windows-7 – 注册表设置EnableLinkedConnections在技术层面上做

UAC在登录时创建两个安全令牌：包含用户的完整组成员身份的提升令牌,以及已剥离“管理员”组成员身份的restricted token.每个令牌包含标识登录会话的不同的本地唯一ID(LUID).它们是两个独立且不同的登录会话.

从Windows 2000 Server SP2开始,映射的驱动器(在对象管理器命名空间中表示为符号链接)使用创建它们的令牌的L??UID进行标记(您可以找到一些Microsoft对此行为的引用in this KBase article,您可以了解更多信息特征in this blog posting的机制.该功能的要点是,一个登录会话创建的映射驱动器不能被另一个登录会话访问.

设置EnableLinkedConnections值会触发LanmanWorkstation服务和LSA安全子系统(LSASS.EXE)中的行为,以使LSA将由其中一个用户令牌映射的驱动器复制到另一个令牌的上下文中.这允许使用提升的令牌映射的驱动器对受限令牌和反向可见.对于域与非域环境相比,此功能的行为没有任何特殊性.如果您的用户在非域环境中使用“管理员”帐户运行,则默认情况下,受限制的令牌和提升的令牌将具有独立的驱动器映射.

就漏洞而言,微软的官方文档似乎缺乏.我确实找到了a comment和a response from a Microsoft employee,询问了2007年UAC对话中的潜在漏洞.鉴于答案来自Jon Schwartz,他当时被称为“UAC架构师”,我倾向于考虑他的答案.信誉.以下是他对以下调查的答案的要点：“……我没有找到任何信息来描述技术上实际发生的情况,或者是否会打开任何类型的UAC漏洞.你能评论一下吗？”

Technically,it opens a small loophole since non-elevated malware can now “pre-seed” a drive letter + mapping into the elevated context — that should be low-risk unless you end up with something that’s specifically tailored to your environment.

就个人而言,我无法想到一种“利用”这个漏洞的方法,因为用驱动器映射“播种”提升的令牌仍然需要用户实际提升并执行来自“种子”驱动器映射的恶意内容.不过,我不是一名安全研究员,而且我可能不会以良好的思维方式接近这一点来提出潜在的攻击.

通过继续我们在客户开始部署Windows NT 4.0时开始的趋势 – 用户使用有限的用户帐户登录,我已经避免使用我的客户站点中的EnableLinkedConnections值.这对我们来说效果好多年,并且在Windows 7中继续运行良好.