uac mélyvíz
DESCRIPTION
UAC mélyvíz. „Semmi sem az, mint aminek látszik”. Gál Tamás [email protected] Microsoft Magyarország. Tartalom. Némi ismétlés A motorháztető alatt Virtualizáció UAC kompatibilitás – ACT 5.0 Csoportházirend opciók Összegzés Függelék. Némi ismétlés. Az UAC feladata többrétű - PowerPoint PPT PresentationTRANSCRIPT
TartalomNémi ismétlésA motorháztető alattVirtualizációUAC kompatibilitás – ACT 5.0Csoportházirend opciókÖsszegzésFüggelék
Némi ismétlésAz UAC feladata többrétű
Az alkalmazások és az OS biztonságos kapcsolatának és kommunikációjának felügyeleteA feleslegesen magas jogosultsági szint használatának korlátozásaAdott esetben az emelt jogosultsági szint elfogadása és az alkalmazás ismételt futtatása > AAMVirtualizáció (lásd később)
Némi ismétlésUAC szkenáriók
Maximálisan javasolt: a desktop gépeken mindenki standard felhasználó és nincs emelt jogosultság szint megadási lehetőség – nincs visszaélés, az alkalmazások telepítése pl. centralizált lehet ekkorKevésbé javasolt: a desktop gépeken mindenki standard felhasználó, de van lehetőség interaktív módon emelt szintre lépni – a spéci alkalmazások vagy a laptopok, otthoni felhasználók eseténNem javasolt: kikényszerített, megerősítés nélküli, emelt szintű használat pl. a helyi „Administrators” csoportnak
Némi ismétlésA fiókok harca
Standard vs. Admin csoporttagságAdmin csoport vs. Built-in Admin fiók
A Standard fiók is „ér”vmitVezeték néküli hálózat konfigurálás, Energia-ellátási opciók változtatása, VPN-kapcsolatok konfigurálása, Nyomtató- és egyéb eszközök hozzáadása (GP), Windows Update, Windows Defender, defragmentálás, időzóna-váltás, Eseménynapló (a Security naplót nem )A pajzs ikon mutatja, hogy mit nem lehet
Némi ismétlésStandard vs. Admin tagság
Komoly különbség, pl. az alapvető OS komponensek legális elérésében
Rendszerszolgáltatások, eszközmeghajtók, folyamatok, registry kezeléseAlkalmazások, ActiveX kontrollok telepítése/eltávolításaOS rendszerfájlok cseréjeHálózati beállítások, tűzfal kezeléseEseménynapló/Feladatütemező használata
Legális elérés > muszáj emelt jogosultságot kapnia
Némi ismétlésAdmin csoporttagság vs. Built-in Admininistrator fiók
Nem ugyanaz a szint!A Vistában az UAC hatóköre egyáltalán nem terjed ki az Administrator fiókra
Mindig full token használatNincs megerősítés, nincs prompt
Viszont alapértelmezés szerint le van tiltva
Automatizmus a különböző szkenáriókra, pl. OS frissítés, csökkentett mód, stb.
Némi ismétlésNem interaktív belépésnél
Ha helyi (nem domain) fiókkal történik akkor: Standard UserHa domain és admin illetve helyi System fiók akkor: az UAC nem érvényesül
Különleges interaktív kapcsolatok (pl. RDP, TS, stb.): normál UAC szabályok
A motorháztető alattAdministrator Approval Mode
Administrator logon: RID tábla vizsgálat Full token
Szűrt token
Explorer.exe
Explorer.exe
Szűrt token
Split access token:darabolás és raktározás
User logon:RID tábla vizsgálat
A motorháztető alattStandard / Filtered User Token
Az Admin SID-ek "Deny Only"-ra váltanakKözepes integritási szintA legtöbb magas jogosultság „kilőve”
Administrator / Full TokenAz Admin SID-ek korlátozás megszűnikMagas integritási szintMagas jogosultságok elérhetőek
A motorháztető alattA kettős token megszerzésének feltétele a 18 dbminősített csoporttagság...
...vagy a 9 dbkülönleges jogosultság
demó
UAC Split TokenDeny SID, IL, privilégiumok
A motorháztető alattUAC nélkül (pl. XPSP2)
Az alkalmazás az indító felhasználó fiók jogosultsági szintjét örökliMinden negatív illetve pozítiv vonzatával
Explorer.exe
ShellExecute(Ex)
Create Process
USER
A motorháztető alattHogyan ingerelhetjük az UAC-ot?
A futtatható fájlokhoz mellékelt manifeszt fájl tartalma alapjánHeurisztika, azaz a fájl neve is számítAz AppCompat adatbázis a fájlhoz tartalmaz egy „ElevateCreateProcess" shim-et (lásd később)„Run as administrator”
A motorháztető alattVista (UAC)
AppCompat listaFusion: UAC-aware programok > manifeszt fájlokInstaller Heuristics: ismert minták
Explorer.exe
ShellExecute(Ex)
Create Process
USER
AppCompat
Fusion
Installer Heuristics
Error_elevation_required
A motorháztető alattManifeszt fájlok - belső és külső
Belső: az .exe-be fordítva Ez az erősebb
Külső: gyakorlatilag egy szövegfájl Az .exe neve + .manifestVista > új kulcs (requestedExecutionLevel), háromféle értékkel:
asInvoker: jelenlegi user jogaivalhighestAvailable: Standard user nincs kérdés, Admin user: van kérdés (pl. mmc.exe, regedit.exe)RequireAdministrator: mindig kérdez
Sigcheck.exe (Sysinternals)
A motorháztető alatt
+ Sigcheck.exe
A motorháztető alattHeurisztika
UAC megpróbálja detektálni a telepítőcsomagokat, pl. a fájlnév alapján
Setup, update, install, stb.Bárhol lehet a névbenFélrevezető is lehet (pl. UserCertInstall.bat)Csoportházirenddel viszont tiltható
A spéci „telepítési” biteket is figyeli pl. egy .exe esetén.msi: mindig telepítőnek tekinti
demó
HeurisztikaEdit.com vs. Install.com
A motorháztető alatt
Explorer.exe
ShellExecute(Ex)
Create Process
USER
AppCompat
Fusion
Installer Heuristics
Error_elevation_required
SYSTEM
Create Process(AsUser)
AppInfo(AIS)
Belép az AISÚjabb 3 kör
Újabb Create ProcessMajd: Secure Desktop
App-Compat
Fusion
IH
A motorháztető alattSecure Desktop
A’ la SAS (Secure Attention Sequence)Az AIS indítja szeparált ablakként
Csak az UAC ablak aktív > „sötét képernyő”Miért nincs „printscreen?
Komoly védelem szükséges, mivel ez egy igazán kényes szituáció
Session 0
Közben indul a Consent.exe és...
A motorháztető alatt
1
2
Megerősítések1. Aláírt OS
alkalmazás2. Aláírt 3rd
party alkalmazás
Blokkolás
A motorháztető alatt
1
2
3
Promptok1. OS
alkalmazás2. Aláírt
alkalmazás3. Aláírás nélküli
alkalmazás
Max. 2 percig, majd default tiltás
A motorháztető alattKülső alkalmazások vs. Secure Desktop
A manifeszt fáljnak tartalmaznia kell az UIAccess= „True” bejegyzéstMicrosoft által aláírt és engedélyezett kód„Biztonságos” helyről indulhat csak
Windows\System32 és almappáiProgram Files és almappáiProgram Files (x86) és almappái a 64 bites rendszereken
VirtualizációBizonyos alkalmazások…
Nem UAC kompatibilisekCsak admin jogosultsággal futnakViszont szükségünk van rájuk
Virtuális „homokozó” – profilonkéntTeljesen automatikusan (házirend)Natív 64 bites alkalmazásoknál nem működikA manifeszt fájlokkal szintén nem
VirtualizációFájlvirtualizáció
A cél: %SystemRoot%, %windir%, %ProgramFiles%, %ProgramData%A homokozó:
\Users\<username>\ Appdata \ Local \ VirtualStore
A Task Managerből is engedélyezhetőSaját naplófájl (UAC-FileVirtualization)
Registry-virtualizációCél: „HKLM\Software”; a homokozó:
HKey_Users\<SID>_Classes\VirtualStoreA fájlrendszerben: Usrclass.dat
VirtualizációNem virtualizálható
Futtatható fájlok, pl. .EXE, .BAT, .VBS és .SCR
További kivételek: HKLM \ System \ CurrentControlSet \ Services \ Luafv \ Parameters \ ExcludedExtensionsAdd
Az összes Vista komponensFolyamatok / alkalmazások admin jogokkalKernel módú alkalmazásokNem interaktív bejelentkezésen keresztüli műveletek (pl.: fájlmegosztás) A „Dont_Virtualize” jelzéssel megjelöltek (registry)
demó
Virtualizáció
UAC <> ACT 5.0 A korábbi / renitens alkalmazásoknál szükség lehet rá, mert segíthet...
Az UAC szituációkbanA WRP problémákonAz IE7 védett módú használatánálA GINA, Session 0 gondokonSzámos, a Vistában száműzött .dll, .exe, COM objektum és registry kulcs hiánya okozta helyzetbenOS verzióproblémákkal kapcsolatban
UAC <> ACT 5.0Segítség az alkalmazásoknak
A Vista integráltan tartalmaz egy listátDe mi is tudunk kreálni ún. „shim"-eket az ACT 5.0-val > demó!
A komponenseiStandard User Analyzer: a vizsgálathozCompatibility Administrator: a javítás elkészítéséhezSdbinst.exe: parancssori eszköz a javítás telepítéséhez
UAC <> ACT 5.0 Egyéb ACT 5.0 jellemzők
Vista kompatibilis De adminként kell futtatni
SQL kiszolgáló is kell hozzáMűködési szint belövése
RunAsAdmin opcióNoVirtualization opció...
Letölthető: http://tinyurl.com/2zrmuz
demó
ACT 5.0Admin jogok hozzárendelése a renitens alkalmazáshoz
demó
UAC vs. Csoportházirend
ÖsszegzésEmelt szintű belépés + UAC esetén…
Token darabolás megtörténikA „Deny only SID"-ek alkalmazása isA kiemelt jogosultságok eltávolításra kerülnekAz „Integrity level" közepes szintre áll beFájl- és registry virtualizáció elindulAz IE védett módba kapcsol (a legtöbb zónánál)Secure Desktop engedélyezésre kerülJogosultság emelés elérhető / megjelenik
ÖsszegzésAz UAC nem vírus-, mal-, spyware irtó
Nem állítja meg a kártevőketA „hatalomátvételt” nehezíti meg
Az UAC nem működikSafe módbanA beépített Administrator fiókkalA rendszerszolgáltatásokkalA nem interaktív belépések eseténHa kikapcsoljuk
ÖsszegzésAz UAC kikapcsolható
CP/User Accounts (IE védett mód is)Msconfig.exeCsoportházirend
Nincs szelektív kikapcsolásDrasztikusan az admin se kapcsolja ki
Problémák adódhatnak, pl. virtualizációHa utáljuk is, csak finoman > csoport-házirenddel „némítsuk el”
ÖsszegzésAz UAC csak egy az új biztonsági eszközök között a Vistában, merthogy:
Service Security HardeningAddress Space Layout RandomizationBitlocker Drive EncryptionWindows DefenderWindows FirewallIE7 védett módIE7 phishing és CA szűrő
Szünet...
Függelék
Terminológia, rövidítésekSplit Access Token
A klasszikus token feldarabolása, a minősített jogosultságok és engedélyek kiszűrése
Standard User „Aki” a szűrt tokent használja, alapértelmezés szerint minden egyes fiók (a kivételről később)
Administrator Approval ModeAlapértelmezés szerint az adminok is csökkentett jogosultsággal futattnak mindent, ám adott esetben - tipikusan interaktívan - a megfelelő hitelesítési infókkal képesek emelt szintre jutni
Application Information Service (AIS)Rendszerszolgáltás, amely segít az emelt szintet kérő alkalmazok futtatásánál: pl. új processzt készít és indít, immár az admin user full tokenjével
Terminológia, rövidítésekApplication manifest
XML formátumú metadata a futtatható állományokhoz – az alkalmazás ezen keresztül „igazodhat” az UAC-hoz
BlockedUIDialógusdoboz a nem megbízható alkalmazásokhoz. Egy alkalmazás két módon juthat erre a sorsra:
Ha a tanúsítványa explicit nem megbízható (Untrusted Publisher Machine Certificate store)Ha az UAC házirendben finomhangolást végzünk, a Trusted Root store-ral kapcsolatban
Windows Integrity Control (régebben MIC)A különböző megbízhatósági szinten lévő folyamatok nem kommunikálhatnak egymással, ergo alapból „bizalmatlanok” egymáshoz
Terminológia, rövidítésekInteractive User
A konzolról vagy egy terminál-kapcsolaton keresztül belépett felhasználó Az UAC csak az interaktív felhasználóknak nyújtja a speciális szolgáltatásait
Network UserHálózati felhasznaló, kimarad az UAC előnyeiből, nincs token szűrés sem
Secure DesktopAz az állapot, melyben az OS „kivár” a jogosultság emelés bekövetkeztéig
Terminológia, rövidítésekConsent.exe
Hostolja a ConsentUI / CredUI dialogusdobozokat. Ezeknek a jogosultságemelés interaktív folyamata során van szerepe
ConsentUIAz alkalmazás futtatásához szükséges „beleegyezés” interaktív, a desktopon megjelenő megoldása. Az AIS futattja, és erősen védett a külső hatásoktól, például a WIC (MIC) által
CredUIUgyanaz mint az előző, csak prompttal, azaz hitelesítési infókat kér, a szűrés nélküli token használatáért cserébe
Csoportházirend opciókAdmin Approval Mode for the built-in administrator account
UAC használat a beépített admin fióknak
Allow UIAccess applications to prompt for elevation without using the secure desktop
Secure Desktop „kihagyása” – kizárólag aláírt, védett helyekről indított UIAccess alkalmazásoknak
Behavior of the elevation prompt for administrators in Admin Approval Mode
Mi történjen, ha az Admin csoport tagjainál jogosultság-emelésre van szükség (3)?
Csoportházirend opciókBehavior of the elevation prompt for standard users
Mi történjen, ha az Users csoport tagjainál jogosultságemelésre van szükség (2)?
Detect application installations and prompt for elevation
Legyen-e heurisztikus telepítés figyelés?
Only elevate executables that are signed and validated
Legyen-e aláírva minden alkalmazás, amelyhez emelt szintű jogosultság szükséges?
Csoportházirend opciókOnly elevate UIAccess applications that are installed in secure locations
Csak a védett helyről induló UIAccess alkalmazások kaphassanak emelt szintű jogosultságot
Run all administrators in Admin Approval ModeLegyen-e UAC az admin csoport számára?
Switch to the secure desktop when prompting for elevation
Használjuk-e egyáltalán a Secure Desktop-ot?
Virtualize file and registry write failures to per-user locations
Virtualizáció (mindkét típus) letiltása