深入探討windowsvistaie保護模式-microsoftdownloadcenter

1、深入探討Windows Vista IE 保護模式,WEB 312,議程,面臨的安全問題解決方法 保護模式的目標、基礎(chǔ)和結(jié)構(gòu)安全、兼容及使用方便的平衡部署使用中的常見問題如何解決應(yīng)用中的問題沒有終點的旅程,面臨的安全問題,惡意軟件安裝系統(tǒng)被毀,重至無法啟動數(shù)據(jù)丟失密碼被盜窗口滿天飛不敢瀏覽共享計算機更難控制,面臨的安全問題,演示： IE 6 瀏覽不良網(wǎng),解決方法,建立一個非管理員帳號,用該帳號進行瀏覽文件難以被

2、正常帳號使用啟動瀏覽器甚不方便點擊在其他軟件中的連接仍可啟動瀏覽器,運行于正常帳號工作流程被迫中斷瀏覽器與系統(tǒng)其他部件的通訊可被不良程式用作突破口仍運行在一般級別,溢出程序可對其他進程進行粉碎性攻擊,解決方法,虛擬化瀏覽器及其子進程的所有文件、注冊表的存訪操作,并隔離其對系統(tǒng)其他部件的通訊文件更加難以被正常帳號使用啟動瀏覽器甚不方便點擊在其他軟件中的連接仍可啟動瀏覽器工作流程被迫中斷瀏覽器與系統(tǒng)其他部件的通訊不可能完

3、全切斷性能不好,解決方法,使用虛擬機 (Virtual PC)性能差文件難以被正常帳號使用啟動瀏覽器甚不方便點擊在其他軟件中的連接仍可啟動瀏覽器,運行于正常帳號工作流程被迫中斷,解決方法,用很少人使用的瀏覽器黑客無興趣光顧感覺上安全功能不全用戶一多,安全問題隨之而來火狐7月25日一天公布9個安全漏洞http://www.kb.cert.org/vuls/byid?searchview&query=firef

4、ox_1505,解決方法,阻止正常寫和暗地升級兼容性改善工作流程改善不防止信息泄漏與系統(tǒng)其他部件有限制性的通訊，可能會引起安全問題,解決方法,保護模式（微軟的解決方案）只能寫入有限文件及注冊表區(qū)進程的權(quán)限有限,不能與較高權(quán)限的進程自由通訊,共享數(shù)據(jù)未經(jīng)用戶同意,不可啟動較高權(quán)限的進程兼容性改善工作流程改善不防止信息泄漏,Dan Kaminsky: 我希望保護模式一直打開,即使是UAC關(guān)閉時。保護模式是一個很好的功能。

5、,Dan Kaminsky在DEFCON上演講, 深受歡迎,大廳溢出。,保護模式的目標、基礎(chǔ)和結(jié)構(gòu)目標,用戶控制軟件的安裝,下載及設(shè)置的改變惡意軟件不可暗地發(fā)動功擊插件無需或極少需要改變用戶接口盡量少的改變,保護模式的目標、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),UAC (用戶帳戶控制,又稱LUA)許多進程去掉了管理員令牌中的管理員特權(quán)行使管理員特權(quán)時,用戶得到提示程序溢出時,系統(tǒng)得到保護,保護模式的目標、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),MIC (強制

6、完整性控制)沒有MIC，就沒有保護模式IE安全對象賦與完整性級別進程級別由其令牌級別所定進程只能寫入小于等于其級別的區(qū)域系統(tǒng)文件,注冊表區(qū)為高級區(qū)域用戶配置文件夾 、注冊表區(qū)為中級區(qū)域與保護模式有關(guān)的還有同步對象等的級別ICACLS.EXE,保護模式的目標、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),UIPI (用戶界面特權(quán)隔離)完整性級別低的進程，不能向完整性級別高的進程發(fā)送Window消息低級進程不能對高級進程安裝Hook主要用于防止

7、著名的粉碎窗口(Shatter)攻擊DDE用戶注意了!關(guān)掉UIPI （僅用于調(diào)試）HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemEnableUIPI=0,ProtectedModeIE,Integrity Control,Broker Process,,,Admin-Rights Access,,User-Rights Access,Temp

8、 Internet Files,HKLMHKCRProgram Files,HKCUMy DocumentsStartup Folder,Untrusted files & settings,保護模式的目標、基礎(chǔ)和結(jié)構(gòu),Broker Process,安全、兼容及使用方便的平衡,三者之間哪個最重要?三者之間哪個最昂貴？演示 XPS,安全、兼容及使用方便的平衡,對文件和注冊表提供虛擬服務(wù)并非所有區(qū)域都被虛擬,如IE設(shè)置

9、及系統(tǒng)區(qū)提供插件存入中級區(qū)域功能低級進程不能彈出提示窗口,為什么?插件需要啟動中級進程并與之聯(lián)系提供中級代理進程升級必須有提示升級免提示表,安全、兼容及使用方便的平衡,對ActiveX的安裝提供高級代理全新可選的標準用戶安裝ActiveX服務(wù)器(IT專業(yè)人士請留意)其他程序安裝由UAC的AIS提供服務(wù)較高級的COM服務(wù)器可在清單中指定允許低級進程對其進行綁定(BIND)允許指定的窗口消息(Windows Messag

10、e)來自于低級進程,安全、兼容及使用方便的平衡,對Drag & Drop（拖放）格式與目的地進行控制提供目的程序表危險插件阻止表保護模式的運行由URL的區(qū)域控制,部署使用中的常見問題,插件寫至非允許區(qū)域插件的卸載對系統(tǒng)區(qū)、用戶區(qū)的寫操作向較高級進程送窗口消息與較高級進程共享內(nèi)存區(qū)和MUTEX較高級進程存訪安全模式 Cookie插件類型:病毒掃描器、游戲插件、工具欄、IME,如何解決應(yīng)用中的問題,用戶可信區(qū)域 (

11、Trusted Sites)暫時關(guān)掉保護模式運行高級IE公司管理員免提示表HKLM\SOFTWARE\MICROSOFT\Internet Explorer\Low Rights\ElevationPolicy拖放策略表HKLM\SOFTWARE\MICROSOFT\Internet Explorer\Low Rights\DragDrop對Intranet關(guān)掉保護模式App Compat Toolkit,如何解決應(yīng)用

12、中的問題,軟件開發(fā)商免提示表拖放策略表在低級運行App Compat Toolkit, Filemon, Regmon關(guān)掉UIPI (用戶界面特權(quán)隔離)提供卸裝程序避免使用RUNDLL32,如何解決應(yīng)用中的問題,軟件開發(fā)商新的程序接口(New APIs)IEShowSaveFileDialogIECancelSaveFileIESaveFileSHGetKnownFolderPath(FOLDERID_Local

13、AppDataLow)IEGetWriteableHKCU,如何解決應(yīng)用中的問題,軟件開發(fā)商新的程序接口(New APIs)IEIsProtectedModeProcessIEIsProtectModeURLIELaunchURLChangeWindowsFilterMessage,演示,IE 7 保護模式IE 7 瀏覽不良網(wǎng)站,議程,面臨的安全問題解決方法 保護模式的目標、基礎(chǔ)和結(jié)構(gòu)安全、兼容及使用方便的平衡部署