安全、兼容性及权限 关于UAC.doc

安全、兼容性及权限 关于UAC UAC，全称User Account Control(用户帐户控制)，相信使用NT6.X系统的各位对它都不会陌生。尽管距其在Vista中首次出现已经有了两年多的时间，但舆论仍然没有接受它。在这种环境下，UAC在操作者群体的意识中成了操作繁琐、蔑视操作者智商的多余功能，不少朋友纷纷把关闭UAC列入装好系统后必做的几件事中。我对这种观点不敢苟同，否则我也就没必要来写这篇文章了。 杀毒软件--不足够的防护性；HIPS--安全的必由之路 先说一段个人经历。大概是05年这样，因为一时不慎，致使计算机感染威金病毒。亲眼目睹安装金山毒霸的XP系统瞬息之间崩溃殆尽的经历，除了让我不再那么信任杀毒软件的防护能力外，更让我萌生了寻找更高层次防护软件的念头：这一软件并不依靠特征码来防护系统，而是拦截一切程序，并由我来决定是否放行。后来在大众软件上看到了System Safe Monitor，一款俄罗斯软件，急忙如获至宝般的把它安装上。软件界面虽然简陋，但确实能符合我的要求，同时也有白名单功能记录信任程序。总体上看，很不错。 事实上我所需要的，就是一款HIPS(主机入侵防御系统，尽管那时候这个称谓尚未流行)。杀毒软件的更新永远要追着病毒来，这种滞后性使得病毒有机会利用时间差攻击系统；而对杀毒软件而言，亡羊补牢就意味着重大的失败。这种情况下，要谋求更高的安全性，HIPS成为了当然之选。 微软想必也看出了这一点，于是在Vista中加入了具备基本HIPS功能的UAC。相较于几乎没有自带防护能力的XP，这可以说是系统安全性上的飞跃了。在HIPS被越来越多谈论的今天，这一举措也算顺应潮流。 UAC是如何工作的? 撇开UAC虚拟化等有趣功能不谈，我们可以简单的把UAC当作权限临时重分配的工具。在默认情况下，所有的非系统核心进程都只拥有标准权限，这一权限不能对系统关键区域进行修改。对于一个程序，如果它当中含有提权申请，则在运行时会弹出UAC窗口要求提权。如果用户允许，则程序暂时性的获得了最高权限，可以对系统关键区域进行更改；如果用户拒绝，则程序被拒绝执行。而如果程序中没有提权申请，则系统会让程序运行于标准权限下。(这是一个很有意义的设计，下文再叙)。同时，对于所有程序，都可以用以管理员身份运行的方式手动提权。而即便病毒感染了系统，它也处于UAC的监视之下，这使得病毒的反清除行为会受到很大阻碍。正是凭借这一机制，UAC成为了一道重要的系统防火墙。 UAC对于用户的意义何在? 对于熟练用户，所有HIPS都将是最坚固的护盾，UAC也不例外。在用户能辨别当前要求提权的程序的前提下，即便裸奔运行病毒，UAC也能很好的保护好系统。 而对于新手，UAC是否就如某些言论宣称那般毫无作用呢? 确实，不具备判断能力的新手并不能完全发挥UAC的功能。但是上面所说的很有意义的设计这里就发挥作用了--不具备提权申请的病毒将直接被强制运行于标准权限下而不能有效的感染系统，而从我个人有限的接触看，没有提权申请的病毒是多数。考虑到新手大抵不具备裸奔的勇气，配合杀毒软件的UAC已经进一步的提升了用户系统的安全系数，其意义依然显著。 是骡子是马拉出来遛遛--UAC实战病毒攻击 百闻不如一见，我们不妨来做一个实验看看UAC的防护能力。测试都在VMWare Workstation 7虚拟机软件中进行。测试平台基于Windows7 RTM，对比平台基于Windows XP SP3。两者都不安装任何防病毒软件，使用系统默认安全设置。针对普通用户日常较容易碰到的几种病毒攻击方式，我们选取了一款伪装U盘文件夹的Autorun病毒。本来我们还打算挑选若干挂马网站进行攻击测试，却可悲的发现这些网站连IE8都无法突破(IE6突破正常，嗯，可见IE8安全性方面的提升)，由于Windows7默认的浏览器就是IE8，无法调整此变量至与XP一致(即IE6)，故不得不作罢。如果有朋友能提供几个0day漏洞网站的话，我将抽时间完成这项测试。 (制备好的染毒U盘) 在Autorun病毒环节，我们首先在XP中制备染毒U盘，然后将U盘接入系统，并模拟用户不知情的情况下误击病毒文件的操作，然后接入另一只U盘，观察病毒是否对新U盘进行了感染。 XP系统在双击打开U盘时即激活了Autorun病毒，任务管理器中可见异常进程出现。在另一只U盘被接入后，当中的文件夹迅速遭到了感染。 在Windows7中，由于系统取消了对移动设备Autorun.inf的支持，双击进入U盘并没有激活病毒。我们模拟不知情的用户(由于一来病毒伪装的文件的图标与Win7文件夹图标并不一致，二来默认的详细信息视图会明确标注目标类型，这种不知情发生的概率又低了一些)去点击伪装的文件夹，任务管理器中未出现异常进程。之后接入的U盘也没有受到感染。