POSReady 7, Industry 8/8.1/8.1 Update

Используйте решение, приведенное в данной статье, если сразу после установки или через месяц после начала эксплуатации при входе в систему появляется пустой экран и система не отвечает ни на какие действия

В Windows Embedded существует возможность автоматического входа в систему (AutoLogon), при неверной настройке которой после загрузки системы появляется черный экран, а сама система не отвечает ни на какие команды (в т.ч. нажатия Ctrl-Alt-Del и других служебных комбинаций).

Данная ситуация возникает при одновременном выполнении следующих условий:

Обе ситуации неразрешимы, так как все элементы интерфейса в указанный момент входа в систему скрыты настройками Custom Logon. Для пользователя эта ситуация выглядит как черный (или пустой) экран без каких-либо элементов интерфейса, система не отзывается ни на какие действия (в случае, если на устройстве есть сенсорный экран, касания системой все же отрисовываются).

Чтобы избежать описанной ситуации в первом случае, следует на этапе подготовки файла ответов в ICE явно указать при настройке компонента Embedded Core, что пользователю задан пустой пароль. Для этого следует:

В данном случае важно то, что если вы не указываете пустой пароль явно (Write Empty String), то он считается не заданным вообще, даже если вы вошли в поле Password\Value и нажали в нем Tab или Enter.

Если нет желания тратить время на развертывание системы с нуля, существует способ исправить положение на уже развернутой системе за 2-3 минуты. Для этого следует загрузиться не в развернутую систему, а на той же машине в Image Builder Wizard (IBW) или Windows PE (загрузочные образы доступны в Toolkit или могут быть созданы прямо из ICE) и запустить командную строку. Далее следует:

и определите диск с системой. Выйдите из утилиты командой

где c: — логический диск, буква которого определена в предыдущем пункте.

Подтвердите перезапись параметра.

Перезагрузитесь в развернутую систему, войдите в нее, используя ту самую учетную запись с пустым паролем. Система предложит изменить пароль. Соглашайтесь с этим и опять указывайте пустой пароль. Для восстановления автоматического входа в систему выйдите из нее и войдите с учетной записью администратора. После чего наберите в меню «Пуск»: netplwiz и нажмите Enter.

В появившемся окне:

Перезагрузитесь и убедитесь, что AutoLogon работает верно и не приводит к появлению черного экрана.

Пароль для windows embedded

Вопрос

• Перемещено Garth Jones MVP 27 марта 2018 г. 10:55 not a CM07 Question

Ответы

Arnav Sharma | http://arnavsharma.net/ Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

If it is the only administrator account on the machine, you need a system repair disc. You create one from someone else’s pc. How to create a recovery disc: https://support.microsoft.com/en-sg/help/17423/windows-7-create-system-repair-disc

To change the password, boot from the System Repair Disc. When prompted, press any key.

Eventually you’ll get to the System Recovery Options screen. Note the operating system location; it might be C:, or D:, or whatever. Click Next.

At the next page, click Command Prompt.

Once there, type each of these lines, pressing Enter after each one. Replace the x in the first line with the operating system location you noted above.

x:

cd windows\system32

ren utilman.exe utilhold.exe

copy cmd.exe utilman.exe

exit

Remove the disc and reboot. At the log-on screen, click the Ease of access icon in the lower-left corner to bring up a command prompt.

Within that command prompt, type net user username newpassword, replacing current username and password