Vista用户帐户控制、PsExec和安全边界
2007-12-06 16:50:08 来源:WEB开发网核心提示: 新版本的PsExec命令利用了Windows Vista这个增强的隔离沙盒,当使用“-l”参数时,Vista用户帐户控制、PsExec和安全边界(5),可以让指定的进程运行在“低级”完整性级别,PsExec所建立的隔离沙盒等效于IE保护模式,
新版本的PsExec命令利用了Windows Vista这个增强的隔离沙盒,当使用“-l”参数时,可以让指定的进程运行在“低级”完整性级别。PsExec所建立的隔离沙盒等效于IE保护模式,想要体验这种安全隔离效果,可以尝试让命令提示符窗口或者Regedit运行在“低级”完整性级别,然后看看可以修改什么。举个例子,用以下命令,让命令提示符窗口运行在“低级”完整性级别:
PsExec -l -d
首先我用“set”命令确定当前用户的临时目录所在路径。如果尝试在该临时目录创建文件,就会收到拒绝访问的错误消息,这是因为该临时目录的完整性级别为默认的“中级”,如果用icacls命令查看该目录的权限设置,并不会看到完整性级别(译者注:表明是默认的“中级”)。如果把当前目录修改为IE浏览器的临时目录(完整性级别为“低级”),就可以成功创建文件。
盆盆评注 从图中我们可以很容易看到,Mark先用“set temp”命令查看“temp”环境变量的值。然后用cd命令进入“temp”目录。再用“icacls .”命令查看当前目录的权限设置(.表示当前目录)。结果发现无法在“temp”目录下写入文件,但是可以在“LocalLow”目录下写入文件,因为用icacls命令查看,发现“LocalLow”目录的完整性级别为“低级”(Low Mandatory Level)。
通过实验可以了解到我们的操作受到了限制,但是这里有一些设计上的考虑需要我们注意。首先,除了进程和线程之外,隔离沙盒并不阻止读取操作。这意味着完整性级别为“低级”的命令提示符、或者IE浏览器(启用IE保护模式)可以读取当前帐户所能访问的对象。这些对象包括当前用户的文档和注册表键值。
更多精彩
赞助商链接