Windows安全基础:UAC

这篇具有很好参考价值的文章主要介绍了Windows安全基础:UAC。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

UAC原理介绍

UAC的四个安全级别定义

UAC的触发条件

UAC用户登录过程

UAC虚拟化

配置UAC


UAC原理介绍

用户账号控制(User Account Control) 为Windows Vista推出的一项安全技术,其原理是通过限制安全应用软件对系统层级的访问,提升Windows操作系统的安全性。

UAC的四个安全级别定义

可以在用户控制设置里面设置级别

使用win+R打开运行框,输入msconfig进入系统配置中

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

第一级别(最高级别):对所有安全系统设置的行为(如安装程序,更改Windows设置)进行提醒

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

第二级别(默认级别):仅在程序尝试改变系统设置时才会弹出UAC提醒,用户更改系统设置时不会弹

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

第三级别:仅当程序尝试更改计算机时通知提示,用户自行设置更改计算机时不会弹出(与第二种基本相同,但是不会使用安全桌面)

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

第四级别:从来不提示(相当于关闭了UAC)

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

UAC的触发条件

windows 7中开始涉及UAC的操作时弹出一个窗口,并且会黑屏询问你是否继续使用电脑处于“安全桌面”状态。

以下动作会触发UAC:

  • 配置windows update

  • 增加或者删除用户

  • 改变用户类型

  • 改变UAC设置

  • 安装ActiveX

  • 安装或移除程序

  • 安装设备驱动程序

  • 设置家长控制

  • 查看其他用户文件夹

  • 更改注册表

  • 更改系统保护或者高级系统设置

UAC触发流程

在触发 UAC 时,系统会创建一个consent.exe进程,该进程通过白名单程序和用户选择来判断是否创建管理员权限进程。请求进程将要请求的进程cmdline和进程路径通过LPC接口传递给appinfo的RAiLuanchAdminProcess函数,该函数首先验证路径是否在白名单中,并将结果传递给consent.exe进程,该进程验证被请求的进程签名以及发起者的权限是否符合要求,然后决定是否弹出UAC框让用户进行确认。这个UAC框会创建新的安全桌面,屏蔽之前的界面。同时这个UAC框进程是SYSTEM权限进程,其他普通进程也无法和其进行通信交互。用户确认之后,会调用CreateProcessAsUser函数以管理员权限启动请求的进程。

UAC用户登录过程

在整个Windows操作系统资源中会有一个ACL,这个ACl决定了各个不同的权限的用户/进程能够访问不同的资源。

当一个线程尝试访问某个对象时,当前的系统会先检查该线程所持有的访问令牌以及被访问对象的安全描述符中的DACL规则。

如果安全描述符中不存在DACL规则,则当前系统会允许线程直接访问。

线程访问对象的流程:

正常来说,在我们使用账号登录操作系统会产生令牌令牌会记载我们所拥有的权限。

如果我们以管理员权限进行登录,会生成两份访问令牌:标准用户访问令牌完全管理员访问令牌

下面这幅图展示了管理员用户和普通用户的登录过程

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

UAC的用户登录过程如下:

  1. Administrato用户的UAC验证过程:

当我们登录的是Adminitrator用户的时候(已经开启UA,想要在管理控制台中执行“添加/删除用户”操作,UAC会弹出“安全桌面”

可以根据实际情况选择是或者否。

出现这种情况的原因是,在访问之前系统会 先检查进程所持有的访问令牌以及被访问对象的安全描述符中的DACL规则,确保携带的令牌以及规则正确无误。因为我们携带的访问令牌是权限最低状态下的受保护的管理员访问令牌,所以当进程请求触发了UAC操作的时候,UAC就会弹出通知,询问我们是否允许。

单机“是”按钮,其实就是向进程发送了我们的管理员令牌,使得管理员的状态由“受保护状态”变更为提升状态。

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

  1. 标准用户的UAC验证过程:

标准用户登录后,windows会给用户分配一个标准用户访问令牌

要访问某个携带标准用户访问令牌的进程,在进程触发UAC操作的时候会弹出通知,让我们输入管理员密码

此时我们并不具备管理员的访问令牌,通过输入管理员密码可以获取管理员的访问令牌操作。

输入管理员密码的过程本质上是通过管理员凭据为标准用户提权

Windows安全基础:UAC,安全,ATT&CK,windows,安全,UAC,网络安全,windowss安全

UAC虚拟化

又称为UAC重定向,当用户没有达到程序要求的权限时,就会进行重定向操作

虚拟化又被分为:文件虚拟化注册表虚拟化

例如:如果一个程序试图写入C:\Program Files\Contoso\Settings.ini,但是用户没有写入那个目录的权限,这个写操作就会被重定向到

C:\Users\Username\AppData\Local\VitualStore\Program Files\Contoso\Settings.ini

对于注册表来说,如果一个程序视图写入HKEY_LOCAL_MACHINE\Software\Contoso,它会自动被重定向到

HKEY_CURRENT_USER\Software\Classes\VirtualStore\Machine\Sofreware\Contoso或

HKEY_USERS\UserSID_Classes\VirtualStore\Machine\Sofreware\Contoso

配置UAC

若要配置 UAC,可以使用:

  • Microsoft Intune/MDM

  • 组策略

  • 注册表文章来源地址https://www.toymoban.com/news/detail-793859.html

到了这里,关于Windows安全基础:UAC的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [系统安全] 四十六.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术

    终于忙完初稿,开心地写一篇博客。 您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代

    2024年02月11日
    浏览(43)
  • 红日ATT&CK系列靶场(-)简记

    Step 1》信息收集 nmap 发现80、 3306 nmap -T4 -O 192.168.92.100 访问80端口 dirsearch(御剑)扫描 发现:/phpMyadmin Step 2 》漏洞利用 1.弱口令 http://192.168.92.100/phpMyadmin root/root 登录成功 2.getshell select @@basedir //查绝对路径 into outfile 写马 select \\\'?php eval($_POST[cmd]);?\\\' into outfile \\\'C://绝对路径/shell.

    2024年02月09日
    浏览(45)
  • 红日靶场2 ATT&&CK攻击

    360免杀其实没有你想象的那么难 首先最重要的是 你要用免杀脚本对你所生成的木马病毒进行加密 然后加密系统的内核,就是上一篇文章所提及的 是通过两次加密之后 所输出的结果,让360无法感知到,然后先通过java反序列化工具将冰蝎工具的JSP后门代码上传上去,这个不会

    2024年01月18日
    浏览(43)
  • ATT&CK红队评估实战靶场(二)

    第二个靶机来喽,地址:vulunstack 大喊一声我淦!!!!! 配个网络配置弄了半天 DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域 WEB IP1:10.10.10.80 IP2:192.168.47.131 OS:Windows 2008(64) 应用:Weblogic 10.3.6MSSQL 2008 PC IP1:10.10.10.201 IP2:192.168.47.130 OS:Windows 7(32) 攻击机 IP:192.168.47.128 WE

    2024年02月05日
    浏览(43)
  • 【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限

    1、具体有哪些权限需要我们了解掌握的? 后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等 2、以上常见权限获取方法简要归类说明? 后台权限:SQL注入 , 数据库备份泄露,默认或弱口令等获取帐号密码进入 网站权限:后台提升至网站权限,RCE或文件操

    2024年02月10日
    浏览(48)
  • ATT&CK红队评估实战靶场二【胎儿教学】

    给大家一个小建议,先打靶场练练手,再实战找目标打,因为实战是要快速完成的。我这里就是个例子,之前知道个大概,比较生手,一边打别人一边记录,打到一半别人就把网页关了。只能说太菜太慢。[手动狗头] 直接点击下载 新增VMnet2网卡 web: 需要配置两张网卡,分别

    2024年02月09日
    浏览(38)
  • ATT&CK v12版本战术实战研究—持久化(二)

    前几期文章中,我们介绍了ATTCK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据

    2024年02月03日
    浏览(36)
  • 【红蓝攻防鸿篇巨著】ATT&CK视角下的红蓝对抗实战指南

    【文末送书】今天推荐一本网安领域优质书籍《ATTCK视角下的红蓝对抗实战指南》,本文将从其亮点与内容出发,详细阐发其对于网安从业人员的重要性与益处。 根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规

    2024年02月07日
    浏览(47)
  • windows提权-绕过UAC提权

    目录 windows提权-绕过UAC提权 一、UAC概述 二、MSF和CS过UAC 三、基于白名单AutoElevate绕过UAC 四、基于白名单DLL劫持绕过UAC提权 五、CVE-2019-1388 UAC提权 六、Windows令牌概述和令牌窃取攻击 UAC(User Account Control),中文翻译为用户帐户控制,是微软在Windows Vista和Windows7中引用的新技术

    2024年02月04日
    浏览(34)
  • 从零开始的网络安全--Windows系统安全(1)

    1、用户账户概述 用户账户用来记录用户的用户名和口令、隶属的组等信息 每个用户账户包含唯一的登录名和对应的密码 不同的用户身份拥有不同的权限 操作系统根据SID识别不同用户 每个用户拥有唯一安全标识符(SID) 用户权限通过用户的SID来记录 查看命令为:whoami /us

    2024年01月22日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包