Windows Vista for Developers——第四部分:用户帐号控制(User Account Control,UAC)
作者:Kenny Kerr
翻译:Dflying Chen
请同时参考《Windows Vista for Developers》系列。
自从Windows 2000以来,Windows开发者一直试图为用户创造一个安全稳妥的工作环境。Windows 2000引入了一种名为“受限访问令牌(Restricted Token)”的技术,能够有效地限制应用程序的许可和权限。Windows XP则在安全方面更进一步,不过对于普通用户来讲,这种安全控制却并不是那么的深入人心……直到现在为止还是如此。不管你最初反对的理由是什么,现在用户帐号控制(User Account Control,UAC)就摆在你的面前,其实它并不像批评中所说的那样一无是处。作为开发者的我们有责任掌握这项技术,进而让我们所开发的Vista应用程序不会总是弹出那些“讨厌”的提示窗口。
在《Windows Vista for Developers》系列文章的第四部分中,我们将从实际出发探索一下UAC的功能,特别是如何以编程方式使用这些特性。
什么是安全上下文(Security Context)?
安全上下文指的是一类定义某个进程允许做什么的许可和权限的集合。Windows中的安全上下文是通过登录会话(Logon Session)定义的,并通过访问令牌维护。顾名思义,登录会话表示某个用户在某台计算机上的某次会话过程。开发者可以通过访问令牌与登录会话进行交互。访问令牌所有用的许可和权限可以与登录会话的不同,但始终是它的一个子集。这就是UAC工作原理中的最核心部分。
那么UAC的工作原理是什么呢?
在Windows Vista操作系统中,有两种最主要的用户帐号:标准用户(stand user)和管理员(administrator)。你在计算机上创建的第一个用户将成为管理员,而后续用户按照默认设置将成为标准用户。标准用户用来提供给那些不信任自己能够控制整个计算机的用户,而管理员则为那些希望能够完全控制计算机的用户所准备。与先前版本的Windows不同,在Windows Vista中,你不再需要以标准用户的身份登录到系统中以便防止某些恶意代码/程序的恶意行为。标准用户和管理员的登录会话拥有同样的保护计算机安全的能力。
当一个标准用户登录到计算机时,Vista将创建一个新的登录会话,并通过一个操作系统创建的、与刚刚创建的这个登录会话相关联的shell程序(例如Windows Explorer )作为访问令牌颁发给用户。
而当一个管理员登录到计算机时,Windows Vista的处理方式却与先前版本的Windows 有所不同。虽然系统创建了一个新的登录会话,但却为该登录会话创建了两个不同的访问令牌,而不是先前版本中的一个。第一个访问令牌提供了管理员所有的许可和权限,而第二个就是所谓的“受限访问令牌”,有时候也叫做“过滤访问令牌(filtered token)”,该令牌提供了少得多的许可和权限。实际上,受限访问令牌所提供的访问权限和标准用户的令牌没什么区别。然后系统将使用该受限访问令牌创建shell应用程序。这也就意味着即使用户是以管理员身份登录的,其默认的运行程序许可和权限仍为标准用户。
若是该管理员需要执行某些需要额外许可和权限的、并不在受限访问令牌提供权限之内的操作,那么他/她可以选择使用非限制访问令牌所提供的安全上下文来运行该应用程序。在由受限访问令牌“提升”到非限制访问令牌的过程中,Windows Vista将通过给管理员提示的方式确认该操作,以其确保计算机系统的安全。恶意代码不可能绕过该安全提示并在用户不知不觉中得到对计算机的完整控制。
正如我前面提到的那样,受限访问令牌并不是Windows Vista中的新特性,但在Windows Vista中,该特性终于被无缝地集成到用户的点滴操作中,并能够实实在在地保护用户在工作(或游戏)时的安全。
受限访问令牌
虽然在通常情况下,我们不用自行创建受限访问令牌,但了解其创建的过程却非常有用,因为它可以帮助我们更好地理解受限访问令牌能够为我们做什么,进而更深入地了解我们的程序将运行于的环境。作为开发者,我们可能需要创建一个比UAC提供的更为严格的约束环境,这时了解如何创建受限访问令牌就显得至关重要了。
这个名副其实的CreateRestrictedToken 函数用来根据现有的访问令牌的约束创建一个新的访问令牌。该令牌可以用如下的方式约束访问权限:
- 通过指定禁用安全标示符(deny-only security identifier,deny-only SID)限制访问需要被保护的资源。
- 通过指定受限SID实现额外的访问检查。
- 通过删除权限。
UAC所使用的受限访问令牌在创建时指定了禁用SID并删除了某些权限,而并没有使用受限SID。让我们通过一个简单示例说明这一点。第一步就是得到当前正在使用的访问令牌,以便稍后进行复制并基于它删除某些权限:
CHandle processToken;
VERIFY(::OpenProcessToken(::GetCurrentProcess(),
TOKEN_DUPLICATE | TOKEN_ASSIGN_PRIMARY | TOKEN_QUERY,
&processToken.m_h));
接下来需要搞定需要禁用的SID数组,以确保这些SID不能被用来访问资源。下面的代码使用了我编写的WellKnownSid 类创建系统内建的管理员组的SID。WellKnownSid 类可以在本文的下载代码中找到。
WellKnownSid administratorsSid = WellKnownSid::Administrators();
SID_AND_ATTRIBUTES sidsToDisable[] =
{
&administratorsSid, 0
// add additional SIDs to disable here
};
Next we need an array of privileges to delete. We first need to look up the privilege’s LUID value:
LUID shutdownPrivilege = { 0 };
VERIFY(::LookupPrivilegeValue(0, // local system
SE_SHUTDOWN_NAME,
&shutdownPrivilege));
LUID_AND_ATTRIBUTES privilegesToDelete[] =
{
shutdownPrivilege, 0
// add additional privileges to delete here
};
然后即可调用CreateRestrictedToken 函数创建该受限访问令牌:
CHandle restrictedToken;
VERIFY(::CreateRestrictedToken(processToken,
0, // flags
_countof(sidsToDisable),
sidsToDisable,
_countof(privilegesToDelete),
privilegesToDelete,
0, // number of SIDs to restrict,
0, // no SIDs to restrict,
&restrictedToken.m_h));
这样,我们指定了SE_GROUP_USE_FOR_DENY_ONLY 标记所得到的访问令牌就将包含内建的管理员组的SID,不过这些SID是用来禁用,而不是用来允许访问的。我们还剥夺了该访问令牌的SeShutdownPrivilege 权限,保证该令牌不能重新启动、休眠或关闭计算机。
若你觉得很有意思,那么可以尝试做个小实验。将上面的代码拷贝到某个控制台应用程序中,然后添加如下的CreateProcessAsUser 函数调用,并相应地更新代码中Windows Explorer可执行程序的路径:
STARTUPINFO startupInfo = { sizeof (STARTUPINFO) };
ProcessInfo processInfo;
VERIFY(::C
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
