uac mélyvíz

UAC mélyvíz

„Semmi sem az, mint aminek látszik”

Gál Tamásv-tagal@microsoft.comMicrosoft Magyarország

TartalomNémi ismétlésA motorháztető alattVirtualizációUAC kompatibilitás – ACT 5.0Csoportházirend opciókÖsszegzésFüggelék

Némi ismétlésAz UAC feladata többrétű

Az alkalmazások és az OS biztonságos kapcsolatának és kommunikációjának felügyeleteA feleslegesen magas jogosultsági szint használatának korlátozásaAdott esetben az emelt jogosultsági szint elfogadása és az alkalmazás ismételt futtatása > AAMVirtualizáció (lásd később)

Némi ismétlésUAC szkenáriók

Maximálisan javasolt: a desktop gépeken mindenki standard felhasználó és nincs emelt jogosultság szint megadási lehetőség – nincs visszaélés, az alkalmazások telepítése pl. centralizált lehet ekkorKevésbé javasolt: a desktop gépeken mindenki standard felhasználó, de van lehetőség interaktív módon emelt szintre lépni – a spéci alkalmazások vagy a laptopok, otthoni felhasználók eseténNem javasolt: kikényszerített, megerősítés nélküli, emelt szintű használat pl. a helyi „Administrators” csoportnak

Némi ismétlésA fiókok harca

Standard vs. Admin csoporttagságAdmin csoport vs. Built-in Admin fiók

A Standard fiók is „ér”vmitVezeték néküli hálózat konfigurálás, Energia-ellátási opciók változtatása, VPN-kapcsolatok konfigurálása, Nyomtató- és egyéb eszközök hozzáadása (GP), Windows Update, Windows Defender, defragmentálás, időzóna-váltás, Eseménynapló (a Security naplót nem )A pajzs ikon mutatja, hogy mit nem lehet

Némi ismétlésStandard vs. Admin tagság

Komoly különbség, pl. az alapvető OS komponensek legális elérésében

Rendszerszolgáltatások, eszközmeghajtók, folyamatok, registry kezeléseAlkalmazások, ActiveX kontrollok telepítése/eltávolításaOS rendszerfájlok cseréjeHálózati beállítások, tűzfal kezeléseEseménynapló/Feladatütemező használata

Legális elérés > muszáj emelt jogosultságot kapnia

Némi ismétlésAdmin csoporttagság vs. Built-in Admininistrator fiók

Nem ugyanaz a szint!A Vistában az UAC hatóköre egyáltalán nem terjed ki az Administrator fiókra

Mindig full token használatNincs megerősítés, nincs prompt

Viszont alapértelmezés szerint le van tiltva

Automatizmus a különböző szkenáriókra, pl. OS frissítés, csökkentett mód, stb.

Némi ismétlésNem interaktív belépésnél

Ha helyi (nem domain) fiókkal történik akkor: Standard UserHa domain és admin illetve helyi System fiók akkor: az UAC nem érvényesül

Különleges interaktív kapcsolatok (pl. RDP, TS, stb.): normál UAC szabályok

A motorháztető alattAdministrator Approval Mode

Administrator logon: RID tábla vizsgálat Full token

Szűrt token

Explorer.exe

Explorer.exe

Szűrt token

Split access token:darabolás és raktározás

User logon:RID tábla vizsgálat

A motorháztető alattStandard / Filtered User Token

Az Admin SID-ek "Deny Only"-ra váltanakKözepes integritási szintA legtöbb magas jogosultság „kilőve”

Administrator / Full TokenAz Admin SID-ek korlátozás megszűnikMagas integritási szintMagas jogosultságok elérhetőek

A motorháztető alattA kettős token megszerzésének feltétele a 18 dbminősített csoporttagság...

...vagy a 9 dbkülönleges jogosultság

demó

UAC Split TokenDeny SID, IL, privilégiumok

A motorháztető alattUAC nélkül (pl. XPSP2)

Az alkalmazás az indító felhasználó fiók jogosultsági szintjét örökliMinden negatív illetve pozítiv vonzatával

Explorer.exe

ShellExecute(Ex)

Create Process

USER

A motorháztető alattHogyan ingerelhetjük az UAC-ot?

A futtatható fájlokhoz mellékelt manifeszt fájl tartalma alapjánHeurisztika, azaz a fájl neve is számítAz AppCompat adatbázis a fájlhoz tartalmaz egy „ElevateCreateProcess" shim-et (lásd később)„Run as administrator”

A motorháztető alattVista (UAC)

AppCompat listaFusion: UAC-aware programok > manifeszt fájlokInstaller Heuristics: ismert minták

Explorer.exe

ShellExecute(Ex)

Create Process

USER

AppCompat

Fusion

Installer Heuristics

Error_elevation_required

A motorháztető alattManifeszt fájlok - belső és külső

Belső: az .exe-be fordítva Ez az erősebb

Külső: gyakorlatilag egy szövegfájl Az .exe neve + .manifestVista > új kulcs (requestedExecutionLevel), háromféle értékkel:

asInvoker: jelenlegi user jogaivalhighestAvailable: Standard user nincs kérdés, Admin user: van kérdés (pl. mmc.exe, regedit.exe)RequireAdministrator: mindig kérdez

Sigcheck.exe (Sysinternals)

A motorháztető alatt

+ Sigcheck.exe

A motorháztető alattHeurisztika

UAC megpróbálja detektálni a telepítőcsomagokat, pl. a fájlnév alapján

Setup, update, install, stb.Bárhol lehet a névbenFélrevezető is lehet (pl. UserCertInstall.bat)Csoportházirenddel viszont tiltható

A spéci „telepítési” biteket is figyeli pl. egy .exe esetén.msi: mindig telepítőnek tekinti

demó

HeurisztikaEdit.com vs. Install.com

A motorháztető alatt

Explorer.exe

ShellExecute(Ex)

Create Process

USER

AppCompat

Fusion

Installer Heuristics

Error_elevation_required

SYSTEM

Create Process(AsUser)

AppInfo(AIS)

Belép az AISÚjabb 3 kör

Újabb Create ProcessMajd: Secure Desktop

App-Compat

Fusion

IH

A motorháztető alattSecure Desktop

A’ la SAS (Secure Attention Sequence)Az AIS indítja szeparált ablakként

Csak az UAC ablak aktív > „sötét képernyő”Miért nincs „printscreen?

Komoly védelem szükséges, mivel ez egy igazán kényes szituáció

Session 0

Közben indul a Consent.exe és...

A motorháztető alatt

1

2

Megerősítések1. Aláírt OS

alkalmazás2. Aláírt 3rd

party alkalmazás

Blokkolás

A motorháztető alatt

1

2

3

Promptok1. OS

alkalmazás2. Aláírt

alkalmazás3. Aláírás nélküli

alkalmazás

Max. 2 percig, majd default tiltás

A motorháztető alattKülső alkalmazások vs. Secure Desktop

A manifeszt fáljnak tartalmaznia kell az UIAccess= „True” bejegyzéstMicrosoft által aláírt és engedélyezett kód„Biztonságos” helyről indulhat csak

Windows\System32 és almappáiProgram Files és almappáiProgram Files (x86) és almappái a 64 bites rendszereken

VirtualizációBizonyos alkalmazások…

Nem UAC kompatibilisekCsak admin jogosultsággal futnakViszont szükségünk van rájuk

Virtuális „homokozó” – profilonkéntTeljesen automatikusan (házirend)Natív 64 bites alkalmazásoknál nem működikA manifeszt fájlokkal szintén nem

VirtualizációFájlvirtualizáció

A cél: %SystemRoot%, %windir%, %ProgramFiles%, %ProgramData%A homokozó:

\Users\<username>\ Appdata \ Local \ VirtualStore

A Task Managerből is engedélyezhetőSaját naplófájl (UAC-FileVirtualization)

Registry-virtualizációCél: „HKLM\Software”; a homokozó:

HKey_Users\<SID>_Classes\VirtualStoreA fájlrendszerben: Usrclass.dat

VirtualizációNem virtualizálható

Futtatható fájlok, pl. .EXE, .BAT, .VBS és .SCR

További kivételek: HKLM \ System \ CurrentControlSet \ Services \ Luafv \ Parameters \ ExcludedExtensionsAdd

Az összes Vista komponensFolyamatok / alkalmazások admin jogokkalKernel módú alkalmazásokNem interaktív bejelentkezésen keresztüli műveletek (pl.: fájlmegosztás) A „Dont_Virtualize” jelzéssel megjelöltek (registry)

demó

Virtualizáció

UAC <> ACT 5.0 A korábbi / renitens alkalmazásoknál szükség lehet rá, mert segíthet...

Az UAC szituációkbanA WRP problémákonAz IE7 védett módú használatánálA GINA, Session 0 gondokonSzámos, a Vistában száműzött .dll, .exe, COM objektum és registry kulcs hiánya okozta helyzetbenOS verzióproblémákkal kapcsolatban

UAC <> ACT 5.0Segítség az alkalmazásoknak

A Vista integráltan tartalmaz egy listátDe mi is tudunk kreálni ún. „shim"-eket az ACT 5.0-val > demó!

A komponenseiStandard User Analyzer: a vizsgálathozCompatibility Administrator: a javítás elkészítéséhezSdbinst.exe: parancssori eszköz a javítás telepítéséhez

UAC <> ACT 5.0 Egyéb ACT 5.0 jellemzők

Vista kompatibilis De adminként kell futtatni

SQL kiszolgáló is kell hozzáMűködési szint belövése

RunAsAdmin opcióNoVirtualization opció...

Letölthető: http://tinyurl.com/2zrmuz

demó

ACT 5.0Admin jogok hozzárendelése a renitens alkalmazáshoz

demó

UAC vs. Csoportházirend

ÖsszegzésEmelt szintű belépés + UAC esetén…

Token darabolás megtörténikA „Deny only SID"-ek alkalmazása isA kiemelt jogosultságok eltávolításra kerülnekAz „Integrity level" közepes szintre áll beFájl- és registry virtualizáció elindulAz IE védett módba kapcsol (a legtöbb zónánál)Secure Desktop engedélyezésre kerülJogosultság emelés elérhető / megjelenik

ÖsszegzésAz UAC nem vírus-, mal-, spyware irtó

Nem állítja meg a kártevőketA „hatalomátvételt” nehezíti meg

Az UAC nem működikSafe módbanA beépített Administrator fiókkalA rendszerszolgáltatásokkalA nem interaktív belépések eseténHa kikapcsoljuk

ÖsszegzésAz UAC kikapcsolható

CP/User Accounts (IE védett mód is)Msconfig.exeCsoportházirend

Nincs szelektív kikapcsolásDrasztikusan az admin se kapcsolja ki

Problémák adódhatnak, pl. virtualizációHa utáljuk is, csak finoman > csoport-házirenddel „némítsuk el”

ÖsszegzésAz UAC csak egy az új biztonsági eszközök között a Vistában, merthogy:

Service Security HardeningAddress Space Layout RandomizationBitlocker Drive EncryptionWindows DefenderWindows FirewallIE7 védett módIE7 phishing és CA szűrő

Szünet...

Függelék

Terminológia, rövidítésekSplit Access Token

A klasszikus token feldarabolása, a minősített jogosultságok és engedélyek kiszűrése

Standard User „Aki” a szűrt tokent használja, alapértelmezés szerint minden egyes fiók (a kivételről később)

Administrator Approval ModeAlapértelmezés szerint az adminok is csökkentett jogosultsággal futattnak mindent, ám adott esetben - tipikusan interaktívan - a megfelelő hitelesítési infókkal képesek emelt szintre jutni

Application Information Service (AIS)Rendszerszolgáltás, amely segít az emelt szintet kérő alkalmazok futtatásánál: pl. új processzt készít és indít, immár az admin user full tokenjével

Terminológia, rövidítésekApplication manifest

XML formátumú metadata a futtatható állományokhoz – az alkalmazás ezen keresztül „igazodhat” az UAC-hoz

BlockedUIDialógusdoboz a nem megbízható alkalmazásokhoz. Egy alkalmazás két módon juthat erre a sorsra:

Ha a tanúsítványa explicit nem megbízható (Untrusted Publisher Machine Certificate store)Ha az UAC házirendben finomhangolást végzünk, a Trusted Root store-ral kapcsolatban

Windows Integrity Control (régebben MIC)A különböző megbízhatósági szinten lévő folyamatok nem kommunikálhatnak egymással, ergo alapból „bizalmatlanok” egymáshoz

Terminológia, rövidítésekInteractive User

A konzolról vagy egy terminál-kapcsolaton keresztül belépett felhasználó Az UAC csak az interaktív felhasználóknak nyújtja a speciális szolgáltatásait

Network UserHálózati felhasznaló, kimarad az UAC előnyeiből, nincs token szűrés sem

Secure DesktopAz az állapot, melyben az OS „kivár” a jogosultság emelés bekövetkeztéig

Terminológia, rövidítésekConsent.exe

Hostolja a ConsentUI / CredUI dialogusdobozokat. Ezeknek a jogosultságemelés interaktív folyamata során van szerepe

ConsentUIAz alkalmazás futtatásához szükséges „beleegyezés” interaktív, a desktopon megjelenő megoldása. Az AIS futattja, és erősen védett a külső hatásoktól, például a WIC (MIC) által

CredUIUgyanaz mint az előző, csak prompttal, azaz hitelesítési infókat kér, a szűrés nélküli token használatáért cserébe

Csoportházirend opciókAdmin Approval Mode for the built-in administrator account

UAC használat a beépített admin fióknak

Allow UIAccess applications to prompt for elevation without using the secure desktop

Secure Desktop „kihagyása” – kizárólag aláírt, védett helyekről indított UIAccess alkalmazásoknak

Behavior of the elevation prompt for administrators in Admin Approval Mode

Mi történjen, ha az Admin csoport tagjainál jogosultság-emelésre van szükség (3)?

Csoportházirend opciókBehavior of the elevation prompt for standard users

Mi történjen, ha az Users csoport tagjainál jogosultságemelésre van szükség (2)?

Detect application installations and prompt for elevation

Legyen-e heurisztikus telepítés figyelés?

Only elevate executables that are signed and validated

Legyen-e aláírva minden alkalmazás, amelyhez emelt szintű jogosultság szükséges?

Csoportházirend opciókOnly elevate UIAccess applications that are installed in secure locations

Csak a védett helyről induló UIAccess alkalmazások kaphassanak emelt szintű jogosultságot

Run all administrators in Admin Approval ModeLegyen-e UAC az admin csoport számára?

Switch to the secure desktop when prompting for elevation

Használjuk-e egyáltalán a Secure Desktop-ot?

Virtualize file and registry write failures to per-user locations

Virtualizáció (mindkét típus) letiltása