Mar*_*tin 15 windows-7 network-share windows-registry
注意:我的基本问题是能够访问我(Win 7 管理员用户)在运行提升程序时设置的网络共享。通常,提升的程序将无法访问我的非提升网络共享。
根据微软的说法,注册表设置 EnableLinkedConnections 将允许提升的进程访问当前登录(非提升)资源管理器进程的网络共享。
这个解释有点道理:
[...] 当您是管理员组的成员并登录时,您的帐户将被 UAC 破坏给非特权用户。此运行上下文与您右键单击命令提示符并以管理员身份启动时获得的上下文完全分开。您可能已经注意到,在一个上下文中连接的网络驱动器在另一个上下文中不可见。[...]
此论坛主题询问此设置打开的漏洞。答案给出了关于禁用 UAC 提示的文章的链接(或者我理解)。
现在的问题是,鉴于我们不在域环境中运行,注册表设置 EnableLinkedConnections在 Windows 7 系统上做什么或允许做什么。
编辑:我特别感兴趣的一件事是此设置是否仅影响网络驱动器的(可见性)或是否有任何其他影响。
Eva*_*son 18
没有对 Windows 的源代码访问权,很难说任何不是猜测的事情。撇开免责声明不谈,这是我通过阅读本文能够收集到的信息:
UAC 在登录时创建两个安全令牌:包含用户完整组成员身份的提升令牌和剥离了“管理员”组成员身份的受限令牌。每个令牌都包含一个不同的本地唯一 ID (LUID),用于标识登录会话。它们是两个独立且不同的登录会话。
从 Windows 2000 Server SP2 开始,映射驱动器(在对象管理器命名空间中表示为符号链接)使用创建它们的令牌的 LUID 进行标记(您可以在这篇 KBase 文章中找到一些 Microsoft 对此行为的引用,并且您可以在此博客文章中了解有关该功能机制的更多信息)。该功能的要点是,另一个登录会话无法访问由一个登录会话创建的映射驱动器。
设置EnableLinkedConnections值会触发 LanmanWorkstation 服务和 LSA 安全子系统 (LSASS.EXE) 中的一种行为,从而导致 LSA 将由任一用户的令牌映射的驱动器复制到另一个令牌的上下文中。这允许使用提升的令牌映射的驱动器对受限令牌可见,反之亦然。此功能在域与非域环境方面的行为没有任何特殊性。如果您的用户在非域环境中使用“管理员”帐户运行,默认情况下,他们的受限令牌和提升的令牌将具有独立的驱动器映射。
在漏洞方面,似乎缺乏微软的官方文档。我确实在 2007 年有关 UAC 的对话中找到了Microsoft 员工询问潜在漏洞的评论和回复。鉴于答案来自 Jon Schwartz,当时他的头衔是“UAC 架构师”,我想倾向于认为他的回答具有可信度。以下是他对以下询问的回答的要点:“......我没有找到任何信息来描述技术上实际发生的情况,或者这是否会打开任何类型的 UAC 漏洞。你能发表评论吗?”
从技术上讲,它打开了一个小漏洞,因为非提升的恶意软件现在可以“预先播种”驱动器号+映射到提升的上下文中——这应该是低风险的,除非你最终得到了专门为你的环境量身定制的东西。
就我个人而言,我想不出一种方法来“利用”这个漏洞,因为使用驱动器映射“播种”提升的令牌仍然需要用户从“播种”驱动器映射中实际提升和执行恶意的东西。不过,我不是安全研究人员,而且我可能不会以良好的心态来解决这个问题,无法提出潜在的漏洞利用。
通过延续我们在客户开始部署 Windows NT 4.0 时开始的趋势——让用户使用有限的用户帐户登录,我已经避免在我的客户站点中使用EnableLinkedConnections值。多年来,这对我们来说效果很好,并且在 Windows 7 中继续运行良好。
| 归档时间: |
|
| 查看次数: |
37379 次 |
| 最近记录: |