windows-7 – 注册表设置EnableLinkedConnections在技术层面上做
注意:我的基本问题是能够访问我(Win 7管理员用户)在运行提升程序时设置的网络共享.通常,提升的程序将无法访问我的非高架网络共享.
根据Microsoft,注册表设置EnableLinkedConnections将允许提升的进程访问当前登录(非提升)的资源管理器进程的网络共享. This explanation有道理:
This forum thread询问此设置打开的漏洞.给出的答案链接到article关于禁用UAC提示(或者我理解). 现在的问题是,鉴于我们没有在域环境中运行,注册表设置EnableLinkedConnections在Windows 7系统上执行或允许的内容. 编辑:我特别感兴趣的一件事是这个设置是否只影响网络驱动器的(可见性)或它是否有任何其他影响.
没有源代码访问Windows,很难说任何不是猜测的东西.抛开那个免责声明,这是我通过阅读以下内容得到的:
UAC在登录时创建两个安全令牌:包含用户的完整组成员身份的提升令牌,以及已剥离“管理员”组成员身份的restricted token.每个令牌包含标识登录会话的不同的本地唯一ID(LUID).它们是两个独立且不同的登录会话. 从Windows 2000 Server SP2开始,映射的驱动器(在对象管理器命名空间中表示为符号链接)使用创建它们的令牌的L??UID进行标记(您可以找到一些Microsoft对此行为的引用in this KBase article,您可以了解更多信息特征in this blog posting的机制.该功能的要点是,一个登录会话创建的映射驱动器不能被另一个登录会话访问. 设置EnableLinkedConnections值会触发LanmanWorkstation服务和LSA安全子系统(LSASS.EXE)中的行为,以使LSA将由其中一个用户令牌映射的驱动器复制到另一个令牌的上下文中.这允许使用提升的令牌映射的驱动器对受限令牌和反向可见.对于域与非域环境相比,此功能的行为没有任何特殊性.如果您的用户在非域环境中使用“管理员”帐户运行,则默认情况下,受限制的令牌和提升的令牌将具有独立的驱动器映射. 就漏洞而言,微软的官方文档似乎缺乏.我确实找到了a comment和a response from a Microsoft employee,询问了2007年UAC对话中的潜在漏洞.鉴于答案来自Jon Schwartz,他当时被称为“UAC架构师”,我倾向于考虑他的答案.信誉.以下是他对以下调查的答案的要点:“……我没有找到任何信息来描述技术上实际发生的情况,或者是否会打开任何类型的UAC漏洞.你能评论一下吗?”
就个人而言,我无法想到一种“利用”这个漏洞的方法,因为用驱动器映射“播种”提升的令牌仍然需要用户实际提升并执行来自“种子”驱动器映射的恶意内容.不过,我不是一名安全研究员,而且我可能不会以良好的思维方式接近这一点来提出潜在的攻击. 通过继续我们在客户开始部署Windows NT 4.0时开始的趋势 – 用户使用有限的用户帐户登录,我已经避免使用我的客户站点中的EnableLinkedConnections值.这对我们来说效果好多年,并且在Windows 7中继续运行良好. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows – 在同一端口上侦听的多个进程?
- 最终Microsoft Visual Studio 2013的当前版本是什么?
- windows-server-2012-r2 – 如何准备在Windows群集主机上使
- windows-server-2008 – 这是Windows Server 2008 Web Edit
- 如何通过dos将多个文本文件合并为一个文件
- Windows Azure本地开发环境速度快
- windows-7 – 本地计算机“受信任的根”证书的PrivateKey信
- Windows – Powershell:捕获程序stdout和stderr以分隔变量
- xaml – 如何在Windows Phone 8.1通用应用程序中使用Window
- 流量分析
- windows – 将.exe包装到MSI中的最佳(免费)工具是
- WiX .NET Bootstrapper – 功能选择
- windows – 区域DNS服务名称
- windows – DOSKEY回忆别名
- windows – 有没有办法查看进程使用的每个核心CP
- 如何使用MinGW / MSYS在Windows上安装wxHaskell
- Windows Credential Provider与C#
- 文字编程 – 在Windows中以CWEB格式读取代码的最
- Distributed Server Monitoring Solution
- windows-server-2012-r2 – 如何调整Windows Ser