Windows Vista有趣标签SID

哎呀网 | 发布: 2008-6-19 10:18 | 作者: 佚名 | 来源: 网络转载 | 浏览次数: 372 | 评论数: 0

哎呀网 Vista应用Label SID,将其翻译为标签SID,诸君别嫌土啊。这个东东是WindowsVista新引入的一个安全主体。我们知道在Windows Vista,进程和资源对象都划分等级的(完整性级别)。等级低的进程不够资格写入等级高的资源对象,哪怕访问控制列表(ACL)允许也不行。

S%L(}t `ux `W h  在Windows Vista中,安全机制有了很大的改进,不仅仅看ACL。这就好比男女双方求爱,除了看对方的经济收入等条件(相当于ACL),还要看是否门当户对(相当于完整性级别)。哎呀网$fQ%jufa

哎呀网\5n Z1Y$s'xx:r

  想必您已经知道如何查看和设置资源对象的完整性级别(可以用icacls或者AccessChk命令)。哎呀网b:D4DNQ?0B

哎呀网H`G(b/j'u

  那么进程呢?相信您已经知道,就是所谓的标签SID。哎呀网 RB8]A(`

哎呀网8r:B*g:k#ey

  标签SID的实质

-@T D.PEz哎呀网JK!Z&`1BZ

  标签SID位于进程的访问令牌里,用来标识进程的完整性级别。进程要访问资源对象(例如某个文件夹)时,就亮出它的访问令牌。文件夹就会检查令牌里的标签SID,看看级别是否足够。如果级别比自己还低,对不起,您只能读取,不能写入。

^:j @$sB Zk'KR*X哎呀网b4y&A1|(j"{

  可以用Process Explorer查看进程的访问令牌,从而查看某个进程的标签SID。附图就是一个进程的访问令牌。其中红色部分显示其标签SID是“Mandatory Label\Medium Mandatory Level”,表明该进程的完整性级别为“中级”。蓝色部分显示该进程并不拥有管理员的运行身份(Administrators标记为Deny),同时只有五个特权。哎呀网1WP!kQbOob

e"Qv5_1J&d,X  完全可以想像,如果进程的完整性级别是高级(标签SID为Mandatory Label\High Mandatory Level),该进程应该拥有管理员的运行身份(Administrators标记为Owner),同时拥有约24个特权。哎呀网kZ"m-Wa7[M

"e6CD0wE2q0bLinux的对比

L+wN5u.X y u^ B'_(d

M)N Q_'`:iB  利用完整性级别这样的安全机制,Windows Vista就可以获得更高的安全。这样的机制类似于开源的MAC机制,例如Red Hat的SELinux。两者总体上各有千秋,但是窃以为比SELinux更加灵活,对用户的干扰也要小的多。在MAC下,用户有时候必须自己定义进程和资源的“类型”,否则进程工作可能会不正常。

DnUcQ2s?+_u

2f M,t^"Il  标签SID的其他作用哎呀网"@[,pM:{$m.] _#UxK g

哎呀网M.P]x1w;D vs

  标签SID除了可以判断进程的访问权限外。还可以用来帮助决策UAC是否弹出权限提升对话框。

:~HGwxRyT1S哎呀网&H?Si6yR4}'D y"GV

  默认情况下,如果某个进程需要管理员特权,则系统会查看其父进程的标签SID,如果是“中级”,则会弹出权限提升对话框。如果是“高级”,则不会弹出对话框。

v%l^`C'} j哎呀网3V-~5k9?#E

  由于绝大多数用户进程的父进程是Explorer,其标签SID为“中级”,所以会弹出权限提升对话框。哎呀网a'f T4Z2dcq

哎呀网z%j3|*Ao

  以管理员身份打开“命令提示符”窗口,然后再在其下运行需要管理员特权的进程,这时候不会弹出权限提升对话框。因为父进程cmd.exe的标签SID是“高级”。哎呀网g F-@c abmW

b2aE"b0Rc  有趣的特例

'wHrRh-T,v

5j$mr:@5y(z*fNuQ;V  我们可以做一个实验,来欺骗Windows Vista的安全机制。在Process Explorer里单击File→Run as Limited User,然后在打开的对话框里输入“CMD”并回车,如附图所示。哎呀网-W.B `2e v \~

哎呀网K }d1F4M4E

  这时候会弹出一个很“另类”的命令提示符窗口。该命令提示符进程的标签SID是“高级”,但是实际上却是标准用户权限。不信?且看其访问令牌:

[5s"y,v[9s哎呀网5Ke!Y%J?

  在红色部分我们可以看到,其标签SID是“Mandatory Label\High Mandatory Level”(完整性级别为“高级”),但是却并不拥有管理员的运行身份(Administrators标记为Deny),同时只有五个特权(查看蓝色部分)。

_5E4~J*Y:G\'q

6`YX,f]在这个“另类”的命令提示符下运行某个需要管理员特权的任务,例如“服务”管理单元,会发生什么情况?哎呀网wO|[0L&lf6U `)W

u"D@q9S+WfS  系统根本不会弹出提升权限对话框,直接启动“服务”管理单元。这是因为UAC系统会根据父进程的标签SID来判定是否需要弹出权限提升对话框。哎呀网,{)g.ZH8y{8Z1k] s

哎呀网]+e)ANF

  但是打开的这个“服务”管理单元也一样“另类”,Windows显然已经认为这是一个管理员进程(因为其标签SID为高级),但是实际上只有标准用户权限,我们什么操作几乎都不能做。哎呀网Zc"K vpL

哎呀网(f&X j f,MFW5S4i

  安全影响哎呀网AF~/Q| g?

'w/R&i V rx0~0L.K  Windows Vista的UAC只根据父进程的标签SID来判断是否应该提升权限,看上去似乎有点弱智。但是实际上由于这种操作的可能性很低,所以影响很小。哎呀网\f7H~-\F;N

哎呀网.r!IHCI U

  还有一个需要有趣的地方是,这种“另类”的进程虽然只有标准用户权限,但是完整性级别却是“高级”,所以这些进程可以通过代码注入等手段获取管理员权限,这和Windows 2000/XP的情况是一致的。

"r`Z }+UWp%G

#q*Lk%M3Rnu:C  不过攻击者想要利用这种方法绕开UAC的限制,几乎是不可能的,因为构建这样的访问令牌,本身需要管理员特权。所以用户大可不必担心。

)@MmR|gl
若您对该文章还有其它疑问,请到问吧提出。我们会全力为您解答。本站承诺:

TAG: Vista vista Windows SID

字号: | 推荐给好友

哎呀网加入收藏 哎呀网打印本页 哎呀网关闭窗口 哎呀网返回顶部 哎呀网进入博客 哎呀网进入论坛 哎呀网点击复制本页地址发给QQ/MSN好友
上一篇:Vista系统IE下支付宝控件、证书的相关使用问题大全
下一篇:三招两式 驯服Vista网上邻居

 

评分:0

我来说两句

seccode

请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。
严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。
用户需对自己在使用本站服务过程中的行为承担法律责任(直接或间接导致的),本站管理员有权保留或删除评论内容。

相关阅读

精华推荐
软件信息
最新版本:V3.0.2
发布日期:2008年10月26日
全能精灵是一款系统辅助工具,包含系统检测,系统优化,系统美化,系统清理,系统维护,IE管理,进程管理等模块,是您优化系统的好帮手。
立即下载全能精灵! 已有超过22685人下载
软件信息
最新版本:V1.4
发布日期:2008年11月28日
截图精灵是一款屏幕截图软件。可轻松截取全屏,活动窗口,自定义窗口等的图像。
立即下载截图精灵! 已有超过1880人下载
软件信息
最新版本:V2.2
发布日期:2008年11月26日
该工具可对文件进行MD5,CRC32的批量校验,同时支持文件拖放,您可以直接拖动文件到校验窗口。
立即下载校验大师! 已有超过1201人下载
内容正在更新
相关内容正在更新

最新更新

网络推荐

哎呀网 | 交流论坛 | 快捷面板 | 站点地图 | 友情链接 | 空间列表 | 站点存档 | 版权声明 | 官方日志 | 关于我们 | 内容合作 | 网站报错 | 联系我们