翻译:Dflying Chen
原文:http://weblogs.asp.net/kennykerr/archive/2006/09/29/Windows-Vista-for-Developers-_1320_-Part-4-_1320_-User-Account-Control.aspx
请同时参考《Windows Vista for Developers》系列。
自从Windows 2000以来,Windows开发者一直试图为用户创造一个安全稳妥的工作环境。Windows 2000引入了一种名为“受限访问令牌(Restricted Token)”的技术,能够有效地限制应用程序的许可和权限。Windows XP则在安全方面更进一步,不过对于普通用户来讲,这种安全控制却并不是那么的深入人心……直到现在为止还是如此。不管你最初反对的理由是什么,现在用户帐号控制(User Account Control,UAC)就摆在你的面前,其实它并不像批评中所说的那样一无是处。作为开发者的我们有责任掌握这项技术,进而让我们所开发的Vista应用程序不会总是弹出那些“讨厌”的提示窗口。
在《Windows Vista for Developers》系列文章的第四部分中,我们将从实际出发探索一下UAC的功能,特别是如何以编程方式使用这些特性。
什么是安全上下文(Security Context)?
安全上下文指的是一类定义某个进程允许做什么的许可和权限的集合。Windows中的安全上下文是通过登录会话(Logon Session)定义的,并通过访问令牌维护。顾名思义,登录会话表示某个用户在某台计算机上的某次会话过程。开发者可以通过访问令牌与登录会话进行交互。访问令牌所有用的许可和权限可以与登录会话的不同,但始终是它的一个子集。这就是UAC工作原理中的最核心部分。
那么UAC的工作原理是什么呢?
在Windows Vista操作系统中,有两种最主要的用户帐号:标准用户(stand user)和管理员(administrator)。你在计算机上创建的第一个用户将成为管理员,而后续用户按照默认设置将成为标准用户。标准用户用来提供给那些不信任自己能够控制整个计算机的用户,而管理员则为那些希望能够完全控制计算机的用户所准备。与先前版本的Windows不同,在Windows Vista中,你不再需要以标准用户的身份登录到系统中以便防止某些恶意代码/程序的恶意行为。标准用户和管理员的登录会话拥有同样的保护计算机安全的能力。
当一个标准用户登录到计算机时,Vista将创建一个新的登录会话,并通过一个操作系统创建的、与刚刚创建的这个登录会话相关联的shell程序(例如Windows Explorer )作为访问令牌颁发给用户。
而当一个管理员登录到计算机时,Windows Vista的处理方式却与先前版本的Windows 有所不同。虽然系统创建了一个新的登录会话,但却为该登录会话创建了两个不同的访问令牌,而不是先前版本中的一个。第一个访问令牌提供了管理员所有的许可和权限,而第二个就是所谓的“受限访问令牌”,有时候也叫做“过滤访问令牌(filtered token)”,该令牌提供了少得多的许可和权限。实际上,受限访问令牌所提供的访问权限和标准用户的令牌没什么区别。然后系统将使用该受限访问令牌创建shell应用程序。这也就意味着即使用户是以管理员身份登录的,其默认的运行程序许可和权限仍为标准用户。
若是该管理员需要执行某些需要额外许可和权限的、并不在受限访问令牌提供权限之内的操作,那么他/她可以选择使用非限制访问令牌所提供的安全上下文来运行该应用程序。在由受限访问令牌“提升”到非限制访问令牌的过程中,Windows Vista将通过给管理员提示的方式确认该操作,以其确保计算机系统的安全。恶意代码不可能绕过该安全提示并在用户不知不觉中得到对计算机的完整控制。
正如我前面提到的那样,受限访问令牌并不是Windows Vista中的新特性,但在Windows Vista中,该特性终于被无缝地集成到用户的点滴操作中,并能够实实在在地保护用户在工作(或游戏)时的安全。
受限访问令牌
虽然在通常情况下,我们不用自行创建受限访问令牌,但了解其创建的过程却非常有用,因为它可以帮助我们更好地理解受限访问令牌能够为我们做什么,进而更深入地了解我们的程序将运行于的环境。作为开发者,我们可能需要创建一个比UAC提供的更为严格的约束环境,这时了解如何创建受限访问令牌就显得至关重要了。
这个名副其实的CreateRestrictedToken函数用来根据现有的访问令牌的约束创建一个新的访问令牌。该令牌可以用如下的方式约束访问权限:
- 通过指定禁用安全标示符(deny-only security identifier,deny-only SID)限制访问需要被保护的资源。
- 通过指定受限SID实现额外的访问检查。
- 通过删除权限。
CHandle processToken;
VERIFY(::OpenProcessToken(::GetCurrentProcess(),
TOKEN_DUPLICATE | TOKEN_ASSIGN_PRIMARY | TOKEN_QUERY,
&processToken.m_h));
WellKnownSid administratorsSid = WellKnownSid::Administrators();
SID_AND_ATTRIBUTES sidsToDisable[] =
{
&administratorsSid, 0
// add additional SIDs to disable here
};
Next we need an array of privileges to delete. We first need to look up the privilege’s LUID value:
LUID shutdownPrivilege = { 0 };
VERIFY(::LookupPrivilegeValue(0, // local system
SE_SHUTDOWN_NAME,
&shutdownPrivilege));
LUID_AND_ATTRIBUTES privilegesToDelete[] =
{
shutdownPrivilege, 0
// add additional privileges to delete here
};
CHandle restrictedToken;
VERIFY(::CreateRestrictedToken(processToken,
0, // flags
_countof(sidsToDisable),
sidsToDisable,
_countof(privilegesToDelete),
privilegesToDelete,
0, // number of SIDs to restrict,
0, // no SIDs to restrict,
&restrictedToken.m_h));
若你觉得很有意思,那么可以尝试做个小实验。将上面的代码拷贝到某个控制台应用程序中,然后添加如下的CreateProcessAsUser函数调用,并相应地更新代码中Windows Explorer可执行程序的路径:
STARTUPINFO startupInfo = { sizeof (STARTUPINFO) };
ProcessInfo processInfo;
VERIFY(::CreateProcessAsUser(restrictedToken,
L"C:\\Windows\\Explorer.exe",
0, // cmd line
0, // process attributes
0, // thread attributes
FALSE, // don't inherit handles
0, // flags
0, // inherit environment
0, // inherit current directory
&startupInfo,
&processInfo));
最后还要介绍一个函数:IsTokenRestricted。这个函数不会告诉你该访问令牌是否是由CreateRestrictedToken创建的,但却会告诉你该访问令牌是否包含受限SID。因此,除非你要使用受限SID,否则这个函数并没有什么太大用处。
完整性级别(Integrity levels)
UAC提供了个很少有人注意到的特性,那就是强制完整性控制(Mandatory Integrity Control)。这是一个新的添加到进程和安全描述符(security descriptor)上的授权特性。我们可以为需要安全保护的资源在其安全描述符中指定一个完整性级别。系统中的每个进程也有相应的完整性级别标记,然后即可与资源的完整性级别相互验证,并提供额外的安全保护。这不但非常简单,也是个极为有用的特性,能够帮助你简单有效地将进程的可访问资源分隔开来。
设想作为开发者的你需要开发一个应用程序,该应用程序必须处理从无法信任的源(例如Internet)中获取的数据。因为数据中可能包含有恶意代码,所以你必须想方设法保护计算机的安全,因此为你的程序添加一个“深度防御(defense in depth)”层就显得非常有用。其中一个非常有效的解决方案就是使用前面一节中描述的受限访问令牌。但是这种解决方案可能会很复杂,因为你需要明确地指出哪些资源的哪些SID可以被允许、哪些SID需要被禁用,考虑到程序本身也需要一定的权限来正常运行,你不得不做出大量的授权工作。这正是引入完整性级别的意义所在。完整性级别一般用来阻止写访问,而允许读访问和运行。而有了读和运行的权限,程序基本上即可完成大部分的工作,而阻止了写权限则可以限制其对系统的危害,例如覆盖系统文件或修改某些路径信息等。这也正是IE 7的实现方式。IE 7的部分功能运行于一个低完整性级别的独立的进程中,只允许进程修改少数几个位置的文件。
用户态进程可以设置为如下四种完整性级别:
- Low
- Medium
- High
- System
按照默认,子进程将继承父进程的完整性级别。在创建进程时我们可以更改其完整性级别,但一旦创建完毕就不能再更改。另外,我们也不能将子进程的完整性级别设置得高于父进程。这可以阻止低完整性级别的程序借机会窃取更高的完整性级别。
让我们首先看一下如何查询并设置某一进程的完整性级别,然后再讨论如何为需要保护的资源设置完整性级别。
进程完整性级别(Process integrity levels)
我们可以通过检查进程的访问令牌来取得其完整性级别信息。GetTokenInformation函数可以返回不同种类的信息。例如,若想通过访问令牌图的当前的用户帐号,我们可以指定TokenUser类,然后,GetTokenInformation函数将基于该访问令牌生成一个TOKEN_USER结构。类似地,使用TokenIntegrityLevel类器可查询该进程的完整性级别,随后将返回TOKEN_MANDATORY_LABEL结构。大多数GetTokenInformation返回的结构体的长度都是可变的,因为只有GetTokenInformation函数本身才知道到底需要多少内存空间,所以我们在调用时必须格外小心。因为大多数底层的安全相关函数均使用LocalAlloc和LocalFree来分配/释放内存,所以我使用了一个名为LocalMemory的类模板和一个GetTokenInformation函数模板来简化所需要的工作,该类可以在本文的下载代码中找到。这里我们先把注意力放在手头的主题上:
CHandle processToken;
VERIFY(::OpenProcessToken(::GetCurrentProcess(),
TOKEN_QUERY,
&processToken.m_h));
LocalMemory<PTOKEN_MANDATORY_LABEL>info;
COM_VERIFY(GetTokenInformation(processToken,
TokenIntegrityLevel,
info));
SID* sid = static_cast<SID*>(info->Label.Sid);
DWORD rid = sid->SubAuthority[0];
switch (rid)
{
case SECURITY_MANDATORY_LOW_RID:
{
// Low integrity process
break;
}
case SECURITY_MANDATORY_MEDIUM_RID:
{
// Medium integrity process
break;
}
case SECURITY_MANDATORY_HIGH_RID:
{
// High integrity process
break;
}
case SECURITY_MANDATORY_SYSTEM_RID:
{
// System integrity level
break;
}
default:
{
ASSERT(false);
}
}
设置子进程的完整性级别非常直观简单。首先复制一份父进程的访问令牌,然后使用前面实例程序中用来查询完整性级别的那些信息类和数据结构设置其完整性级别。这时即可使用SetTokenInformation函数。最后调用CreateProcessAsUser函数,并使用修改过的访问令牌即可创建出需要的子进程。请参考下述代码:
CHandle processToken;
VERIFY(::OpenProcessToken(::GetCurrentProcess(),
TOKEN_DUPLICATE,
&processToken.m_h));
CHandle duplicateToken;
VERIFY(::DuplicateTokenEx(processToken,
MAXIMUM_ALLOWED,
0, // token attributes
SecurityAnonymous,
TokenPrimary,
&duplicateToken.m_h));
WellKnownSid integrityLevelSid(WellKnownSid::MandatoryLabelAuthority,
SECURITY_MANDATORY_LOW_RID);
TOKEN_MANDATORY_LABEL tokenIntegrityLevel = { 0 };
tokenIntegrityLevel.Label.Attributes = SE_GROUP_INTEGRITY;
tokenIntegrityLevel.Label.Sid = &integrityLevelSid;
VERIFY(::SetTokenInformation(duplicateToken,
TokenIntegrityLevel,
&tokenIntegrityLevel,
sizeof (TOKEN_MANDATORY_LABEL) + ::GetLengthSid(&integrityLevelSid)));
STARTUPINFO startupInfo = { sizeof (STARTUPINFO) };
ProcessInfo processInfo;
VERIFY(::CreateProcessAsUser(duplicateToken,
L"C:\\Windows\\Notepad.exe",
0, // cmd line
0, // process attributes
0, // thread attributes
FALSE, // don't inherit handles
0, // flags
0, // inherit environment
0, // inherit current directory
&startupInfo,
&processInfo));
还要说一句,我们可以使用LookupAccountSid函数得到完整性级别的可显示名称,但该函数的返回值对用户却并不是那么友好,所以你最好另外设置一个字符串表,包含类似“低”、“中等”、“高”以及“系统”等文字。
系统为标准用户创建的访问令牌的完整性级别为中等。系统为管理员创建的受限访问令牌的完整性级别也是中等,但未受限管理员访问令牌的完整性级别为高。
现在让我们看看如何为指定的资源设置完整性级别。
资源完整性级别(Resource integrity levels)
资源的完整性级别存放在资源安全描述符的系统访问控制表(ystem access control list,SACL)中的一个特殊的访问控制条目(access control entry,ACE)中。更新该值的最简单方法就是使用SetNamedSecurityInfo函数。Windows Vista还提供了一个新的名为AddMandatoryAce的函数,用来将一类特殊的ACE(强制ACE)添加至ACL中。记住,安全相关的缩写词总是会让人一头雾水……认真地说,若你熟悉安全描述符相关编程的话,那么这段代码看起来将相当简单。首先使用InitializeAcl函数准备了一个足够容纳一个单独ACE的ACL。接下来创建用SID表示的完整性级别,并使用AddMandatoryAce函数将其添加至ACL中。最后使用SetNamedSecurityInfo函数更新完整性级别。注意在下面的代码中,我们使用了一个新的LABEL_SECURITY_INFORMATION标记:
LocalMemory<PACL> acl;
const DWORD bufferSize = 64;
COM_VERIFY(acl.Allocate(bufferSize));
VERIFY(::InitializeAcl(acl.m_p,
bufferSize,
ACL_REVISION));
WellKnownSid sid(WellKnownSid::MandatoryLabelAuthority,
SECURITY_MANDATORY_LOW_RID);
COM_VERIFY(Kerr::AddMandatoryAce(acl.m_p,
&sid));
CString path = L"C:\\SampleFolder";
DWORD result = ::SetNamedSecurityInfo(const_cast<PWSTR>(path.GetString()),
SE_FILE_OBJECT,
LABEL_SECURITY_INFORMATION,
0, // owner
0, // group
0, // dacl
acl.m_p); // sacl
ASSERT(ERROR_SUCCESS == result);
CString path = L"C:\\SampleFolder";
LocalMemory<PSECURITY_DESCRIPTOR>descriptor;
PACL acl = 0;
DWORD result = ::GetNamedSecurityInfo(const_cast<PWSTR>(path.GetString()),
SE_FILE_OBJECT,
LABEL_SECURITY_INFORMATION,
0,
0,
0,
&acl,
&descriptor.m_p);
ASSERT(ERROR_SUCCESS == result);
DWORD integrityLevel = SECURITY_MANDATORY_MEDIUM_RID;
if (0 != acl && 0 < acl->AceCount)
{
ASSERT(1 == acl->AceCount);
SYSTEM_MANDATORY_LABEL_ACE* ace = 0;
VERIFY(::GetAce(acl,
0,
reinterpret_cast<void**>(&ace)));
ASSERT(0 != ace);
SID* sid = reinterpret_cast<SID*>(&ace->SidStart);
integrityLevel = sid->SubAuthority[0];
}
ASSERT(SECURITY_MANDATORY_LOW_RID == integrityLevel);
目前为止,我们已经注意分析了组成UAC的各个部分,例如受限访问令牌和完整性级别等。接下来让我们看看“以管理员身份运行”是什么意思,我们如何以编程方式实现这个功能。或许你已经注意到了,在Windows Vista中你可以右键单击某个应用程序或快捷方式图标,并在弹出的上下文菜单中选择“以管理员身份运行”。无论是管理员还是标准用户,Vista都提供了这个选项。以管理员身份运行的概念可以简单地理解为作了一次“提升”或是创建一个“提升”了的进程。若想“以管理员身份运行”,那么标准用户需要输入管理员的用户名和密码,而管理员则需要在弹出对话框中进行一次确认。无论那种情况,结果都是一样的:系统将创建一个拥有不受限制管理员权限的新的进程,该进程拥有系统所有的许可和权限。
进程的“提升”显得有些复杂,但幸运的是,大多数复杂性都被隐藏在更新版本的ShellExecute(Ex)函数中了。Windows Vista中的ShellExecute函数通过一个非公开的COM接口使用新的应用程序信息服务(Application Information,appinfo)来执行提升操作。ShellExecute首先调用CreateProcess,尝试创建一个新的进程。CreateProcess负责包括检查应用程序兼容性设置、应用程序清单(application manifest)以及运行时加载器(runtime loader)等任务。若CreateProcess发现应用程序需要一个“提升”而其调用进程却没有提升的话,则函数调用会以ERROR_ELEVATION_REQUIRED失败告终。然后ShellExecute调用应用程序信息服务来处理提升操作并创建被“提升”过的进程,因为调用进程显然没有执行该任务所需要的足够的权限。最后,应用程序信息服务调用CreateProcessAsUser以获得必需的非限制的管理员访问令牌。
还有一种方法:若你只想要一个经过“提升”了的进程,而不关心使用哪个应用程序信息服务的话,那么只要在ShellExecute中使用这个鲜为人知的“runas”就可以了。无论应用程序清单或兼容性信息有多么变态,这个命令均可以实现“提升”功能。实际上,runas并不是Windows Vista中的新东西。在Windows XP和Windows 2003中就已经出现了,常用在通过shell直接创建受限访问令牌。可是在Vista中,它的行为却有了些变化,请参考如下的示例程序:
::ShellExecute(0, // owner window
L"runas",
L"C:\\Windows\\Notepad.exe",
0, // params
0, // directory
SW_SHOWNORMAL);
创建一个被“提升”了的COM对象
若你对COM有所造诣的话,应该知道COM支持我们在一个代理进程中创建COM服务器。现在这项技术又有了一些发展,我们可以在一个“提升”了的代理进程中创建COM服务器了。这项技术非常有用,借助于它的帮助,我们就可以在应用程序运行期间简单地创建一个COM对象,而不必去创建一个全新的进程。
使用这个技术中最难的一部分就是如何正确地注册该COM服务器,保证将其加载到一个“提升”了的代理进程中,因为COM对象需要我们显式地声明其协作方式。
我们要做的第一件事就是更新COM的注册,用来保证我们的库(DLL)服务器能够运行于一个代理进程中。只要将“DllSurrogate”添加至服务器的AppID注册表键中即可。在ATL中,只要简单地更新项目的主RGS文件,如下所示:
HKCR
{
NoRemove AppID
{
'%APPID%' = s 'SampleServer'
{
val DllSurrogate = s ''
}
'SampleServer.DLL'
{
val AppID = s '%APPID%'
}
}
}
CComPtr<ISampleServer>server;
COM_VERIFY(server.CoCreateInstance(__uuidof(SampleServer),
0,
CLSCTX_LOCAL_SERVER));
HKCR
{
SampleServer.SampleServer.1 = s 'SampleServer Class'
{
CLSID = s '{91C5423A-CF90-4E62-93AD-E5B922AE8681}'
}
SampleServer.SampleServer = s 'SampleServer Class'
{
CLSID = s '{91C5423A-CF90-4E62-93AD-E5B922AE8681}'
CurVer = s 'SampleServer.SampleServer.1'
}
NoRemove CLSID
{
ForceRemove {91C5423A-CF90-4E62-93AD-E5B922AE8681} = s 'SampleServer Class'
{
ProgID = s 'SampleServer.SampleServer.1'
VersionIndependentProgID = s 'SampleServer.SampleServer'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Neutral'
}
val AppID = s '%APPID%'
'TypeLib' = s '{A43B074B-0452-4FF4-8308-6B0BF641C3AE}'
Elevation
{
val Enabled = d 1
}
val LocalizedString = s '@%MODULE%,-101'
}
}
}
template <typename T>
HRESULT CreateElevatedInstance(HWND window,
REFCLSID classId,
T** object)
{
BIND_OPTS3 bindOptions;
::ZeroMemory(&bindOptions, sizeof (BIND_OPTS3));
bindOptions.cbStruct = sizeof (BIND_OPTS3);
bindOptions.hwnd = window;
bindOptions.dwClassContext = CLSCTX_LOCAL_SERVER;
CString string;
const int guidLength = 39;
COM_VERIFY(::StringFromGUID2(classId,
string.GetBufferSetLength(guidLength),
guidLength));
string.ReleaseBuffer();
string.Insert(0, L"Elevation:Administrator!new:");
return ::CoGetObject(string,
&bindOptions,
__uuidof(T),
reinterpret_cast<void**>(object));
}
Using the function template is just as simple as calling CoCreateInstance:
CComPtr<ISampleServer>server;
COM_VERIFY(CreateElevatedInstance(0, // window
__uuidof(SampleServer),
&server);
使用应用程序清单(application manifests)
还记得我曾经提到过CreateProcess会检查应用程序兼容性设置以及应用程序清单么?确实如此,Windows Vista为了确保遗留的32位应用程序能够正常运行而做了很多努力。以往的应用程序可以轻松地完全控制文件系统以及注册表,而为了让其也能够在UAC所提供的更加严格的运行环境中继续可用,Vista作了令人难以想象的大量的模拟工作。但尽管如此,其核心理念还是尽可能地避免这些模拟。这种模拟只对那些遗留的应用程序有意义,如果你现在开发新的应用程序的话,那么请确保提供相应的应用程序清单,以避免这类不必要的模拟。微软公司也在计划在后续版本中的Windows中删除对这些模拟的支持。
应用程序清单的架构在Windows Vista下有所更新,应用程序可以在该清单中给出其需要的安全性上下文。但令人不爽的是,Visual C++ 会自动生成应用程序清单。实际上这是件好事。连接器始终对应用程序的各个依赖保持清醒,而应用程序清单则用来定义并行程序集之间的依赖。幸运的是,Visual C++ 也提供了将额外的应用程序清单与现有的清单合并的选项,并能够将合并后的整体清单一起嵌入到应用程序的可执行文件中。Visual C++ 项目的“Additional Manifest Files”设置正是为此而设。下面就是一份示例应用程序清单,其中声明了对Common Controls 6.0的依赖,并指定了其希望得到的安全性上下文:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="*"
publicKeyToken="6595b64144ccf1df"
language="*"
/>
</dependentAssembly>
</dependency>
<v3:trustInfo xmlns:v3="urn:schemas-microsoft-com:asm.v3">
<v3:security>
<v3:requestedPrivileges>
<!-- level can be "asInvoker", "highestAvailable", or "requireAdministrator" -->
<v3:requestedExecutionLevel level="highestAvailable" />
</v3:requestedPrivileges>
</v3:security>
</v3:trustInfo>
</assembly>
- asInvoker:默认选项,新的进程将简单地继承其父进程的访问令牌。
- highestAvailable:应用程序会选择该用户允许范围内尽可能宽松的安全上下文。对于标准用户来说,该选项与asInvoker一样,而对于管理员来说,这就意味着请求非限制访问令牌。
- requireAdministrator:应用程序需要管理员的非限制访问令牌。运行该程序时,标准用户将要输入管理员的用户名和密码,而管理原则要在弹出的确认对话框中进行确认。
我真的被“提升”了么?
如果你想要知道现在是否已经被“提升”过,那么简单地调用IsUserAnAdmin函数即可。如果你还嫌不够精确,那么也可以使用GetTokenInformation函数,但大多数情况下似乎都有些高射炮打蚊子——大材小用了。
结论
这就使我能讲出的关于UAC的一切,希望能够对你有所帮助。这篇文章中的内容基本都不在官方文档中,因此改变也是在所难免的。
再说一句,本文示例程序中我大多使用了断言(assertion)及类似的宏来检查可能发生的异常。这么做是为了判断哪些地方应该使用异常处理。如果你想在应用程序中使用部分其中的代码,那么请确保将这些宏替换成适合你自己的处理机制,无论是异常、HRESULT还是别的什么东西。
No comments:
Post a Comment