我们平常所说的Session是指一次终端登录, 这里的终端登录是指要有自己的显示器和鼠标键盘等, 它包括本地登录和远程登录。在XP时代每次终端登录才会创建一个Session,但是在Vista后所有的服务程序都运行在Session 0, 其他终端会依次运行在session 1, session 2...
Logon Session
登录Session是指不同帐号的登录,它包括System登录, 网络登录及活动交互登录等。 我们在任务管理器里可以看到各种进程运行在不同的帐号下,比如System, Local Service, xxx Account等, 这些帐号有不同的权限。这里要注意区分上面的终端登录Session, 每个终端登录Session内有好几个Logon Session.
Window Station
按MSDN的说法,一个Window Station管理一个剪贴板(Clipboard),一个原子表(Atom Table)和一组桌面(Desktop)。为什么要有Window Station这个概念? 实际上每个Window Station对应一个Logon Session, 也就是说通过Window Station, 把不同的帐号进行隔离,防止他们相互影响, 试想其他人在你机器上执行一个DCOM对象,如果没有Window Station隔离,他可以直接操作你的桌面了。一个终端登录Session可以有多个Window Station,但只能有一个可交互的活动Window Station, 也就是Winsta0.
Desktop
Sid
Sid表示Security Identifier, 它是一串唯一标志符, 它可以表示代表一个帐号, 一个用户组或是一次用户登录等, 具体可以参考这里
Token
DACL和SACL
DACL(discretionary access control list)用来标志某个安全对象允许被哪些对象访问。SACL(system access control list )用来记录某个安全对象被访问的情况。具体可以参考 这里
Security Descriptor
每个安全对象在创建时都可以指定一个安全描述符(Security Descriptor), 如果没有指定就用进程默认的, 该描述符指定了哪些对象可以访问该安全对象。大部分情况下我们都是传NULL, 也就是用该进程Token中默认的。具体可以参考这里
Integrity level
这是UAC提供的新特性, 强制完整性控制(Mandatory Integrity Control), 它标志某进程的安全性级别, 安全级别的高低很大程度和该标志相关联。
下面的图表示了Session, Window Station和Desktop的关系:
下面的图表示当某程序试图访问某个安全对象时, 系统是如何检测的:系统会检测Object的DACL列表, 根据当前进程的Token,判断当前进程(线程)是否允许访问该Object。
我们用Process Explorer查看某个进程的属性时, Security页的信息如何理解?
Kernel Object , User Object , GDI Object 的使用范围?
怎样以管理员的身份运行某个程序?
如何判断当前进程是否运行在管理员账号下?
//如果 bCheckAdminMode是TRUE, 则除了检测Admin账号外,还检测是真的运行在Admin环境, 否则只是检测Admin账号。
BOOL Am_I_In_Admin_Group(BOOL bCheckAdminMode /*= FALSE*/)
{
BOOL fAdmin;
HANDLE hThread;
TOKEN_GROUPS *ptg = NULL;
DWORD cbTokenGroups;
DWORD dwGroup;
PSID psidAdmin;
SID_IDENTIFIER_AUTHORITY SystemSidAuthority= SECURITY_NT_AUTHORITY;
if ( !OpenThreadToken ( GetCurrentThread(), TOKEN_QUERY, FALSE, &hThread))
{
if ( GetLastError() == ERROR_NO_TOKEN)
{
if (! OpenProcessToken ( GetCurrentProcess(), TOKEN_QUERY,
&hThread))
return ( FALSE);
}
else
return ( FALSE);
}
if ( GetTokenInformation ( hThread, TokenGroups, NULL, 0, &cbTokenGroups))
return ( FALSE);
if ( GetLastError() != ERROR_INSUFFICIENT_BUFFER)
return ( FALSE);
if ( ! ( ptg= (TOKEN_GROUPS*)_alloca ( cbTokenGroups)))
return ( FALSE);
if ( !GetTokenInformation ( hThread, TokenGroups, ptg, cbTokenGroups,
&cbTokenGroups) )
return ( FALSE);
if ( ! AllocateAndInitializeSid ( &SystemSidAuthority, 2,
SECURITY_BUILTIN_DOMAIN_RID,
DOMAIN_ALIAS_RID_ADMINS,
0, 0, 0, 0, 0, 0, &psidAdmin) )
return ( FALSE);
fAdmin= FALSE;
for ( dwGroup= 0; dwGroup < ptg->GroupCount; dwGroup++)
{
if ( EqualSid ( ptg->Groups[dwGroup].Sid, psidAdmin))
{
if(bCheckAdminMode)
{
if((ptg->Groups[dwGroup].Attributes) & SE_GROUP_ENABLED)
{
fAdmin = TRUE;
}
}
else
{
fAdmin = TRUE;
}
break;
}
}
FreeSid ( psidAdmin);
return ( fAdmin);
}
如何提升权限?
注意只有原来是Disable的权限才可以提成Enable, 如果原来就没有这个权限, 是提 不上去的。
{
TOKEN_PRIVILEGES tkp = {0};
BOOL bRet = LookupPrivilegeValue( NULL, lpszPrivilegeName, &tkp.Privileges[0].Luid );
if(!bRet) return FALSE;
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
bRet = AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL );
return bRet;
}
如何判断用户的进程完整性级别?
该信息包含在Integrity Level的SID里,通过GetTokenInformation, 第二个参数设置成 TokenIntegrityLevel,大概代码如下, 详细可以参考后面下载的源代码。
{
SID* pSid = (SID*)m_pIntegrity->Label.Sid;
DWORD rid = pSid->SubAuthority[0];
LPCTSTR lpszIntegrity = L"Unknown";
switch (rid)
{
case SECURITY_MANDATORY_UNTRUSTED_RID:
{
lpszIntegrity = L"Untrusted";
break;
}
case SECURITY_MANDATORY_LOW_RID:
{
lpszIntegrity = L"Low";
break;
}
case SECURITY_MANDATORY_MEDIUM_RID:
{
lpszIntegrity = L"Medium";
break;
}
case SECURITY_MANDATORY_MEDIUM_PLUS_RID:
{
lpszIntegrity = L"Medium +";
break;
}
case SECURITY_MANDATORY_HIGH_RID:
{
lpszIntegrity = L"High";
break;
}
case SECURITY_MANDATORY_SYSTEM_RID:
{
lpszIntegrity = L"System";
break;
}
default:
{
lpszIntegrity = L"XXXXX";
}
}
os << L"Integrity: " << lpszIntegrity << endl;
}
如何指定程序默认启动运行的级别?
asInvoker:默认选项,新的进程将简单地继承其父进程的访问令牌
highestAvailable:应用程序会选择该用户允许范围内尽可能高的权限。对于标准用户来说,该选项与asInvoker一样,而对于管理员来说,这就意味着请求Admin令牌。
requireAdministrator:应用程序需要Admin令牌。运行该程序时,标准用户将要输入管理员的用户名和密码,而管理员则要在弹出的确认对话框中进行确认。
上面只是我自己的一些理解和总结, 由于不是专门搞安全相关的, 如果有不正确的地方, 欢迎指正。
注,这是部分测试代码: MySecurityTest