UAC原理及安全性分析.docVIP

UAC原理及安全性分析 　　【 摘 要 】 UAC是Windows为了保护用户进行越权操作所使用的保护措施。论文介绍了UAC的原理和所用技术，对UAC可能存在的安全隐患进行了分析，并根据不同的安全隐患提出了相应的应对办法，表明了微软的UAC虽然提升了用户的安全性，但还需要进行若干的改进，用户在使用UAC的同时也需要养成良好的安全意识。 中国论文网 /8/view-7179292.htm 　　【 关键词 】 用户账户控制；漏洞；安全性 　　1 引言 　　Windows操作系统一直为用户创造一个相对稳妥安全的工作环境，在Windows 2000开始，引入了一种名为“受限访问令牌（Restricted Token）”的技术，这种技术能够有效地限制应用程序的权限，Windows XP也应用了这种技术。但是在Windows Vista以前，Windows只设定了两种账户，一种普通账户，一种管理员账户。在普通账户登录下，用户的操作受到了很多限制，在管理员账户下，用户可以进行任何Windows赋予管理员权限的操作。在Windows Vista开始，以后的Windows版本中，出现了一种名叫用户账户控制（User Account Control，UAC）的技术，UAC对用户的操作进行了更多的限制，即使是管理员，也不能对系统进行危险的操作。 　　2 UAC原理 　　Windows有一个重要定义，叫做安全上下文（Security Context），安全上下文是用来定义某个进程可以有什么权限，能执行什么类型的操作。通过登录会话（Login Session）来决定安全上下文，维护安全上下文则需要应用访问令牌。登录会话意思是用户登录计算机的一个过程，从登录计算机开始，到登出计算机结束，为一个会话。登录会话能决定访问令牌，不同的登录会话将可能有不同的访问令牌，但是用户无法申请到当前登录会话更高的访问令牌。这个是UAC原理的最核心部分。 　　在Windows Vista及以后的操作系统中，用户有两种类型：普通用户和管理员。系统安装时会要求新建一个管理员，以后新建的用户则默认成为普通用户。普通用户是给那些只需要对计算机进行一般操作的用户，而管理员给对机器有完全控制权的用户。跟之前版本的Windows不同的是，在Windows Vista及以后版本中，在管理员登录下，如果想完全控制计算机需要用户手动允许访问。因此，当用户以管理员身份登录时，一些恶意行为也能够得到有效的防范，并不需要用户以普通用户身份登录，因为如果以普通用户登录，对用户的操作权限都会有很大的限制。 　　当普通用户登入计算机时，Windows会新建一个登录会话，该登录会话里的程序，例如Explorer.exe，会给用户颁发一个访问令牌。如果管理员登入计算机，Windows Vista及以后版本的处理方式却不同于先前版本。系统在创建登录会话时，不是像之前那样创建一个访问令牌，而是两个，一个令牌有管理员权限，能够授权管理员的一切操作，另一个令牌叫做“受限访问令牌”，该令牌所提供的权限可以说和普通用户登录会话令牌提供的权限相差无几，而且当管理员运行程序时，是该“受限访问令牌”起作用。 　　换句话说，当管理员用户登录系统时，其应用程序执行权限和普通用户基本没有区别。但是，若是该管理员需要执行受限访问令牌所不允许的其他一些需要高权限高许可权的操作，管理员可以选择非限制访问令牌提供的安全上下文来运行程序。这样一个提权操作，由受限访问令牌提升到非受限访问令牌，需要给管理员一个弹框提醒，由管理员手动确定之后，程序才能以管理员权限运行。这样，恶意代码如果对UAC没有进行特别的处理，则无法隐秘地对计算机造成危害。受限访问令牌的这个特性无缝地被集成到Windows Vista及以后的版本中，更好地保护了用户的安全。 　　UAC还有一个重要定义，叫做完整性级别（Integrity Levels），这是可以添加到进程和安全描述符（Security Descriptor）上的授权特性。程序员可以为所编写的程序在其安全描述符之内定义一个完整性级别。计算机本身运行的进程都有对应的完整性级别，根据该级别可以确定该进程允许访问的系统资源和权限。这种简单而且有效的特性，能够很好地将不同完整性级别的程序区分开，以获得不同级别的资源或者权限。 　　比如一名开发者开发一款程序，该程序需要从互联网等无法信赖的地方获取数据并进行处理。由于所获取的数据中有可能会存在恶意代码，所以采用一个特殊的保护层尤为重要。可以选取的一个有效的解决方法就是受限访问令牌，但是如果使用受限访问令牌，实现将会极其麻烦，因为必须判断哪些资源该程序能访问，哪些权限该程序具有，哪些需要用户交互完成，哪些资源必须完全禁用，为了实现程序的功能和安全性，使用受