Vista用户帐户控制、PsExec和安全边界

新版本的PsExec命令利用了Windows Vista这个增强的隔离沙盒，当使用“-l”参数时，可以让指定的进程运行在“低级”完整性级别。PsExec所建立的隔离沙盒等效于IE保护模式，想要体验这种安全隔离效果，可以尝试让命令提示符窗口或者Regedit运行在“低级”完整性级别，然后看看可以修改什么。举个例子，用以下命令，让命令提示符窗口运行在“低级”完整性级别：

PsExec -l -d

首先我用“set”命令确定当前用户的临时目录所在路径。如果尝试在该临时目录创建文件，就会收到拒绝访问的错误消息，这是因为该临时目录的完整性级别为默认的“中级”，如果用icacls命令查看该目录的权限设置，并不会看到完整性级别(译者注：表明是默认的“中级”)。如果把当前目录修改为IE浏览器的临时目录(完整性级别为“低级”)，就可以成功创建文件。

盆盆评注 从图中我们可以很容易看到，Mark先用“set temp”命令查看“temp”环境变量的值。然后用cd命令进入“temp”目录。再用“icacls .”命令查看当前目录的权限设置(.表示当前目录)。结果发现无法在“temp”目录下写入文件，但是可以在“LocalLow”目录下写入文件，因为用icacls命令查看，发现“LocalLow”目录的完整性级别为“低级”(Low Mandatory Level)。

通过实验可以了解到我们的操作受到了限制，但是这里有一些设计上的考虑需要我们注意。首先，除了进程和线程之外，隔离沙盒并不阻止读取操作。这意味着完整性级别为“低级”的命令提示符、或者IE浏览器(启用IE保护模式)可以读取当前帐户所能访问的对象。这些对象包括当前用户的文档和注册表键值。