SEC以最少权限运行Windows地技巧.ppt

SEC 312以最少权限运行Windows的技巧 陈宇 软件设计工程师 Windows核心安全测试组 Microsoft yuchen@ 提要 为什么要以最少权限用户运行 如何以最少权限用户运行 演示 一些概念 管理员用户/非管理员用户 LUA 最少权限用户 “最少权限”原则 管理员能做, LUA不能做: 安装rootkit 安装keylogger 安装ActiveX控件,包括IE插件 安装/启动系统服务 停止系统服务(例如放火墙) 读取其它用户的文件 可以让任何人登录时运行某一特定程序 用“木马”程序替换系统程序 停止/卸载防毒软件 创建/修改用户帐号 重设用户口令 修改系统的配置文件(例如hosts) 删除系统的安全日志 使机器无法启动 …. 日常软件 互联网浏览器 (IE, FireFox) eMail软件 (Outlook Express) 即时消息(MSN Messenger, QQ) 网络游戏 媒体播放器 不只是Microsoft的问题, 也包括其它软件开发商 “但我需要管理我的机器…” 管理员权限　＝　双刃剑 平时以普通用户的身份运行 只在必要时提升成管理员身份 企业用户：不需管理员权限 给软件开发者的一个建议 以 “LUA”用户身份运行 更好的软件 及早发现bug 降低开发成本 养成好的使用习惯 LUA缺陷(bug) 只在管理员身份下才能运行 原因: 软件开发者开发时以管理员身份登录 “这个软件在我的机器上运行的好好的!” 增加软件开发成本 (过去)谁是坏蛋? MBA 候选??? (今天)谁是坏蛋? 有组织的犯罪集团 外国政府 不道德企业 恐怖份子 雇佣黑客 Malware(有害软件)能赚钱? “僵尸”机器(被黑客控制的机器) 发垃圾邮件 “拒绝服务”攻击 广告软件 身份窃取(信用卡号, 银行帐号) 商业间谍 政治/军事间谍 “我的机器很安全, 因为…” 我总是及时安装软件补丁 我总是及时更新防毒软件 我使用放火墙 我升级到Windows XP SP2 我在用Microsoft的反间谍软件包 我的密码很复杂 我从不打开陌生邮件里的附件 我从不去乱七八糟的网站 我从不随便安装软件 我有良好的判断力 我的机器从没被感染过 … 软件缺陷公布到被利用的间隔 – 0天 用户未来得及打补丁 软件补丁在公布当天就被黑客用反向工程分析出对应的软件缺陷 软件缺陷在补丁出来前被发现者公布 未知的软件缺陷 在公众知道软件缺陷前加以利用 Rootkit 是什么? 可以隐藏自己的软件 使操作系统欺骗用户 进行某些操作而不被用户察觉 通常在系统被侵占后被安装 Rootkit 可以: 隐藏信息: 进程 文件 注册表的键值 系统服务 驱动程序 用户帐号 网络端口和连接 修改安全令牌 隐藏其它后门 …看不见Rootkit 常用的诊断工具 DIR /A 任务管理器 性能查看器 Resource Kit 中的工具 Process Explorer (SysI) 反病毒软件 反间谍软件 一些新的工具正在出现 Rootkit Revealer (S) Blacklight (F-Secure) 道高一尺, 魔高一丈 SEC 212 病毒，间谍软件，广告软件和Rootkit Rootkit 和我有什么关系? 非管理员用户和Rootkit 许多 Rootkit 需要管理员权限 安装/加栽驱动程序 安装系统服务 劫持系统函数/中断 修改系统内核数据结构 LUA Rootkit (不需管理员权限) 容易发现 更难把自己隐藏/加入自动运行 只影响一个用户 在需要时才提升权限 快速用户切换 Windows XP Home (家庭版) 未加入域中的 Windows XP Pro (企业版) 每个用户有独立, 相互隔绝的登录 对家庭用户的建议 每个成员使用一个LUA帐号 不用管理员帐号登录 RunAs (运行方式/运行身份） 以另一个用户身份来运行一个程序 在同一个桌面上 命令行或图形界面 程序继承“父进程”的身份 以管理员身份运行CMD.EXE 在CMD窗口里运行其它程序 新进程也以管理员身份运行 RunAs 对话框 鼠标右击 程序，快捷方式 MMC (.msc) SHIFT+鼠标右击 控制窗口(.cpl) Microsoft Windows Installer RunAs 对话框 “运行身份”成为一个快捷方式的默任操作 RunAs 命令行 Runas /user:Administrator cmd.exe RunAs – 视觉区别 Runas.exe /u:administrator cmd.exe /k cd c:\ color fc title **** Admin **** RunAs – 视觉区别 给 IE 和 Explorer 设背