在Windows Vista中,微软一开始就对其处于操作系统核心地位的自主访问控制功能进行了扩展。主要的目的是为了在某些情形下实施强制(mandatory)访问控制。举例说明,执行某些动作必须要管理员权限,而在获取管理员权限之前在标准的用户权限识别管理基础上需要额外的授权。微软将这一新的架构扩展称为"强制完整性控制(MIC)"。
针对需要完成这种类似于强制访问控制的动作,MIC有效地实施了一组称为完整性等级(IL)的原则,并允许将其加入访问标识和ACL中,包括如下四个级别:
低;
中等;
高;
系统级。
像其他安全原则一样,IL安全等级也作为SID实施。在Vista和以后的版本中,除了标准的访问控制检查,Windows还会检查IL的安全等级标识与目标资源的IL等级一致。例如,一个中等IL进程也许会被"向上"禁止访问、修改和执行一个高等级IL的对象。MIC是建在Biba完整性模型基础上的(详见http://en.wikipedia.org/wiki/Biba_model)"上不可写,下不可读(no write up,no read down)"的原则来保护系统的完整性。这种思想与Bell和LaPadula为美国国防部开发的多级安全策略(MLS)模型(详见http://en.wikipedia.org/ wiki/Bell-LaPadula_model)刚好相反:"下不可写,上不可读(no write down,no read up)",用来保证机密性。
MIC并不直接可见,但却作为了Vista及之后的版本中几个最重要的安全功能--用户帐户控制(User Account Control,UAC)和低权限IE(Low Rights Internet Explorer(LoRIE)的基石。我们将通过简单讨论这两个功能来展示MIC是如何工作的。
UAC(在Vista的预发行版中称为Least User Access或LUA)或许是Vista最重要的安全功能之一。它的工作步骤如下:
1.开发人员将应用打上标记(application manifest)(从Windows XP开始就已经有该功能)并告诉操作系统该应用是否需要较高的权限。
2.LSA被修改,在登录时给具有管理员权限的帐户分配两个标识:过滤标识(filtered token)和连接标识(linked token)。过滤标识剥离了所有高等级权限(在msdn.microsoft.com/en-us/library/ aa379316(VS.85).aspx中描述在受限的标识机制)。
3.应用默认使用过滤标识运行,具有所有特权的连接标识只在应用标明必须要高等级权限的情况下才会使用。
4.如果不在管理员权限组,用户将被提示一个有特定权限的环境(其他功能都将变灰且不能使用),无论是否使用该软件都将提示他需要一定的授权。
假设应用开发者都遵循了正确的方法,Vista也就达到了强制访问控制的目的:特定的应用只有在高等级权限下才能运行。
UAC采用如下方式使用MIC:所有非管理员权限的用户进程默认在中等IL下运行。一旦某个进程通过了UAC,则进入高等级IL并能够访问Windows的某些对象。
MIC同样也是Vista上LoRIE运行的基础:IE进程(iexplore.exe)系统默认在低IL下运行,只能对低IL SID对象进行修改操作(默认下只能包括文件夹%USERPROFILE%\ AppData\LocalLow 和注册表键值HKCU\Software\AppDataLow)。因此,在默认状态下LoRIE无法对其他系统对象进行修改,这极大地减少了浏览因特网时该进程被控制而可能对系统造成的损害。
目前Vista的版本提供了未明确表明的程序使用高等级权限的备用方案,未来使用高等级权限的唯一方法就是必须在授权清单中且表明了其所需要的权限等级。
在用户帐户管理面板上,可以设置"取消使用用户帐户控制(UAC)"来关闭UAC。
安全研究人员Joanna Rutkowska写了一些有趣的批判Vista UAC和MIC的文章,参见http:// theinvisiblethings.blogspot.com/2007/02/running-vista-everyday.html。Windows技术专家Jesper Johansson则在他的博客上写了一些关于UAC很有见解的文章,见http://msinfluentials.com/blogs/jesper/。
扫一扫
1471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
