[zt]Windows Vista有趣的标签SID

Published on 2007 - 06 - 01

文章来源:http://blogs.itecn.net/blogs/ahpeng

Label SID,盆盆将其翻译为标签SID,诸君别嫌土啊。这个东东是Windows Vista新引入的一个安全主体。在Mark Russinovich的博客文章《Windows Vista用户帐户控制、PsExec和安全边界》中,我们知道在Windows Vista,进程和资源对象都划分等级的(完整性级别)。等级低的进程不够资格写入等级高的资源对象,哪怕访问控制列表(ACL)允许也不行。

盆盆评述 在拙作《Windows Vista IE保护模式深入剖析》中做过一个形象的比喻。在Windows Vista中,安全机制有了很大的改进,不仅仅看ACL。这就好比男女双方求爱,除了看对方的经济收入等条件(相当于ACL),还要看是否门当户对(相当于完整性级别)。

看了Mark Russinovich的文章,想必您已经知道如何查看和设置资源对象的完整性级别(可以用icacls或者AccessChk命令)。

那么进程呢?Mark的文章里没提到,相信您已经知道,就是所谓的标签SID,呵呵,太有才了:)

标签SID的实质

标签SID位于进程的访问令牌里,用来标识进程的完整性级别。进程要访问资源对象(例如某个文件夹)时,就亮出它的访问令牌。文件夹就会检查令牌里的标签SID,看看级别是否足够。如果级别比自己还低,对不起,您只能读取,不能写入。

可以用Process Explorer查看进程的访问令牌,从而查看某个进程的标签SID。附图就是一个进程的访问令牌。其中红色部分显示其标签SID是“Mandatory Label\Medium Mandatory Level”,表明该进程的完整性级别为“中级”。蓝色部分显示该进程并不拥有管理员的运行身份(Administrators标记为Deny),同时只有五个特权。

完全可以想像,如果进程的完整性级别是高级(标签SID为Mandatory Label\High Mandatory Level),该进程应该拥有管理员的运行身份(Administrators标记为Owner),同时拥有约24个特权。

和Linux的对比

利用完整性级别这样的安全机制,Windows Vista就可以获得更高的安全。这样的机制类似于开源的MAC机制,例如Red Hat的SELinux。两者总体上各有千秋,但是窃以为比SELinux更加灵活,对用户的干扰也要小的多。在MAC下,用户有时候必须自己定义进程和资源的“类型”,否则进程工作可能会不正常。更具体的对比,可以参考盆盆回复在远景上的帖子(该贴已经有2万6千个访问量,寒一个~)

标签SID的其他作用

标签SID除了可以判断进程的访问权限外。还可以用来帮助决策UAC是否弹出权限提升对话框,这点在Mark的文章里没有提到。

默认情况下,如果某个进程需要管理员特权,则系统会查看其父进程的标签SID,如果是“中级”,则会弹出权限提升对话框。如果是“高级”,则不会弹出对话框(直接继承父进程的安全上下文)。

盆盆评述 有关这一点,盆盆在06年3月份的文章《Windows Vista的UAC功能浅析(二)》曾经做过这样的猜测,现在得到实验的证实。

由于绝大多数用户进程的父进程是Explorer,其标签SID为“中级”,所以会弹出权限提升对话框。

以管理员身份打开“命令提示符”窗口,然后再在其下运行需要管理员特权的进程,这时候不会弹出权限提升对话框。因为父进程cmd.exe的标签SID是“高级”。

有趣的特例

我们可以做一个实验,来欺骗Windows Vista的安全机制。在Process Explorer里单击File→Run as Limited User,然后在打开的对话框里输入“CMD”并回车,如附图所示。

这时候会弹出一个很“另类”的命令提示符窗口。该命令提示符进程的标签SID是“高级”,但是实际上却是标准用户权限。不信?且看其访问令牌:

在红色部分我们可以看到,其标签SID是“Mandatory Label\High Mandatory Level”(完整性级别为“高级”),但是却并不拥有管理员的运行身份(Administrators标记为Deny),同时只有五个特权(查看蓝色部分)。

在这个“另类”的命令提示符下运行某个需要管理员特权的任务,例如“服务”管理单元,会发生什么情况?

系统根本不会弹出提升权限对话框,直接启动“服务”管理单元。这是因为UAC系统会根据父进程的标签SID来判定是否需要弹出权限提升对话框。

但是打开的这个“服务”管理单元也一样“另类”,Windows显然已经认为这是一个管理员进程(因为其标签SID为高级),但是实际上只有标准用户权限,我们什么操作几乎都不能做。

安全影响

Windows Vista的UAC只根据父进程的标签SID来判断是否应该提升权限,看上去似乎有点弱智。但是实际上由于这种操作的可能性很低,所以影响很小。

还有一个需要有趣的地方是,这种“另类”的进程虽然只有标准用户权限,但是完整性级别却是“高级”,所以这些进程可以通过代码注入等手段获取管理员权限,这和Windows 2000/XP的情况是一致的。

不过攻击者想要利用这种方法绕开UAC的限制,几乎是不可能的,因为构建这样的访问令牌,本身需要管理员特权。所以用户大可不必担心。

盆盆评述 05年11月,当时盆盆刚接触Windows Vista不久,写过一篇文章《Windows Vista的UAC功能浅析(一)》,就猜测“古怪帐户”的作用,应该是用来标识进程的等级。这里的“古怪帐户”,实际上就是本文所说的标签SID。

Comments
Write a Comment