首页
论坛
课程
招聘

User Account Control

2021-06-11 16:38

什么是UAC

用户帐户控制 (UAC) 是 Windows Vista 的一项功能,其中用户帐户具有有限的权限。

 

启用UAC后,在用户没有显示允许的情况下,即便是本地管理员账户也无法更改操作系统,这在很大程度上保护了我们的系统安全。

 

UAC的主要目的是确保应用程序只限于标准用户权限,当需要其他权限时,会弹框提示询问 "是否允许以下程序对此计算机进行更改?"

A well designed User Account Control experience helps prevent unwanted system-wide changes in a way that is predictable and requires minimal effort.
With User Account Control (UAC) fully enabled, interactive administrators normally run with least user privileges, but they can self-elevate to perform administrative tasks by giving explicit consent with the Consent UI.
In their least-privileged state, administrators are referred to as Protected administrators. In their elevated state, they are referred to as Elevated administrators. By contrast, Standard users can't elevate by themselves, but they can ask an administrator to elevate them using the Credential UI. The Built-in Administrator account doesn't require elevation.

 

UAC manifest
prompt for elevation

UAC的实现方法(用户登陆过程)

常见SID:
500(Administrator)
501(Guest)
502(Krbtgt)
512(Domain Admins)
513(Domain Users)
515(Domain Computers)
516(Domain Controllers)
519(Enterprise Admins)

 

当用户登录系统成功后, 系统会为用户生成一个accessToken。该用户调用的每一个进程都会有一个AccessToken copy。当进程要访问某个securable object 时,系统会比对accessToken拥有的权限(previlages 是否能访问securable object)

 

如果安全描述符中不存在DACL,则系统会允许线程进行访问。如果存在DACL,系统会顺序遍历DACL中的每个ACE,检查ACE中的SID在线程的AccessTkoen中是否存在。以访问者中的User SID或Group SID作为关键字查询被访问对象中的DACL。顺序:先查询类型为DENY的ACE,若命中且权限符合则访问拒绝;未命中再在ALLOWED类型的ACE中查询,若命中且类型符合则可以访问;如果前两步后还没命中那么访问拒绝

 

https://rootclay.gitbook.io/windows-access-control/1.-windows-fang-wen-kong-zhi-mo-xing

触发流程

在触发 UAC 时,系统会创建一个consent.exe进程,该进程通过白名单程序和用户选择来判断是否创建管理员权限进程。请求进程将要请求的进程cmdline和进程路径通过LPC接口传递给appinfo的RAiLuanchAdminProcess函数,该函数首先验证路径是否在白名单中,并将结果传递给consent.exe进程,该进程验证被请求的进程签名以及发起者的权限是否符合要求,然后决定是否弹出UAC框让用户进行确认。这个UAC框会创建新的安全桌面,屏蔽之前的界面。同时这个UAC框进程是SYSTEM权限进程,其他普通进程也无法和其进行通信交互。用户确认之后,会调用CreateProcessAsUser函数以管理员权限启动请求的进程。

 

1、https://github.com/hfiref0x/UACME
2、利用白名单Bypass UAC


声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论