首頁(yè) 新隨筆新文章聯(lián)系聚合

2014年9月

>

日

一

二

三

四

五

六

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

常用鏈接

留言簿(40)

隨筆分類(lèi)

隨筆檔案

友情鏈接

Kenny Kerr
The Old New Thing
代碼瘋子
酷殼
劉未鵬
阮一峰的博客
云風(fēng)

閱讀排行榜

評(píng)論排行榜

淺析Windows安全相關(guān)的一些概念

Session

我們平常所說(shuō)的Session是指一次終端登錄, 這里的終端登錄是指要有自己的顯示器和鼠標(biāo)鍵盤(pán)等，它包括本地登錄和遠(yuǎn)程登錄。在XP時(shí)代每次終端登錄才會(huì)創(chuàng)建一個(gè)Session，但是在Vista后所有的服務(wù)程序都運(yùn)行在Session 0，其他終端會(huì)依次運(yùn)行在session 1, session 2...

Logon Session

登錄Session是指不同帳號(hào)的登錄，它包括System登錄，網(wǎng)絡(luò)登錄及活動(dòng)交互登錄等。我們?cè)谌蝿?wù)管理器里可以看到各種進(jìn)程運(yùn)行在不同的帳號(hào)下，比如System， Local Service， xxx Account等，這些帳號(hào)有不同的權(quán)限。這里要注意區(qū)分上面的終端登錄Session，每個(gè)終端登錄Session內(nèi)有好幾個(gè)Logon Session.

Window Station

按MSDN的說(shuō)法，一個(gè)Window Station管理一個(gè)剪貼板(Clipboard)，一個(gè)原子表(Atom Table)和一組桌面(Desktop)。為什么要有Window Station這個(gè)概念？實(shí)際上每個(gè)Window Station對(duì)應(yīng)一個(gè)Logon Session，也就是說(shuō)通過(guò)Window Station，把不同的帳號(hào)進(jìn)行隔離，防止他們相互影響，試想其他人在你機(jī)器上執(zhí)行一個(gè)DCOM對(duì)象，如果沒(méi)有Window Station隔離，他可以直接操作你的桌面了。一個(gè)終端登錄Session可以有多個(gè)Window Station，但只能有一個(gè)可交互的活動(dòng)Window Station，也就是Winsta0.

Desktop

每個(gè)Window Station可以創(chuàng)建多個(gè)Desktop，我們平時(shí)和3個(gè)Desktop打交道比較多(WinLogon, Disconnect, Default), 他們分別代表登錄桌面，屏保桌面和我們工作的桌面。我們也可以自己通過(guò)CreateDesktop創(chuàng)建桌面，并通過(guò)SwitchDesktop進(jìn)行切換。

Sid

Sid表示Security Identifier, 它是一串唯一標(biāo)志符，它可以表示代表一個(gè)帳號(hào)，一個(gè)用戶組或是一次用戶登錄等，具體可以參考這里

Token

Token和進(jìn)程相關(guān)聯(lián)，每個(gè)進(jìn)程創(chuàng)建時(shí)都會(huì)根據(jù)Logon Session權(quán)限由LSA（Local Security Authority)分配一個(gè)Token(如果CreaeProcess時(shí)自己指定了Token, LSA會(huì)用該Token，否則就用父進(jìn)程Token的一份拷貝,由大部分進(jìn)程是由Explorer.exe創(chuàng)建，所以我們大部分時(shí)候都復(fù)制了explorer.exe的Token)，里面含有該進(jìn)程的安全信息，包括用戶帳號(hào)，組信息，權(quán)限信息和默認(rèn)安全描述符(Security Descriptor)等，我們可以通過(guò)GetTokenInformation查詢某個(gè)Token的詳細(xì)情況。具體可以參考這里

DACL和SACL

DACL(discretionary access control list)用來(lái)標(biāo)志某個(gè)安全對(duì)象允許被哪些對(duì)象訪問(wèn)。SACL(system access control list )用來(lái)記錄某個(gè)安全對(duì)象被訪問(wèn)的情況。具體可以參考這里

Security Descriptor

每個(gè)安全對(duì)象在創(chuàng)建時(shí)都可以指定一個(gè)安全描述符(Security Descriptor), 如果沒(méi)有指定就用進(jìn)程默認(rèn)的，該描述符指定了哪些對(duì)象可以訪問(wèn)該安全對(duì)象。大部分情況下我們都是傳NULL，也就是用該進(jìn)程Token中默認(rèn)的。具體可以參考這里

Integrity level

這是UAC提供的新特性，強(qiáng)制完整性控制(Mandatory Integrity Control), 它標(biāo)志某進(jìn)程的安全性級(jí)別，安全級(jí)別的高低很大程度和該標(biāo)志相關(guān)聯(lián)。

下面的圖表示了Session， Window Station和Desktop的關(guān)系：

下面的圖表示當(dāng)某程序試圖訪問(wèn)某個(gè)安全對(duì)象時(shí)，系統(tǒng)是如何檢測(cè)的：系統(tǒng)會(huì)檢測(cè)Object的DACL列表，根據(jù)當(dāng)前進(jìn)程的Token，判斷當(dāng)前進(jìn)程（線程）是否允許訪問(wèn)該Object。

我們用Process Explorer查看某個(gè)進(jìn)程的屬性時(shí)， Security頁(yè)的信息如何理解？

User和SID項(xiàng)表示創(chuàng)建該進(jìn)程的用戶情況，可以通過(guò)GetTokenInformation, 將第二個(gè)參數(shù)指定成TokenInformationClass來(lái)查詢。

Session項(xiàng)上面提到過(guò)了，表示終端登錄session ID，可以通過(guò)GetTokenInformation, 將第二個(gè)參數(shù)指定成TokenSessionId來(lái)查詢，也可以通過(guò) API ProcessIDToSessionID來(lái)獲取

Logon Session表示Logon Session的authority id, 可以通過(guò)GetTokenInformation，將第二個(gè)參數(shù)指定成TokenStatistics來(lái)查詢。系統(tǒng)登錄的Logon Session id是999(0x3E7), 這里要區(qū)分還有一個(gè)概念是Logon Session SID，他們是不同的概念，前者某種程度上反映了Logon Session的類(lèi)型，后則是某次登陸的標(biāo)志（SID）。

Virtualized是Vista之后才有的概念，表示該程序是否啟用了UAC virtualization, 對(duì)于沒(méi)有指定manifest的老程序會(huì)使用數(shù)據(jù)重定向機(jī)制。可以通過(guò)GetTokenInformation的TokenVirtualizationAllowed/TokenVirtualizationEnabled來(lái)查詢。

Group是指該用戶所在的用戶組。我們可以看到盡管我們的用戶在Administrators組里，但是上面卻顯示是Deny的，為什么？因?yàn)樵赩ista之后， UAC打開(kāi)時(shí)，除非我們顯式的Run As Admin，否則我們的程序都默認(rèn)運(yùn)行在標(biāo)準(zhǔn)用戶權(quán)限下。同時(shí)我們注意到上面還有Mandatory label\Medium Mandatory Level項(xiàng)，表示該程序運(yùn)行的完整性級(jí)別，它包括Untrust， Low， Medium， Hight， System等，級(jí)別越低，權(quán)限也就越低。我們可以通過(guò)GetTokenInformation的TokenIntegrityLevel來(lái)進(jìn)行查詢。

Privilege表示該進(jìn)程的權(quán)限，我們可以看到好多權(quán)限默認(rèn)是Disabled, 實(shí)際上我們可以通過(guò)AdjustTokenPrivileges進(jìn)行提升。我們可以通過(guò)GetTokenInformation的TokenPrivileges進(jìn)行查詢。

Kernel Object， User Object， GDI Object的使用范圍？

Kernel Object可以跨進(jìn)程使用，如果指定成Global，還可以跨session. XP時(shí)代即使不指定成Global，服務(wù)程序和普通應(yīng)用程序也可以通過(guò)Kernel Object通訊，但是Vista之后就不行了，因?yàn)樗麄冊(cè)诓煌腟ession了。

User Object可以跨進(jìn)程使用，但是User Object的使用范圍是Window Station，它不能垮Window Station，更別說(shuō)跨session了。我們看不到服務(wù)程序彈出的界面，那是因?yàn)榉?wù)程序和我們的桌面運(yùn)行在不同的Window Station，除非你指定“允許服務(wù)程序與桌面交互”，顯式讓服務(wù)程序運(yùn)行在活動(dòng)桌面的Window Station (WinStat0) 。

GDI Object只有在創(chuàng)建它的進(jìn)程里有效。

怎樣以管理員的身份運(yùn)行某個(gè)程序？

其實(shí)就是右鍵Run as Admin, UAC打開(kāi)時(shí)會(huì)有確認(rèn)窗口。

::ShellExecute(0, L"runas",L"C:\\Windows\\Notepad.exe",0,0,SW_SHOWNORMAL);

如何判斷當(dāng)前進(jìn)程是否運(yùn)行在管理員賬號(hào)下？

這里包含2個(gè)概念一個(gè)是運(yùn)行程序的賬號(hào)是管理員賬號(hào)，另外一個(gè)是當(dāng)前運(yùn)行的環(huán)境是管理員環(huán)境。

我們下面的Am_I_In_Admin_Group(TRUE)相當(dāng)于Windows API IsUserAnAdmin()

//如果bCheckAdminMode是TRUE，則除了檢測(cè)Admin賬號(hào)外，還檢測(cè)是真的運(yùn)行在Admin環(huán)境，否則只是檢測(cè)Admin賬號(hào)。

BOOL Am_I_In_Admin_Group(BOOL bCheckAdminMode /*= FALSE*/)

{

BOOL fAdmin;

HANDLE hThread;

TOKEN_GROUPS *ptg = NULL;

DWORD cbTokenGroups;

DWORD dwGroup;

PSID psidAdmin;

SID_IDENTIFIER_AUTHORITY SystemSidAuthority= SECURITY_NT_AUTHORITY;

if ( !OpenThreadToken ( GetCurrentThread(), TOKEN_QUERY, FALSE, &hThread))

{

if ( GetLastError() == ERROR_NO_TOKEN)

{

if (! OpenProcessToken ( GetCurrentProcess(), TOKEN_QUERY,

&hThread))

return ( FALSE);

}

else

return ( FALSE);

}

if ( GetTokenInformation ( hThread, TokenGroups, NULL, 0, &cbTokenGroups))

return ( FALSE);

if ( GetLastError() != ERROR_INSUFFICIENT_BUFFER)

return ( FALSE);

if ( ! ( ptg= (TOKEN_GROUPS*)_alloca ( cbTokenGroups)))

return ( FALSE);

if ( !GetTokenInformation ( hThread, TokenGroups, ptg, cbTokenGroups,

&cbTokenGroups) )

return ( FALSE);

if ( ! AllocateAndInitializeSid ( &SystemSidAuthority, 2,

SECURITY_BUILTIN_DOMAIN_RID,

DOMAIN_ALIAS_RID_ADMINS,

0, 0, 0, 0, 0, 0, &psidAdmin) )

return ( FALSE);

fAdmin= FALSE;

for ( dwGroup= 0; dwGroup < ptg->GroupCount; dwGroup++)

{

if ( EqualSid ( ptg->Groups[dwGroup].Sid, psidAdmin))

{

if(bCheckAdminMode)

{

if((ptg->Groups[dwGroup].Attributes) & SE_GROUP_ENABLED)

{

fAdmin = TRUE;

}

else

{

fAdmin = TRUE;

}

break;

}

FreeSid ( psidAdmin);

return ( fAdmin);

}

如何提升權(quán)限？

注意只有原來(lái)是Disable的權(quán)限才可以提成Enable，如果原來(lái)就沒(méi)有這個(gè)權(quán)限，是提不上去的。

BOOL EnablePrivilege(HANDLE hToken, LPCTSTR lpszPrivilegeName)

{

TOKEN_PRIVILEGES tkp = {0};

BOOL bRet = LookupPrivilegeValue( NULL, lpszPrivilegeName, &tkp.Privileges[0].Luid );

if(!bRet) return FALSE;

tkp.PrivilegeCount = 1;

tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

bRet = AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL );

return bRet;

}

如何判斷用戶的進(jìn)程完整性級(jí)別？

該信息包含在Integrity Level的SID里，通過(guò)GetTokenInformation，第二個(gè)參數(shù)設(shè)置成TokenIntegrityLevel，大概代碼如下，詳細(xì)可以參考后面下載的源代碼。

void CIntegrityLevel::Print(std::wostream& os) const

{

SID* pSid = (SID*)m_pIntegrity->Label.Sid;

DWORD rid = pSid->SubAuthority[0];

LPCTSTR lpszIntegrity = L"Unknown";

switch (rid)

{

case SECURITY_MANDATORY_UNTRUSTED_RID:

{

lpszIntegrity = L"Untrusted";

break;

}

case SECURITY_MANDATORY_LOW_RID:

{

lpszIntegrity = L"Low";

break;

}

case SECURITY_MANDATORY_MEDIUM_RID:

{

lpszIntegrity = L"Medium";

break;

}

case SECURITY_MANDATORY_MEDIUM_PLUS_RID:

{

lpszIntegrity = L"Medium +";

break;

}

case SECURITY_MANDATORY_HIGH_RID:

{

lpszIntegrity = L"High";

break;

}

case SECURITY_MANDATORY_SYSTEM_RID:

{

lpszIntegrity = L"System";

break;

}

default:

{

lpszIntegrity = L"XXXXX";

}

os << L"Integrity: " << lpszIntegrity << endl;

}

如何指定程序默認(rèn)啟動(dòng)運(yùn)行的級(jí)別？

在VC里配置Manifest文件。
asInvoker：默認(rèn)選項(xiàng)，新的進(jìn)程將簡(jiǎn)單地繼承其父進(jìn)程的訪問(wèn)令牌
highestAvailable：應(yīng)用程序會(huì)選擇該用戶允許范圍內(nèi)盡可能高的權(quán)限。對(duì)于標(biāo)準(zhǔn)用戶來(lái)說(shuō)，該選項(xiàng)與asInvoker一樣，而對(duì)于管理員來(lái)說(shuō)，這就意味著請(qǐng)求Admin令牌。
requireAdministrator：應(yīng)用程序需要Admin令牌。運(yùn)行該程序時(shí)，標(biāo)準(zhǔn)用戶將要輸入管理員的用戶名和密碼，而管理員則要在彈出的確認(rèn)對(duì)話框中進(jìn)行確認(rèn)。

上面只是我自己的一些理解和總結(jié)，由于不是專門(mén)搞安全相關(guān)的，如果有不正確的地方，歡迎指正。

部分資料： Designing Applications to Run at a Low Integrity Level

注，這是部分測(cè)試代碼：MySecurityTest

posted on 2013-08-25 07:58 Richard Wei 閱讀(11017) 評(píng)論(3) 編輯收藏引用所屬分類(lèi): windows desktop

FeedBack:

# re: 淺析Windows安全相關(guān)的一些概念

2013-09-03 09:15 | bukebushuo

高手啊，學(xué)習(xí)了回復(fù) 更多評(píng)論

# re: 淺析Windows安全相關(guān)的一些概念

2013-09-03 21:57 | Richard Wei

@bukebushuo
不敢，最近工作中用到這塊東西，所以花點(diǎn)時(shí)間總結(jié)了下，順便分享回復(fù) 更多評(píng)論

# re: 淺析Windows安全相關(guān)的一些概念[未登錄](méi)

2015-11-06 01:53 | squall

學(xué)習(xí)了！

現(xiàn)在搞vc的越來(lái)越少了，但高手都在這個(gè)圈子啊。。回復(fù) 更多評(píng)論

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。


相關(guān)文章: Windows內(nèi)存小結(jié) Windows系統(tǒng)機(jī)制筆記 GDI VS Dxgi Windows進(jìn)程筆記深入解析結(jié)構(gòu)化異常處理(SEH) 如何給開(kāi)源的DUILib支持Accessibility 如何在桌面上透明的繪畫(huà) 如何檢測(cè)資源泄露如何基于純GDI實(shí)現(xiàn)alpha通道的矢量和文字繪制如何抓取揚(yáng)聲器的聲音

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

常用鏈接

留言簿(40)

隨筆分類(lèi)

隨筆檔案

友情鏈接

最新評(píng)論

閱讀排行榜

評(píng)論排行榜