SEC312以最少权限运行Windows的技巧.ppt

SEC 312 以最少权限运行Windows的技巧,提要,为什么要以最少权限用户运行 如何以最少权限用户运行 演示,一些概念,管理员用户/非管理员用户 LUA 最少权限用户 “最少权限”原则,管理员能做, LUA不能做:,安装rootkit 安装keylogger 安装ActiveX控件,包括IE插件 安装/启动系统服务 停止系统服务(例如放火墙) 读取其它用户的文件 可以让任何人登录时运行某一特定程序 用“木马”程序替换系统程序 停止/卸载防毒软件 创建/修改用户帐号 重设用户口令 修改系统的配置文件(例如hosts) 删除系统的安全日志 使机器无法启动 .,日常软件,互联网浏览器 (IE, FireFox) eMail软件 (Outlook Express) 即时消息(MSN Messenger, QQ) 网络游戏 媒体播放器 不只是Microsoft的问题, 也包括其它软件开发商,“但我需要管理我的机器”,管理员权限 双刃剑 平时以普通用户的身份运行 只在必要时提升成管理员身份 企业用户：不需管理员权限,给软件开发者的一个建议,以 “LUA”用户身份运行 更好的软件 及早发现bug 降低开发成本 养成好的使用习惯,LUA缺陷(bug),只在管理员身份下才能运行 原因: 软件开发者开发时以管理员身份登录 “这个软件在我的机器上运行的好好的!” 增加软件开发成本,这真的很重要吗?,(过去)谁是坏蛋?,MBA 候选?,(今天)谁是坏蛋?,有组织的犯罪集团 外国政府 不道德企业 恐怖份子 雇佣黑客,Malware(有害软件)能赚钱?,“僵尸”机器(被黑客控制的机器) 发垃圾邮件 “拒绝服务”攻击 广告软件 身份窃取(信用卡号, 银行帐号) 商业间谍 政治/军事间谍,“我的机器很安全, 因为”,我总是及时安装软件补丁 我总是及时更新防毒软件 我使用放火墙 我升级到Windows XP SP2 我在用Microsoft的反间谍软件包 我的密码很复杂 我从不打开陌生邮件里的附件 我从不去乱七八糟的网站 我从不随便安装软件 我有良好的判断力 我的机器从没被感染过 ,软件缺陷公布到被利用的间隔 0天,用户未来得及打补丁 软件补丁在公布当天就被黑客用反向工程分析出对应的软件缺陷 软件缺陷在补丁出来前被发现者公布 未知的软件缺陷 在公众知道软件缺陷前加以利用,Rootkit 是什么?,可以隐藏自己的软件 使操作系统欺骗用户 进行某些操作而不被用户察觉 通常在系统被侵占后被安装,Rootkit 可以:,隐藏信息: 进程 文件 注册表的键值 系统服务 驱动程序 用户帐号 网络端口和连接 修改安全令牌 隐藏其它后门,看不见Rootkit,常用的诊断工具 DIR /A 任务管理器 性能查看器 Resource Kit 中的工具 Process Explorer (SysInternals.com) 反病毒软件 反间谍软件 一些新的工具正在出现 Rootkit Revealer (Sysinternals.com) Blacklight (F-Secure) 道高一尺, 魔高一丈 SEC 212 病毒，间谍软件，广告软件和Rootkit,Rootkit 和我有什么关系?,非管理员用户和Rootkit,许多 Rootkit 需要管理员权限 安装/加栽驱动程序 安装系统服务 劫持系统函数/中断 修改系统内核数据结构 LUA Rootkit (不需管理员权限) 容易发现 更难把自己隐藏/加入自动运行 只影响一个用户,好了, 我被说服了,现在怎么办?,在需要时才提升权限,快速用户切换 Windows XP Home (家庭版) 未加入域中的 Windows XP Pro (企业版) 每个用户有独立, 相互隔绝的登录 对家庭用户的建议 每个成员使用一个LUA帐号 不用管理员帐号登录,快速用户切换,RunAs (运行方式/运行身份）,以另一个用户身份来运行一个程序 在同一个桌面上 命令行或图形界面 程序继承“父进程”的身份 以管理员身份运行CMD.EXE 在CMD窗口里运行其它程序 新进程也以管理员身份运行,RunAs 对话框,鼠标右击 程序，快捷方式 MMC (.msc) SHIFT+鼠标右击 控制窗口(.cpl) Microsoft Windows Installer,RunAs 对话框,“运行身份”成为一个快捷方式的默任操作,RunAs 命令行,Runas /user:Administrator cmd.exe,RunAs 视觉区别,Runas.exe /u:administrator “cmd.exe /k cd c: && color fc && title * Admin *“,RunAs 视觉区别,给 IE 和 Explorer 设背景 利用 TweekUI,PrivBar 工具,IE以普通用户身份运行,工具见附录,PrivBar 工具 (续),RunAs (运行方式/运行身份),RunAs 有时不起作用,有些程序只启用一个实例 Windows Explorer Office Word 有些程序通过Shell启动 ShellExecuteEx DDE 当前的Windows Update ,RunAs 和 Explorer,两个方法: 用 IE, 或 使 Windows Explorer 能启动多个实例 方法2: “在单独的进程中打开文件夹窗口”,RunAs 和 Explorer,使用本地帐号的一些问题,无法访问域里的资源 不同的用户配置文件(Profiles) 有些软件假设安装用户和使用用户是同一人 不同的用户策略(Policies) 电源管理选项 如何解决? MakeMeAdmin 工具,MakeMeAdmin 工具,临时提升当前用户帐号权限 结果: 同一用户帐号的有管理员权限的CMD窗口 从这个CMD窗口运行的程序都有管理员权限 工具见附录,MakeMeAdmin 工具,LUA 的局限,LUA价值? 两个极端 “万能药” “没什么好处” 今天LUA能保护的 今天LUA不能保护的 当所有人都以LUA运行后, 又怎么样?,参考资料,附: MakeMeAdmin.cmd,echo off setlocal set _Admin_=%COMPUTERNAME%Administrator set _Group_=Administrators set _Prog_=“cmd.exe /k cd c: echo 第二个, 是当前登录用户的密码. runas /u:%_Admin_% “%s0 %_User_%“ if ERRORLEVEL 1 echo. && pause ) else ( echo 加入用户帐号 %* 到 %_Group_% 组. net localgroup %_Group_% “%*“ /ADD if ERRORLEVEL 1 echo. && pause echo. echo 在新的登录里运行程序. runas /u:“%*“ %_Prog_% if ERRORLEVEL 1 echo. && pause echo. echo 从 %_Group_% 组删除用户帐号 user %*. net localgroup %_Group_% “%*“ /DELETE if ERRORLEVEL 1 echo. && pause ) endlocal,WCI 262 Windows Vista 安全特性深入分析- 用户帐号保护 (UAP/LUA),相关讲座,