Consentux что это за служба

Consent.exe — что это за процесс, как удалить?

Приветствую друзья. Сегодня мы поговорим о процессе, который относится к обеспечению безопасности Windows. Честно говоря я многое в плане штатной безопасности Windows — отключаю, достаточно поставить качественный антивирус (мне нравится Каспер) и не лазить по ненужным сайтам. Уже пару лет так и ни одного вируса.

Consent.exe — что это такое?

Consent.exe — согласованный пользовательский интерфейс для административных приложений. Процесс появляется при включенном UAC — он отвечает за вывод запроса для разрешения запуска программы.

Чтобы процесс не надоедал — его можно отключить, просто отключив UAC (User Account Control):

Процесс Consent.exe запускается из системной папки, а именно:

Если он присутствует в других местах, например в папке AppData, Roaming, Local, Program Files — тогда ПК стоит проверить на вирусы. Да, он может быть еще в дремучих папках типа C:\Windows\WinSxS\amd64_microsoft-windows-lua_31bf3856ad364e35_10.0.14393.2879_none_1bc1c0adb792cf2b, но это все его оригинальные копии, это нормально. Главное — чтобы он в итоге был в папке Windows, а не например в Program Files.

Кстати я использую Windows 10, версия LTSB (много метро-хлама тут вырезано), посмотрел у себя, поискал в папке System32 файл consent и нашел даже пару библиотек с упоминанием названия:

На форуме Ру Боард нашел инфу: после некоторых обновлений (например KB3172605) файл consent.exe обзаводится функциями телеметрии (вроде UAC-трекинг). Это все относится к Windows 7, в десятке телеметрии и так уже хватает. Поэтому теоритически процесс Consent.exe может стучаться в интернет для отправки пользовательской инфы (хотя никакие логины и пароли не отправляются, это глупости).

Возможно инфа будет полезна: в журнале может быть краснота по поводу consent.exe и mmc.exe, один юзер выяснил — из-за установки Symantec EndPoint Protection. Хотя в принципе лагов нет, только в журнале записи напрягают.

Consent.exe — вирус?

Как уже было сказано — не вирус, а системный компонент.

Однако, я нашел инфу — на форуме чел рассказывает, пользователю пришло письмо, в котором был файл замаскированный под документ. Пользователь запустил файл, после чего постоянно начало появляться предложение внести изменения в систему от процесса Consent.exe. Скорее всего проблема была в том, что вирус хотел внести изменения, и защита UAC, то есть Consent.exe — не давали этого сделать. Поэтому отключать UAC — не всегда хорошая идея.

Если у вас есть подозрения, что у вас на компьютере вирус, тогда проверьте его лучшими утилитами:

Источник

Consentux что это за служба

Allows ConnectUX and PC Settings to Connect and Pair with WiFi displays and Bluetooth devices.

This service exists in Windows 10 only.

Startup Type

Default Properties

Default Behavior

If ConsentUX fails to start, the error is logged. Windows 10 startup proceeds, but a message box is displayed informing you that the ConsentUxUserSvc service has failed to start.

Dependencies

ConsentUX is unable to start, if the Remote Procedure Call (RPC) service is stopped or disabled.

Restore Default Startup Type for ConsentUX

Automated Restore

1. Select your Windows 10 edition and release, and then click on the Download button below.

2. Save the RestoreConsentUXWindows10.bat file to any folder on your hard drive.

3. Right-click the downloaded batch file and select Run as administrator.

Источник

Windows UAC не перестаёт удивлять, или Как обнаружить инсайдера

Всем привет! Уверен, что вы наслышаны о недочетах технологии Windows UAC, однако относительно недавно появились подробности любопытной уязвимости, эксплуатация которой дает возможность непривилегированному пользователю максимально повысить привилегии. В Jet CSIRT мы не оставили этот случай без внимания, ведь для любой команды мониторинга и реагирования на инциденты ИБ уязвимости класса Privilege Escalation представляют особый интерес. Под катом — описание уязвимости, способы детекта и защиты.

Детали уязвимости

Исследователь Eduardo Braun Prado из команды Zero Day Initiative обнаружил уязвимость локального повышения привилегий в компоненте Windows Certificate Dialog, которая возникает из-за некорректной обработки пользовательских привилегий. Уязвимость позволяет повысить привилегии пользователя до максимально возможных SYSTEM и обойти все защитные механизмы ОС Windows. Это происходит при эксплуатации механизма Windows UAC, когда пользователь взаимодействует с компонентом Безопасного рабочего стола (Secure Desktop), открыв диалог запуска файла от имени Администратора.

В чем суть уязвимости? Сертификат исполняемого файла содержит необязательное численное поле «Идентификатор политики» в формате Microsoft-specific object identifier (OID).

Заголовочный файл Wintrust.h определяет это поле как SPC_SP_AGENCY_INFO_OBJID. Хотя его назначение слабо документировано, скорее всего, оно анализируется при открытии окна с деталями сертификата. При представлении данного поля в корректном формате поле Issued by («Кем выдано») будет отображено в виде гиперссылки со значением, взятым из атрибута SpcSpAgencyInfo.

При клике по ссылке c полем Issued by откроется браузер Internet Explorer с правами SYSTEM. Родительским процессом для него будет выступать процесс consent.exe. Он также выполняется с максимальными привилегиями, и именно в его контексте запускается диалог UAC. Соответственно, далее появляется возможность запуска произвольного файла (cmd.exe, powershell.exe) из меню браузера с унаследованными правами SYSTEM.

В качестве PoC для демонстрации эксплуатации уязвимости (видео приведено ниже) исследователь предложил использовать утилиту HTML Help ActiveX Control, сертификат которой обладает описанными выше особенностями.

При этом существует возможность подписать любой исполняемый файл подобным образом, например, с помощью powershell командлета Set-AuthenticodeSignature. Предварительно потребуется создать самоподписанный сертификат корневого удостоверяющего центра и конечный сертификат средствами утилиты makecert из набора Windows SDK. Инструкция приведена по ссылке.

Уязвимость получила идентификатор CVE-2019-1388 и CVSS 7.8. Ей оказались подвержены все версии ОС от Windows 7 до Windows Server 2019. После установки патча поле Issued by в деталях сертификата перестает отображаться как гиперссылка.

Массовая эксплуатация этой уязвимости маловероятна ввиду трудности автоматизации. Ведь для реализации атаки на ее основе пользователю потребуется выполнить немало действий — от открытия окна с сертификатом исполняемого файла до запуска командной строки через интерфейс Internet Explorer. Поэтому наиболее вероятный сценарий атаки может быть связан с действиями внутреннего нарушителя.

Как обнаружить

Для обнаружения эксплуатации уязвимости на платформах Windows x64 мы в Jet CSIRT используем в SIEM-системе правило корреляции, отслеживающее цепочку событий (на контролируемом узле предварительно необходимо включить аудит запуска процессов посредством соответствующей групповой политики либо использовать утилиту Sysmon от Sysinternals):

Детализация условия запуска consent.exe

Детализация условия запуска IEx64

Детализация условия запуска IEx86

Детализация условия запуска cmd.exe, powershell.exe

Исследователь Florian Roth выложил Sigma-правило для обнаружения попытки эксплуатации данной уязвимости. Однако из-за ограничений языка с помощью правила можно выявлять только событие запуска Internet Explorer с правами SYSTEM и родительским процессом consent.exe без последующего детектирования запуска командных интерпретаторов. Отследить цепочку нужных событий при соблюдении описанных выше условий (1-5) средствами Sigma не представляется возможным, из-за чего мы вынуждены были разработать собственное правило.

Как защититься

1. Установить патч Microsoft от 12 ноября для соответствующей версии ОС.

2. Если патч для устранения данной уязвимости установить нельзя, стоит воспользоваться:

Источник

Отключение слежки в Windows 10

Как известно, в Windows 10 имеется много служб для сбора информации о пользователях. Некоторые якобы в благих целях, а в некоторых случаях Microsoft не скрывает, что преследует коммерческие цели, такие как показ рекламы по интересам. Эту слежку можно и нужно отключать, если вы задумываетесь о своей конфиденциальности. Для этого в первую очередь нужно изменить параметры системы, как это сделать описано в статье link. После этого переходим к отключению слежки в Windows 10.

Однако, разработчики идут на разные ухищрения и пытаются спрятать компоненты для слежки, скрывая или переименовывая службы в новых релизах. В этой статье мы рассмотрим отключение слежки в Windows 10 для версии 1803 и выше.

Список служб

Есть несколько способов как попасть в оснастку всех служб Windows

Затем выбираем в левом столбце «Службы» и видим список всех служб Windows

Как отключить службу

Для отключения службы и изменения типа запуска необходимо: Нажать по ней двойным щелчком левой кнопкой мыши (или правой и выбрать «Свойства») → Остановить → Изменяем «Тип запуска» на отключена → Применить

Так же возможно отключение службы через командную строку с правами администратора:

В поиске набираем cmd → щелчок правой кнопкой мыши → выбираем «Запуск от имени администратора»

Вводим в командной строке:

sc stop Имя_службы → Enter

Где Имя_службы — это название службы в самой системе, к примеру, TapiSrv как на картинке выше.

Для полного отключения службы изменим тип запуска:

sc config Имя_службы start=disabled → Enter

Какие службы отключать WpnUserService и прочие

Отключаем слежку в Windows 10

Официальное описание этих служб на самом деле не совпадает с их реальным назначением. В системе могут присутствовать службы с такими же названиями, только к ним добавляются сгенерированные символы, например, «DevicesFlowUserSvc_24bvf». Эти символы изменяются после перезагрузки, так что их необходимо искать и отключать самостоятельно.

После отключения указанных служб, в консоли cmd с правами администратора поочередно вводим команды и нажимаем Enter

Перезагружаем компьютер, после этого запускаем редактор реестра. Поиск в нижнем левом углу → вводим regedit → щелчок правой кнопкой мыши «Запуск от имени администратора»

В редакторе реестра, необходимо удалить ключи(папки,) для этого поочередно вводим пути в верхней строке и удаляем их. Как это сделать показано на скриншоте:

Эти все действия можно выполнить автоматически с помощью скрипта, можете скачать его ТУТ. Распакуйте архив и запустите с правами администратора.

Источник

Укрощаем Windows 10: как отключить шпионящие службы Microsoft и принудительное обновление

Реклама на экране блокировки, принудительные обновления и практически полное отсутствие конфиденциальности: последняя система от Microsoft нуждается в строгом контроле. Мы поможем в его установлении.

Агрессивная — именно этот эпитет приходит в голову многим пользователям Windows 10, если им необходимо описать систему одним словом. Такое поведение начинается еще до установки, с раздражающих требований обновиться.

Даже сам руководитель отдела маркетинга Microsoft Крис Капоссела признает, что концерн действовал слишком напористо в своем желании максимально быстро распространить систему среди пользователей. Миллиарды ПК максимум за три года — таким был план. И, разумеется, все лишь во благо потребителей: «Мы хотим, чтобы как можно больше пользователей перешли на Windows 10 из соображений безопасности».

В категорию «Безопасность», однако, не попала конфиденциальность. Капоссела утаил, что Windows 10 проникает в частную сферу глубже, чем любая другая Windows прежде. Многих пользователей просто ставят перед непреложными фактами: данные собираются по умолчанию, обновления устанавливаются автоматически и без спроса, на экране блокировки отображается реклама. Microsoft ставит на то, что большинство людей свыкнутся с Windows 10 из-за отсутствия альтернатив.

Смириться? Хорошо, но, пожалуйста, на пользовательских условиях: мы покажем, как приручить наглую операционную систему, чтобы сохранить свою прайваси даже под Windows 10.

Освобождение от шпионажа служб Microsoft

Внедрение ощутимо ужесточенного наблюдения за своими клиентами Microsoft оправдывает необходимостью, в первую очередь, отслеживать частоту возникновения определенных ошибок. По информации из Online-FAQ, речь не идет о том, чтобы «идентифировать отдельных пользователей, контактировать с ними или отображать целевую рекламу».

Предустановленные настройки по умолчанию, однако, позволяют сотрудникам Microsoft напрямую подключаться к домашнему ПК, чтобы с помощью различных инструментов диагностики определить причины зарегистрированной ошибки. Полученная таким образом информация, однако, не разглашается.

Если вы владелец предварительно сконфигурированного ПК или же не проявили достаточно бдительности при установке Windows 10, стоит заглянуть в параметры конфиденциальности. Такие бесплатные утилиты, как O&O ShutUp10 (oo-software.com/en/shutup10), наглядно отображают большинство настроек приватности для Windows 10.

Большинство настроек стоит изменить вручную. ShutUp10 отчитается, получилось ли это у вас

Мы рекомендуем вначале изменить основные параметры вручную и лишь затем позволить действовать ShutUp10. Так вы лучше познакомитесь с Windows 10 и будете точно знать, где найти конкретный переключатель.

Отключаем онлайн-аккаунт

Первым шагом к ограничению утечки данных станет переход на локальную учетную запись. Многие пользователи при установке системы бездумно пропускают этот этап, оставляя по умолчанию онлайновый аккаунт. После этого Windows 10 может синхронизировать параметры и пароли на различных устройствах. Обмен возникающей при этом информацией происходит через сервер Microsoft.

Кроме того, онлайн-аккаунт необходим для покупки приложений в магазине Microsoft. Таким образом, речь уже не идет о возможности приобрести ПО, как прежде, напрямую у разработчика или же в альтернативных онлайн-магазинах. Хорошо, что впоследствии вы можете перейти на локальную учетную запись.

Для этого нажмите на значок Windows в нижнем левом углу и откройте «Параметры», а затем «Учетные записи». Щелкните по записи «Войти вместо этого с локальной учетной записью».

Вернитесь на локальный аккаунт, чтобы Windows 10 больше не могла синхронизировать конфиденциальную информацию через серверы Microsoft

Воспользуйтесь возможностью и измените также конфигурацию синхронизации. Для этого перейдите к строчке «Синхронизация ваших параметров» и переведите первый переключатель в положение «Откл.».

Добраться до пункта контроля за настройками приватности в Windows 10 можно через «Пуск | Параметры | Конфиденциальность». В разделе «Общие» вы найдете опции для блокировки использования идентификатора получения рекламы и передачи информации о вашем поведении в Microsoft. На некоторых системах эта функция уже отключена. В этом разделе стоит оставить включенным лишь фильтр SmartScreen, отвечающий за защиту от зараженных сайтов.

Запрещаем системе «стучать»

В завершение пройдитесь по всем строчкам списка после раздела «Общие» и настройте параметры под себя. Так, в категории «Отзывы и диагностика» установите вариант «Никогда» для функции отправки отзывов, а ниже выберите «Базовые сведения».

Проверьте все настройки в «Параметрах конфиденциальности» Windows 10

Благодаря этому при возникновении ошибок Windows будет передавать в Microsoft сравнительно немного сведений, например, идентификатор устройства, версию Windows и данные об используемом оборудовании.

В разделе «Местоположение» вы решаете, стоит ли давать Windows 10 разрешение на определение вашего местоположения и на передачу этих сведений другим приложениям. Отключите эту опцию, а также удалите «Историю местоположений» ниже.

Кортана тише– конфиденциальность выше. Запретите голосовой помощнице Кортане отправлять ваши поисковые запросы в Microsoft для анализа

Голосовая ассистентка Кортана доступна лишь для английского и ряда других иностранных языков. Если вы используете в системе английский язык интерфейса, то эта опция, на первый взгляд, может показаться полезной.

Однако ее работа неразрывно связана с передачей пользовательских данных на серверы Microsoft, где производится их анализ. Если вы не собираетесь этого позволять, щелкните по «Start | Cortana». Теперь нажмите на шестеренку и отключите все функции, чтобы заставить помощницу замолчать.

Персонализированную рекламу от корпорации вы отключите из браузера. Для этого откройте страницу http://choice.microsoft.com/ru-RU/opt-out и в блоке «Персонализированная реклама в этом браузере» нажмите на кнопку «Включить». Она поменяет название на «Выключить».

По умолчанию Windows 10 также автоматически подключается к «предлагаемым открытым хот-спотам».

Если вы предпочитаете держать эту сферу под своим контролем, отключите данную опцию. Ее вы найдете через «Пуск | Параметры | Сеть и Интернет | Wi-Fi». Деактивируйте функцию в разделе «Контроль Wi-Fi». На некоторых системах здесь также находится возможность автоматического обмена доступа к сетям с контактами. Ее также желательно выключить из соображений безопасности.

Предотвращаем автоматическую перезагрузку

Windows 10 Домашняя после установки обновлений перезапускается самостоятельно без учета ваших пожеланий. Тем самым Microsoft планирует добиться максимально быстрой раздачи своих пакетов. Если вам не повезло, вы можете из-за этого потерять, к примеру, несохраненные изменения в документе Word.

> Microsoft, впрочем, добавила кнопку, с помощью которой вы можете задать «Период активности», во время которого система не будет перезагружаться автоматически. Интервал, однако, не превышает 12 часов, после чего ваш компьютер безжалостно перезагрузится. Для компьютеров, работающих дольше, этого времени недостаточно.

> RebootBlocker от программиста Ульриха Декера устанавливает службу Windows, которая автоматически сдвигает рамки этого временного окна. Благодаря этому решению нежелательная перезагрузка Windows 10 уходит в прошлое. Вы найдете RebootBlocker бесплатно на сайте udse.de/en/windows-10-reboot-blocker.

Служба Windows RebootBlocker Service препятствует перезагрузке Windows 10 без вашего разрешения

Приручаем операционную систему

Новый центр уведомлений в Windows 10 собирает сообщения, рекомендации и другие уведомления от приложений с вашего компьютера и постоянно их отображает. Если вам это надоело, вы можете перекрыть этот информационный поток. Щелкните по значку Windows в левом нижнем углу и выберите «Параметры».

Откройте «Систему», а затем «Уведомления и действия». Отсюда вы можете отключить уведомления: либо сразу все через «Получать уведомления от приложений и других отправителей» или же индивидуально для отдельных приложений и отправителей (для этого нужно спустится ниже).

Для обновлений Microsoft в Windows 10 выбрала другую тактику: так, основные настройки вы не найдете в одном месте — некоторые из них очень хорошо запрятаны. Воля корпорации такова, чтобы Windows 10 непрерывно обновлялась самостоятельно. Поэтому у пользователей версии Домашняя отсутствует прямая возможность отказаться от установки новых патчей или же отложить ее.

Откажитесь от раздачи обновлений другим пользователям

Автоматическое и постоянно нервирующее вас обновление приложений можно отменить через Магазин Windows. Здесь щелкните по своей картинке профиля в верхнем правом углу. Выберите «Настройки» и переключите опцию «Обновлять приложения автоматически» на «Откл.».

Дрессируем системные обновления

Чуть больше времени вам понадобится, чтобы ограничить автоматические обновления операционной системы. В принципе остались три возможности: отложить, ограничить или полностью отключить обновления.

Самым эффективным и при этом самым радикальным решением является деактивация службы, отвечающей за актуализацию Windows. Для этого нажмите на «Win + R» и введите «services.msc». Теперь отсортируйте список по параметру «Имя» и правой кнопкой мыши щелкните по строчке «Центр обновления Windows». В меню выберите «Свойства» и переключите «Тип запуска» на вариант «Отключена». Нажмите на «ОК», чтобы сохранить изменения.

Полный контроль за обновлениями. Отключите службу Центр обновления, чтобы отложить установку апдейтов.

Теперь Windows 10 перестанет устанавливать какие-либо обновления, в том числе и патчи безопасности. Поэтому периодически следует вспоминать про этот параметр и на время активировать данную службу. Две другие возможности, как отложить или ограничить обновления от Microsoft, мы описываем на странице goo.gl/K4mNzT.

Распределение обновлений забивает полосу пропускания и требует денежных расходов. Часть этой нагрузки Microsoft перевалила на пользователей Windows 10, которые в свою очередь, зачастую сами того не зная, становятся поставщиками обновлений для других пользователей. Это может привести к тому, что их собственное подключение к Сети существенно замедлится на время отдачи обновления.

Перейдите к «Пуск | Параметры | Обновление и безопасность». Здесь нажмите на «Дополнительные параметры», а затем на «Выберите, как и когда получать обновления», чтобы это остановить.

Настраиваем под себя интерфейс и Проводник

Прогноз погоды в виде «живой» плитки, конечно, полюбился многим, однако постоянная смена содержимого других плиток быстро начинает действовать на нервы. Прекратите эту неразбериху правым кликом по любому такому элементу и выбором пункта «Отключить живые плитки».

Бесплатное ПО Classic Shell предлагает на выбор несколько вариантов меню Пуск, напоминающие, среди прочего, Windows 7

Чтобы полностью удалить ненужные плитки, щелкните по ним правой кнопкой мыши и нажмите на «Удалить». Многим фанатам Windows сложно смириться с новым меню Пуск, и они предпочли бы просто избавится от него. Никаких проблем. Бесплатное приложение устанавливает меню, позволяющее настроить себя индивидуально и напоминающее о старых добрых временах.

Утилиту вы найдете по адресу classicshell.net. Если после установки щелкнуть по кнопке Пуск, появится запрос на выбор шаблона (см. выше).

Новые функции для Проводника

Помимо всего прочего, Classic Shell добавляет в Проводник Windows некоторые полезные значки, благодаря которым вы быстрее откроете опции папок или сможете оправить файлы по электронной почте. К слову о Проводнике Windows: прежде этот файловый менеджер предоставлял обзор подключенных к ПК дисков уже при запуске программы.

Манипуляции с Проводником. Одно изменение в Проводнике, и вы увидите объем свободного пространства

Под Windows 10 он, напротив, отображает только последние открытые файлы. Откройте «Вид | Параметры», чтобы изменить настройки. На вкладке «Общие» измените вариант для записи «Открыть проводник для» на «Этот компьютер».

Другая характерная особенность Windows 10 вывела многих пользователей на баррикады: эта операционная система периодически демонстрирует на экране блокировки рекламу. Ее вы также можете отключить. Для этого зайдите в «Пуск | Параметры» и нажмите на «Персонализацию».

Теперь перейдите к разделу «Экран блокировки» и для «Фона» установите вариант «Фото». Теперь немного спуститесь вниз и переведите переключатель «Интересные факты, подсказки и другая информация от Windows и Кортаны на экране блокировки» в положение «Откл.».

Переустановка без потери данных

Бывают ситуации, когда вернуть себе контроль Windows невозможно без ее полной переустановки. К счастью, осуществить это в «десятке» гораздо проще, чем в ее предшественницах.

Refresh Tool от Microsoft начисто переустанавливает Windows 10. Все личные файлы при этом сохраняются

> Свежее начало может потребоваться, если Windows 10 перестала работать так, как вам нужно, или же на новом компьютере обнаружено слишком много предустановленного ПО, которое вам мешает. Microsoft для этих целей разработала бесплатную утилиту Windows 10 Refresh Tool. Она не просто полностью переустанавливает операционную систему, но и сохраняет при этом нетронутыми персональные данные.

Источник