A felhasználói felület jogosultságainak elkülönítése

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. január 14-én felülvizsgált verziótól ; az ellenőrzések 7 szerkesztést igényelnek .
Windows komponens
A felhasználói felület jogosultságainak elkülönítése
Tartalmazza Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 , Windows Server 2016
szolgáltatás leírása Hozzáférés szabályozása a rendszerfolyamatokhoz

A User Interface Privilege Isolation (UIPI ) a  Windows Vista és a Windows Server 2008 rendszerben bevezetett technológia a pusztító támadások leküzdésére . A kötelező integritás-ellenőrzés használatával megakadályozza, hogy az alacsonyabb integritási szintű folyamatok üzeneteket küldjenek magasabb integritási szinttel rendelkező folyamatoknak (kivéve a felhasználói felület üzeneteinek egy nagyon specifikus készletét). [1] Az ablaküzenetek célja a felhasználói műveletek továbbítása a folyamatokhoz. Használhatók azonban tetszőleges kód futtatására a fogadási folyamat kontextusában. Ezt kihasználhatja egy alacsony integritási szintű rosszindulatú folyamat, hogy tetszőleges kódot futtathasson egy magasabb integritási szinttel rendelkező folyamat kontextusában, ami jogosultság eszkalációt jelent . Az UIPI lehetővé teszi a rendszerek védelmét a felforgató támadásokkal szemben azáltal, hogy korlátozza a hozzáférést bizonyos vektorokhoz a kódvégrehajtás és az adatinjektálás céljából. [2]

Az UIPI és a kötelező sértetlenség általában biztonsági funkció, de nem biztonsági korlát. A nyilvános felhasználói felület alkalmazások megkerülhetik az UIPI-t, ha a jegyzékfájljuk részeként az „uiAccess” értéket IGAZ értékre állítja. Ennek a jelzőnek a Windows UIPI-ben történő beállításához azonban az alkalmazást a Program Files vagy a Windows könyvtárba kell telepíteni, és érvényes digitális aláírással kell rendelkeznie, és egy . Egy alkalmazás telepítéséhez ezen helyek bármelyikére legalább egy helyi rendszergazdai jogosultságokkal rendelkező felhasználóra van szükség, amely magas szintű integritású folyamatban fut.

Így a rosszindulatú programoknak , amelyek megpróbálnak olyan helyzetbe kerülni, ahol megkerülhetik az UIPI-t, a következőket kell tennie:

  1. Használjon érvényes tanúsítványt jóváhagyott engedélyezési kóddal.
  2. Támadás végrehajtása rendszergazdai jogokkal rendelkező felhasználó ellen
  3. Győzd meg a felhasználót, hogy erősítse meg a program futtatását rendszergazdaként az UAC ablakban .

A Microsoft Office 2010 UIPI-t használ a „Védett nézethez”, hogy megakadályozza, hogy a potenciálisan káros dokumentumok módosítsák a rendszer összetevőit, fájljait és egyéb erőforrásait. [3]

Lásd még

Jegyzetek

  1. Windows Vista alkalmazásfejlesztési követelményei a felhasználói fiókok felügyeletéhez (UAC)  (  elérhetetlen hivatkozás) . msdn2.microsoft.com. Letöltve: 2018. január 2. Az eredetiből archiválva : 2011. augusztus 23..
  2. Edgar Barbosa. Windows Vista UIPI (nem elérhető hivatkozás) . COSEINC (2011. október 22.). Letöltve: 2018. január 2. Az eredetiből archiválva : 2016. március 26. 
  3. Malhotra, Mike Védett nézet az Office 2010-ben . technet . Microsoft (2009. augusztus 13.). Letöltve: 2017. szeptember 22. Az eredetiből archiválva : 2017. február 2.