EnableLinkedConnections kayıt defteri ayarı teknik düzeyde ne yapar?

Not: Benim için temel sorun, yükseltilmiş bir programı çalıştırdığımda I (Win 7 yönetici kullanıcısı) tarafından ayarlanan bir ağ paylaşımına erişebilmektir. Normalde yükseltilmiş programın yükseltilmemiş ağ paylaşımlarıma erişimi olmaz.

Microsoft'a göre, EnableLinkedConnections kayıt defteri ayarı, yükseltilmiş işlemlerin geçerli olarak oturum açmış (yükseltilmemiş) explorer işleminin ağ paylaşımına erişmesine izin verecektir.

Bu açıklama bir anlam ifade ediyor:

[...] Yöneticiler grubunun bir üyesi olduğunuzda ve giriş yaptığınızda, hesabınız UAC tarafından ayrıcalıksız bir kullanıcıya indirilir. Bu çalışan bağlam, Komut İstemi'ne sağ tıklayıp yönetici olarak başlattığınızda aldığınız bağlamdan tamamen ayrıdır. Muhtemelen fark edeceğiniz gibi, bir bağlamda bağlı olan ağ sürücüleri diğer bağlamda görünmez. [...]

Bu forum dizisi , bu ayar tarafından açılan güvenlik açıklarını sorar. Yanıt, UAC istemlerini devre dışı bırakma hakkındaki bir makaleye bağlantılar verdi (veya anlıyorum).

Şimdiki soru kayıt defteri ayarı EnableLinkedConnections ne olduğunu do veya izin biz göz önüne alındığında, bir Windows 7 sistem üzerinde etki alanı ortamında çalışmıyorsa .

Düzenleme: Özellikle ilgilendiğim bir şey, bu ayarın yalnızca ağ sürücülerini (görünürlüğünü) etkileyip etkilemediği veya başka etkileri olup olmadığıdır.

Windows'a kaynak erişimi olmaması, spekülasyon olmayan bir şey söylemek zor. Bu feragatname bir yana, işte bunu okuyarak öğrenebileceğim şeyler:

UAC, oturum açmada iki güvenlik belirteci oluşturur: kullanıcının tam grup üyeliklerini içeren yükseltilmiş belirteç ve "Yöneticiler" grubunun üyeliğine sahip kısıtlanmış belirteç çıkarılır. Her belirteç, oturum açma oturumunu tanımlayan farklı yerel olarak benzersiz bir kimlik (LUID) içerir. İki ayrı ve ayrı oturum açma oturumudur.

Windows 2000 Server SP2'den başlayarak, eşlenen sürücüler (nesne yöneticisi ad alanında sembolik bağlantılar olarak temsil edilir) bunları oluşturan jetonun LUID'si ile etiketlenir (bu KBase makalesinde bu davranışa bazı Microsoft başvuruları bulabilirsiniz ve bu blog gönderisindeki özelliğin mekaniği hakkında daha fazla bilgi edinin ). Özelliğin özü, bir oturum açma oturumu tarafından oluşturulan eşlenen sürücülere başka bir oturum açma oturumu için erişilememesidir.

EnableLinkedConnections değerinin ayarlanması, LansaWorkstation hizmetinde ve LSA güvenlik alt sisteminde (LSASS.EXE) bir davranışın tetiklenmesine neden olarak, LSA'nın kullanıcı belirtilerinden birinin eşleştirdiği sürücüleri diğer belirteç bağlamına kopyalamasına neden olur. Bu, yükseltilmiş belirteçle eşlenen sürücülerin kısıtlanmış belirteç ve tersine görünür olmasını sağlar. Bu özelliğin, bir etki alanına karşı etki alanı olmayan bir ortama karşı davranışının özelliği yoktur. Kullanıcılarınız etki alanı dışında bir ortamda "Yönetici" hesaplarıyla çalışıyorsa, varsayılan olarak kısıtlanmış belirteçleri ve yükseltilmiş belirteçleri bağımsız sürücü eşlemelerine sahip olacaktır.

Güvenlik açığı açısından, Microsoft'un resmi belgeleri eksik görünmektedir. Bir Microsoft çalışanından 2007'den itibaren UAC hakkındaki bir görüşmedeki potansiyel güvenlik açıklarını soran bir yorum ve yanıt buldum . Cevabın, o sırada "UAC Architect" olarak adlandırılan Jon Schwartz'dan geldiği göz önüne alındığında, cevabının güvenilirliği olduğunu düşünüyor. İşte şu sorgulamaya vermiş olduğu cevabın özü: "... Teknik olarak neler olduğunu açıklayan herhangi bir bilgi bulamadım ya da bu herhangi bir UAC boşlukunu açarsa. Bu konuda yorum yapabilir misiniz?"

Teknik olarak, yükseltilmemiş kötü amaçlı yazılımlar artık bir sürücü harfini + yükseltilmiş içeriğe eşleştirebildiğinden, ortamınıza özel olarak uyarlanmış bir şeyle karşılaşmadıkça düşük riskli olması nedeniyle küçük bir boşluk açar.

Şahsen, bu çukuru "sömürmek" için bir yol düşünemiyorum, bir sürücü eşleme ile yükseltilmiş jeton "tohum" hala kullanıcı gerçekten o "tohumlanmış" sürücü eşleme kötü bir şey yükseltmek ve yürütmek gerektirir. Yine de bir güvenlik araştırmacısı değilim ve buna potansiyel istismarlar bulmak için iyi bir zihin seti ile yaklaşmıyor olabilirim.

Kullanıcıların sınırlı kullanıcı hesaplarıyla oturum açmasını sağlayan Windows NT 4.0'ı dağıtmaya başladığımızda başladığımız eğilimi sürdürerek Müşteri sitelerimdeki EnableLinkedConnections değerini kullanarak kaçtım . Bu bizim için yıllarca iyi çalıştı ve Windows 7'de iyi çalışmaya devam ediyor.

Basitçe söylemek gerekirse, süper kullanıcı kimlik bilgilerinizi normal kimlik bilgilerinize bağlar. Tabii ki daha karmaşık, ama temelde, Windows 7'deki "yönetici" hesabınız bile bir yönetici değil, ancak çok sayıda işlem gerçekleştirmek için linux üzerindeki SUDO'ya eşdeğer bir şey yapması gerekiyor. Bir ağ sürücüsünü eşlediğinizde, bunu yapmanız gerekir, ancak ağ sürücüsü normal kullanıcı için değil, yalnızca süper kullanıcı için eşlenir. Bu kayıt defteri ayarı, eşlenen sürücüler amacıyla süper kullanıcı kimlik bilgilerini standart kimlik bilgilerinize bağlar. Bu şekilde, her ikisi de yalnızca süper kullanıcı yerine eşlenen sürücüye erişebilir.