微軟技術大會報道:Vista安全特性分析-UAP/LUA
UAP/LUA可以說是Windows Vista愛好者常談的內容了,陳宇講師先闡述了Windows前期版本的管理員與用戶中的權限區別,以其造成的不便,例如不安全的程式,誤操作和管理的問題來對比Windows Vista中的UAP/LUA--新的身份權限控制管理.今天的講演通俗易懂,原本晦澀的權限概念被解釋得非常清楚.
不過講師也承認,Windows Vista在執行現有,特別是9x平台的程式將沒有很理想的表現,因為它對管理員權限實在是太依賴了,但是Vista的虛擬區域將會解決這個問題,建議大家瞭解.
UAP/LUA中的用戶被定義為普通用戶和管理員用戶,在管理員用戶中,引入了一個"受保護的管理員用戶"概念,在這種模式下,正常執行時和普通用戶並無區別,但在有需要時,可以升級到擁有足夠權限的用戶模式(例如安裝程式),這一切都是用戶自行控制的,可自定義的.

在Windows Vista中,任何用戶登入都將以最小權限進行,LUA會根據最大權限來即時提升權限,當兩個程式同時執行於系統時,普通用戶的工作行程列表中不包含管理員的工作行程,這可以避免相互攻擊.
Windows Vista去除了大量無用的管理員權限檢查,讓大部分程式都可以以最小模式正常執行.任何新增的帳號在沒有賦予權限之前,都是最小權限的預設用戶類型(包括管理員在登入的時候都是這樣,這一切都是動態的).這樣減少了其餘軟件和程式的漏洞被人利用發起對系統破壞的可能.

在提升權限的時候,受保護管理員用戶將接到三種不同方式:交談視窗,密碼提示,安全組合鍵的升級方式獲得必要的權限.管理員也可以自定義程式是否需要提升管理員權限才可以執行.但在通常情況下,Windows Vista已經提供了相當數量的規則.

Windows UI 設置這個角落也可以完美地被管理員加鎖,和前期的Windows不一樣,普通用戶對於系統工具是只讀的,除非升級到足夠權限,否則要對系統做操作就將非常困難(甚至連修改系統時間,沒有權限也是一件不可能的事情,系統時間對於整個系統服務特別是資料庫來說,實在是太重要了).
前面提過,Windows Vista可能無法很好地相容現有和早期軟件,但是Windows Vista會有一個虛擬化概念,將讀取的資料(僅僅是資料,對DLL和EXE)隔離到虛擬存儲區,程式的最大影響也僅限於LUA工作行程,對擁有管理員權限的程式是不起作用的.這僅僅是一個過渡化方案,在下一個版本中將會Cut掉這個技術.
LUA最少權限用戶工作行程和管理員工作行程在同一個桌面執行,有著相同的SID,這樣就可以相互讀取,呼叫同一個API,難以避免線程注入.這是非常危險的,微軟給出的解決方案還是同一個概念:工作行程分級別,從下往上,低級別無法讀取高階別.這樣,即時是惡意軟件也無法逃過工作行程級別的驗證,能進入系統,卻無法造成破壞.

UAP/LUA可以說是Windows Vista愛好者常談的內容了,陳宇講師先闡述了Windows前期版本的管理員與用戶中的權限區別,以其造成的不便,例如不安全的程式,誤操作和管理的問題來對比Windows Vista中的UAP/LUA--新的身份權限控制管理.今天的講演通俗易懂,原本晦澀的權限概念被解釋得非常清楚.
不過講師也承認,Windows Vista在執行現有,特別是9x平台的程式將沒有很理想的表現,因為它對管理員權限實在是太依賴了,但是Vista的虛擬區域將會解決這個問題,建議大家瞭解.
UAP/LUA中的用戶被定義為普通用戶和管理員用戶,在管理員用戶中,引入了一個"受保護的管理員用戶"概念,在這種模式下,正常執行時和普通用戶並無區別,但在有需要時,可以升級到擁有足夠權限的用戶模式(例如安裝程式),這一切都是用戶自行控制的,可自定義的.

在Windows Vista中,任何用戶登入都將以最小權限進行,LUA會根據最大權限來即時提升權限,當兩個程式同時執行於系統時,普通用戶的工作行程列表中不包含管理員的工作行程,這可以避免相互攻擊.
Windows Vista去除了大量無用的管理員權限檢查,讓大部分程式都可以以最小模式正常執行.任何新增的帳號在沒有賦予權限之前,都是最小權限的預設用戶類型(包括管理員在登入的時候都是這樣,這一切都是動態的).這樣減少了其餘軟件和程式的漏洞被人利用發起對系統破壞的可能.

在提升權限的時候,受保護管理員用戶將接到三種不同方式:交談視窗,密碼提示,安全組合鍵的升級方式獲得必要的權限.管理員也可以自定義程式是否需要提升管理員權限才可以執行.但在通常情況下,Windows Vista已經提供了相當數量的規則.

Windows UI 設置這個角落也可以完美地被管理員加鎖,和前期的Windows不一樣,普通用戶對於系統工具是只讀的,除非升級到足夠權限,否則要對系統做操作就將非常困難(甚至連修改系統時間,沒有權限也是一件不可能的事情,系統時間對於整個系統服務特別是資料庫來說,實在是太重要了).
前面提過,Windows Vista可能無法很好地相容現有和早期軟件,但是Windows Vista會有一個虛擬化概念,將讀取的資料(僅僅是資料,對DLL和EXE)隔離到虛擬存儲區,程式的最大影響也僅限於LUA工作行程,對擁有管理員權限的程式是不起作用的.這僅僅是一個過渡化方案,在下一個版本中將會Cut掉這個技術.
LUA最少權限用戶工作行程和管理員工作行程在同一個桌面執行,有著相同的SID,這樣就可以相互讀取,呼叫同一個API,難以避免線程注入.這是非常危險的,微軟給出的解決方案還是同一個概念:工作行程分級別,從下往上,低級別無法讀取高階別.這樣,即時是惡意軟件也無法逃過工作行程級別的驗證,能進入系統,卻無法造成破壞.
