Войти
Обязательный контроль целостности ( MIC ) - это основная функция безопасности Windows Vista и более поздних версий, которая добавляет запущенные процессы обязательного контроля доступа на основе их уровня целостности (IL). IL представляет уровень надежности объекта. Цель этого механизма - ограничить права доступа для потенциально менее надежных контекстов (процессов, файлов и других защищаемых объектов) по сравнению с другими контекстами, работающими под той же учетной записью пользователя, которые являются более надежными.
Обязательный контроль целостности определяется с использованием нового типа записи управления доступом (ACE) для представления IL объекта в его дескрипторе безопасности. В Windows списки управления доступом (ACL) используются для предоставления прав доступа (чтение, запись и выполнение) и привилегий пользователям или группам. IL присваивается токену доступа субъекта при инициализации. Когда субъект пытается получить доступ к объекту (например, к файлу), контрольный монитор безопасности сравнивает уровень целостности в маркере доступа субъекта с уровнем целостности в дескрипторе безопасности объекта. Windows ограничивает разрешенные права доступа в зависимости от того, является ли IL субъекта выше или ниже, чем у объекта, и в зависимости от флагов политики целостности в новой записи управления доступом (ACE). Подсистема безопасности реализует уровень целостности как обязательную метку, чтобы отличать его от дискреционного доступа под контролем пользователя, который предоставляют списки контроля доступа.
Windows Vista определяет четыре уровня целостности: низкий ( SID : S-1-16-4096), средний ( SID: S-1-16-8192), высокий ( SID: S-1-16-12288) и системный ( SID).: S-1-16-16384). По умолчанию процессы, запущенные обычным пользователем, получают средний уровень IL, а процессы с повышенными правами - высокий уровень IL. Путем введения уровней целостности MIC позволяет изолировать классы приложений, обеспечивая такие сценарии, как «песочница» для потенциально уязвимых приложений (таких как приложения с выходом в Интернет ). Процессы с низким IL называются процессами с низким уровнем целостности, которые имеют меньший доступ, чем процессы с более высоким IL, где контроль доступа осуществляется в Windows.
Объекты со списками контроля доступа, такие как именованные объекты, включая файлы, ключи реестра или даже другие процессы и потоки, имеют запись в системном списке контроля доступа, управляющую доступом к ним, которая определяет минимальный уровень целостности процесса, который может использовать объект. Windows гарантирует, что процесс может записывать или удалять объект, только если его уровень целостности равен или выше запрошенного уровня целостности, указанного объектом. Кроме того, из соображений конфиденциальности объекты процессов с более высоким IL находятся вне границ даже для доступа на чтение из процессов с более низким IL.
Следовательно, процесс не может взаимодействовать с другим процессом с более высоким IL. Таким образом, процесс не может выполнять такие функции, как внедрение DLL в процесс более высокого уровня IL с помощью CreateRemoteThread() функции Windows API или отправлять данные другому процессу с помощью WriteProcessMemory() функции.
Хотя процессы наследуют уровень целостности процесса, который их породил, уровень целостности можно настроить во время создания процесса. Помимо определения границы для оконных сообщений в технологии изоляции привилегий пользовательского интерфейса (UIPI), обязательный контроль целостности используется такими приложениями, как Adobe Reader, Google Chrome, Internet Explorer и Windows Explorer для изоляции документов от уязвимых объектов в системе..
Internet Explorer 7 представляет настройку «Защищенного режима» на основе MIC для управления открытием веб-страницы как процесса с низким уровнем целостности (при условии, что операционная система поддерживает MIC) на основе настроек зоны безопасности, тем самым предотвращая некоторые классы безопасности. уязвимости. Поскольку Internet Explorer в этом случае работает как процесс с низким IL, он не может изменять объекты системного уровня - вместо этого операции с файлами и реестром виртуализируются. Adobe Reader 10 и Google Chrome - два других известных приложения, которые внедряют эту технологию, чтобы уменьшить свою уязвимость для вредоносных программ.
Microsoft Office 2010 представил изолированную среду песочницы «Защищенный просмотр» для Excel, PowerPoint и Word, которая запрещает потенциально небезопасным документам изменять компоненты, файлы и другие ресурсы в системе. Защищенный просмотр работает как процесс с низким уровнем целостности и в Windows Vista и более поздних версиях Windows использует MIC и UIPI для дальнейшего ограничения песочницы.
Однако в некоторых случаях процесс с более высоким IL действительно должен выполнять определенные функции в отношении процесса с более низким IL, или процесс с более низким IL должен получать доступ к ресурсам, к которым может получить доступ только процесс с более высоким IL (например, при просмотре веб-страницы в защищенном режиме, сохранить файл, загруженный из Интернета, в папку, указанную пользователем). Процессы с высоким и низким IL по-прежнему могут взаимодействовать друг с другом с помощью файлов, именованных каналов, LPC или других общих объектов. Общий объект должен иметь такой же низкий уровень целостности, как процесс с низким IL, и должен совместно использоваться процессами с низким и высоким IL. Так как MIC не препятствует процессу с низким IL совместно использовать объекты с процессом с более высоким IL, он может вызвать ошибки в процессе с более высоким IL и заставить его работать от имени процесса с низким IL, тем самым вызывая атаку приседания. Однако Shatter-атаки можно предотвратить, используя изоляцию привилегий пользовательского интерфейса, которая использует MIC.
