[转载]浅析Windows安全相关的一些概念
Session
我们平常所说的Session是指一次终端登录, 这里的终端登录是指要有自己的显示器和鼠标键盘等, 它包括本地登录和远程登录。在XP时代每次终端登录才会创建一个Session,但是在Vista后所有的服务程序都运行在Session 0, 其他终端会依次运行在session 1, session 2...
Logon Session
登录Session是指不同帐号的登录,它包括System登录, 网络登录及活动交互登录等。 我们在任务管理器里可以看到各种进程运行在不同的帐号下,比如System, Local Service, xxx Account等, 这些帐号有不同的权限。这里要注意区分上面的终端登录Session, 每个终端登录Session内有好几个Logon Session.
Window Station
按MSDN的说法,一个Window Station管理一个剪贴板(Clipboard),一个原子表(Atom Table)和一组桌面(Desktop)。为什么要有Window Station这个概念? 实际上每个Window Station对应一个Logon Session, 也就是说通过Window Station, 把不同的帐号进行隔离,防止他们相互影响, 试想其他人在你机器上执行一个DCOM对象,如果没有Window Station隔离,他可以直接操作你的桌面了。一个终端登录Session可以有多个Window Station,但只能有一个可交互的活动Window Station, 也就是Winsta0.
Desktop
每个Window Station可以创建多个Desktop, 我们平时和3个Desktop打交道比较多(WinLogon, Disconnect, Default), 他们分别代表登录桌面,屏保桌面和我们工作的桌面。我们也可以自己通过CreateDesktop创建桌面, 并通过SwitchDesktop进行切换。
Sid
Sid表示Security Identifier, 它是一串唯一标志符, 它可以表示代表一个帐号, 一个用户组或是一次用户登录等, 具体可以参考这里
Token
Token和进程相关联, 每个进程创建时都会根据Logon Session权限由LSA(Local Security Authority)分配一个Token(如果CreaeProcess时自己指定了Token, LSA会用该Token, 否则就用父进程Token的一份拷贝,由大部分进程是由Explorer.exe创建, 所以我们大部分时候都复制了explorer.exe的Token), 里面含有该进程的安全信息,包括用户帐号, 组信息, 权限信息和默认安全描述符(Security Descriptor)等, 我们可以通过GetTokenInformation查询某个Token的详细情况。具体可以参考这里
DACL和SACL
DACL(discretionary access control list)用来标志某个安全对象允许被哪些对象访问。SACL(system access control list )用来记录某个安全对象被访问的情况。具体可以参考这里
Security Descriptor
每个安全对象在创建时都可以指定一个安全描述符(Security Descriptor), 如果没有指定就用进程默认的, 该描述符指定了哪些对象可以访问该安全对象。大部分情况下我们都是传NULL, 也就是用该进程Token中默认的。具体可以参考这里
Integrity level
这是UAC提供的新特性, 强制完整性控制(Mandatory Integrity Control), 它标志某进程的安全性级别, 安全级别的高低很大程度和该标志相关联。
下面的图表示了Session, Window Station和Desktop的关系:
下面的图表示当某程序试图访问某个安全对象时, 系统是如何检测的:系统会检测Object的DACL列表, 根据当前进程的Token,判断当前进程(线程)是否允许访问该Object。
我们用Process Explorer查看某个进程的属性时, Security页的信息如何理解?
User和SID项表示创建该进程的用户情况,可以通过GetTokenInformation, 将第二个参数指定成TokenInformationClass来查询。
Session项上面提到过了,表示终端登录session ID,可以通过GetTokenInformation, 将第二个参数指定成TokenSessionId来查询, 也可以通过 API ProcessIDToSessionID来获取
Logon Session表示Logon Session的authority id, 可以通过GetTokenInformation, 将第二个参数指定成TokenStatistics来查询。系统登录的Logon Session id是999(0x3E7), 这里要区分还有一个概念是Logon Session SID, 他们是不同的概念, 前者某种程度上反映了Logon Session的类型, 后则是某次登陆的标志(SID)。
Virtualized是Vista之后才有的概念,表示该程序是否启用了UAC virtualization, 对于没有指定manifest的老程序会使用数据重定向机制。可以通过GetTokenInformation的TokenVirtualizationAllowed/TokenVirtualizationEnabled来查询。
Group是指该用户所在的用户组。我们可以看到尽管我们的用户在Administrators组里,但是上面却显示是Deny的,为什么?因为在Vista之后, UAC打开时, 除非我们显式的Run As Admin, 否则我们的程序都默认运行在标准用户权限下。同时我们注意到上面还有Mandatory label\Medium Mandatory Level项,表示该程序运行的完整性级别, 它包括Untrust, Low, Medium, Hight, System等, 级别越低,权限也就越低。我们可以通过GetTokenInformation的TokenIntegrityLevel来进行查询。
Privilege表示该进程的权限, 我们可以看到好多权限默认是Disabled, 实际上我们可以通过AdjustTokenPrivileges进行提升。 我们可以通过GetTokenInformation的TokenPrivileges进行查询。
Kernel Object, User Object, GDI Object的使用范围?
Kernel Object可以跨进程使用, 如果指定成Global, 还可以跨session. XP时代即使不指定成Global, 服务程序和普通应用程序也可以通过Kernel Object通讯,但是Vista之后就不行了, 因为他们在不同的Session了。
User Object可以跨进程使用, 但是User Object的使用范围是Window Station, 它不能垮Window Station, 更别说跨session了。我们看不到服务程序弹出的界面, 那是因为服务程序和我们的桌面运行在不同的Window Station, 除非你指定“允许服务程序与桌面交互”, 显式让服务程序运行在活动桌面的Window Station (WinStat0) 。
GDI Object只有在创建它的进程里有效。
怎样以管理员的身份运行某个程序?
其实就是右键Run as Admin, UAC打开时会有确认窗口。
::ShellExecute(0, L"runas",L"C:\\Windows\\Notepad.exe",0,0,SW_SHOWNORMAL);
如何判断当前进程是否运行在管理员账号下?
这里包含2个概念 一个是运行程序的账号是管理员账号, 另外一个是当前运行的环境是管理员环境。
我们下面的Am_I_In_Admin_Group(TRUE)相当于Windows API IsUserAnAdmin()
//如果bCheckAdminMode是TRUE, 则除了检测Admin账号外,还检测是真的运行在Admin环境, 否则只是检测Admin账号。
BOOL Am_I_In_Admin_Group(BOOL bCheckAdminMode /*= FALSE*/)
{
BOOL fAdmin;
HANDLE hThread;
TOKEN_GROUPS *ptg = NULL;
DWORD cbTokenGroups;
DWORD dwGroup;
PSID psidAdmin;
SID_IDENTIFIER_AUTHORITY SystemSidAuthority= SECURITY_NT_AUTHORITY;
if ( !OpenThreadToken ( GetCurrentThread(), TOKEN_QUERY, FALSE, &hThread))
{
if ( GetLastError() == ERROR_NO_TOKEN)
{
if (! OpenProcessToken ( GetCurrentProcess(), TOKEN_QUERY,
&hThread))
return ( FALSE);
}
else
return ( FALSE);
}
if ( GetTokenInformation ( hThread, TokenGroups, NULL, 0, &cbTokenGroups))
return ( FALSE);
if ( GetLastError() != ERROR_INSUFFICIENT_BUFFER)
return ( FALSE);
if ( ! ( ptg= (TOKEN_GROUPS*)_alloca ( cbTokenGroups)))
return ( FALSE);
if ( !GetTokenInformation ( hThread, TokenGroups, ptg, cbTokenGroups,
&cbTokenGroups) )
return ( FALSE);
if ( ! AllocateAndInitializeSid ( &SystemSidAuthority, 2,
SECURITY_BUILTIN_DOMAIN_RID,
DOMAIN_ALIAS_RID_ADMINS,
0, 0, 0, 0, 0, 0, &psidAdmin) )
return ( FALSE);
fAdmin= FALSE;
for ( dwGroup= 0; dwGroup < ptg->GroupCount; dwGroup++)
{
if ( EqualSid ( ptg->Groups[dwGroup].Sid, psidAdmin))
{
if(bCheckAdminMode)
{
if((ptg->Groups[dwGroup].Attributes) & SE_GROUP_ENABLED)
{
fAdmin = TRUE;
}
}
else
{
fAdmin = TRUE;
}
break;
}
}
FreeSid ( psidAdmin);
return ( fAdmin);
}
如何提升权限?
注意只有原来是Disable的权限才可以提成Enable, 如果原来就没有这个权限, 是提不上去的。
BOOL EnablePrivilege(HANDLE hToken, LPCTSTR lpszPrivilegeName)
{
TOKEN_PRIVILEGES tkp = {0};
BOOL bRet = LookupPrivilegeValue( NULL, lpszPrivilegeName, &tkp.Privileges[0].Luid );
if(!bRet) return FALSE; tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
bRet = AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL ); return bRet;
}
如何判断用户的进程完整性级别?
该信息包含在Integrity Level的SID里,通过GetTokenInformation, 第二个参数设置成TokenIntegrityLevel,大概代码如下, 详细可以参考后面下载的源代码。
void CIntegrityLevel::Print(std::wostream& os) const
{
SID* pSid = (SID*)m_pIntegrity->Label.Sid;
DWORD rid = pSid->SubAuthority[0]; LPCTSTR lpszIntegrity = L"Unknown";
switch (rid)
{
case SECURITY_MANDATORY_UNTRUSTED_RID:
{
lpszIntegrity = L"Untrusted";
break;
}
case SECURITY_MANDATORY_LOW_RID:
{
lpszIntegrity = L"Low";
break;
}
case SECURITY_MANDATORY_MEDIUM_RID:
{
lpszIntegrity = L"Medium";
break;
} case SECURITY_MANDATORY_MEDIUM_PLUS_RID:
{
lpszIntegrity = L"Medium +";
break;
}
case SECURITY_MANDATORY_HIGH_RID:
{
lpszIntegrity = L"High";
break;
}
case SECURITY_MANDATORY_SYSTEM_RID:
{
lpszIntegrity = L"System";
break;
}
default:
{
lpszIntegrity = L"XXXXX";
}
} os << L"Integrity: " << lpszIntegrity << endl;
}
如何指定程序默认启动运行的级别?
在VC里配置Manifest文件。
asInvoker:默认选项,新的进程将简单地继承其父进程的访问令牌
highestAvailable:应用程序会选择该用户允许范围内尽可能高的权限。对于标准用户来说,该选项与asInvoker一样,而对于管理员来说,这就意味着请求Admin令牌。
requireAdministrator:应用程序需要Admin令牌。运行该程序时,标准用户将要输入管理员的用户名和密码,而管理员则要在弹出的确认对话框中进行确认。
上面只是我自己的一些理解和总结, 由于不是专门搞安全相关的, 如果有不正确的地方, 欢迎指正。
部分资料:Designing Applications to Run at a Low Integrity Level
注,这是部分测试代码:MySecurityTest
转载自:http://www.cppblog.com/weiym/archive/2013/08/25/202751.html?opt=admin
[转载]浅析Windows安全相关的一些概念的更多相关文章
- 浅析Windows安全相关的一些概念
Session 我们平常所说的Session是指一次终端登录, 这里的终端登录是指要有自己的显示器和鼠标键盘等, 它包括本地登录和远程登录.在XP时代每次终端登录才会创建一个Session,但是在Vi ...
- 转:浅析windows下字符集和文件编码存储/utf8/gbk
最近老猿在学习文件操作及网络爬虫相关知识,发现字符集及编码的处理非常重要,而老猿原来对此了解并不多,因此找了几篇文章看了一下,将老猿认为比较的相关文章转载一下.感谢各位原创大神! 1,字符集 这里主要 ...
- [转载]解析WINDOWS中的DLL文件---经典DLL解读
[转载]解析WINDOWS中的DLL文件---经典DLL解读 在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库.现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧! ...
- 【转载】Windows Server 2012服务器删除IIS方法
在Windows Server2012版本的服务器系统中,我们可以通过服务器管理器中的"添加角色和功能"来添加IIS的Web服务器,当我们不再使用IIS功能时候,我们也可以通过删除 ...
- 【转载】Windows检测到IP地址冲突
今天在使用电脑的过程中,突然弹出个提示,Windows检测到IP地址冲突,此网络中的另一台计算机与该计算机的IP地址相同.联系你的网络管理员解决此问题,有关详细信息,请参阅Windows系统日志.查阅 ...
- 【转载】Windows下VSCode编译调试c/c++
懒得自己配置或自己配置出现不明问题的朋友可以点这里: [VSCode]Windows下VSCode便携式c/c++环境 http://blog.csdn.net/c_duoduo/article/de ...
- 转载扩展Windows Mobile模拟器存储空间的方法
扩展Windows Mobile模拟器存储空间的方法 在Windows Mobile应用程序开发的初期,可以使用SDK自带的模拟器来进行调试,这给我们开发人员提供了一种方便的途径.一般的应用程序,占用 ...
- 深入解析Windows操作系统笔记——CH1概念和术语
1.概念和工具 本章主要介绍Windows操作系统的关键概念和术语 1.概念和工具 1.1操作系统版本 1.2基础概念和术语 1.2.1Windows API 1.2.2 服务.函数和例程 1.2.3 ...
- 【转载】Windows自带.NET Framework版本大全
转载自:http://blogs.msdn.com/b/astebner/archive/2007/03/14/mailbag-what-version-of-the-net-framework-is ...
随机推荐
- JSON的parse()方法
JSON方法也可以接受另外的一个参数,作为还原函数. 实例: var book = { title:"JavaScript Learn", author:["wang&q ...
- MySQL行级锁、表级锁、页级锁详细介绍
原文链接:http://www.jb51.net/article/50047.htm 页级:引擎 BDB.表级:引擎 MyISAM , 理解为锁住整个表,可以同时读,写不行行级:引擎 INNODB , ...
- string下的 maketrans和translate
在玩python challenge的时候发现一个比较有趣的函数所以记下来. 问题是这样的 g fmnc wms bgblr rpylqjyrc gr zw fylb. rfyrq ufyr amkn ...
- 深入了解三种针对文件(JSON、XML与INI)的配置源
深入了解三种针对文件(JSON.XML与INI)的配置源 物理文件是我们最常用到的原始配置的载体,最佳的配置文件格式主要由三种,它们分别是JSON.XML和INI,对应的配置源类型分别是JsonCon ...
- cxf2.7.10与Spring3.0.5集成时报错如下
严重: Error listenerStart 2014-3-29 22:25:20 org.apache.catalina.core.StandardContext start 严重: Contex ...
- YY语音从4.0版本开始是基于Qt的开发过程,以及碰到的问题
作者:姚冬链接:http://www.zhihu.com/question/21359230/answer/20127715来源:知乎著作权归作者所有,转载请联系作者获得授权. YY语音从4.0版本开 ...
- WPF笔记(2.7 文字布局)——Layout
原文:WPF笔记(2.7 文字布局)--Layout 这一节介绍的是文字布局的几个控件:1.TextBlock 最基本的文字控件可以配置5个Font属性.TextWraping属性,&quo ...
- 在Linux CentOS 6.5 (Final)上安装git-1.9.0
CentOS 6.5 (Final)默认安装的git版本为1.7.1.3,而我们希望安装1.9.0版本.由于rpm安装库里没有1.9.0版本,因此我们需要找其它方法来安装. 网上有很多文章介绍了如何从 ...
- UESTC_王之迷宫 2015 UESTC Training for Search Algorithm & String<Problem A>
A - 王之迷宫 Time Limit: 3000/1000MS (Java/Others) Memory Limit: 65535/65535KB (Java/Others) Submit ...
- 剑指offer-面试题2.实例Singleton模式
题目:设计一个类,我们只能生成该类的一个实例 这道题显然是对设计模式的考察,很明显是单例模式.什么是单例模式呢,就是就像题目所说的只能生成一 个类的实例.那么我们不难考虑到下面几点: 1.不能new多 ...