深入探討windowsvistaie保護(hù)模式-microsoftdownloadcenter

1、深入探討Windows Vista IE 保護(hù)模式,WEB 312,議程,面臨的安全問(wèn)題解決方法 保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)安全、兼容及使用方便的平衡部署使用中的常見(jiàn)問(wèn)題如何解決應(yīng)用中的問(wèn)題沒(méi)有終點(diǎn)的旅程,面臨的安全問(wèn)題,惡意軟件安裝系統(tǒng)被毀,重至無(wú)法啟動(dòng)數(shù)據(jù)丟失密碼被盜窗口滿天飛不敢瀏覽共享計(jì)算機(jī)更難控制,面臨的安全問(wèn)題,演示： IE 6 瀏覽不良網(wǎng),解決方法,建立一個(gè)非管理員帳號(hào),用該帳號(hào)進(jìn)行瀏覽文件難以被

2、正常帳號(hào)使用啟動(dòng)瀏覽器甚不方便點(diǎn)擊在其他軟件中的連接仍可啟動(dòng)瀏覽器,運(yùn)行于正常帳號(hào)工作流程被迫中斷瀏覽器與系統(tǒng)其他部件的通訊可被不良程式用作突破口仍運(yùn)行在一般級(jí)別,溢出程序可對(duì)其他進(jìn)程進(jìn)行粉碎性攻擊,解決方法,虛擬化瀏覽器及其子進(jìn)程的所有文件、注冊(cè)表的存訪操作,并隔離其對(duì)系統(tǒng)其他部件的通訊文件更加難以被正常帳號(hào)使用啟動(dòng)瀏覽器甚不方便點(diǎn)擊在其他軟件中的連接仍可啟動(dòng)瀏覽器工作流程被迫中斷瀏覽器與系統(tǒng)其他部件的通訊不可能完

3、全切斷性能不好,解決方法,使用虛擬機(jī) (Virtual PC)性能差文件難以被正常帳號(hào)使用啟動(dòng)瀏覽器甚不方便點(diǎn)擊在其他軟件中的連接仍可啟動(dòng)瀏覽器,運(yùn)行于正常帳號(hào)工作流程被迫中斷,解決方法,用很少人使用的瀏覽器黑客無(wú)興趣光顧感覺(jué)上安全功能不全用戶一多,安全問(wèn)題隨之而來(lái)火狐7月25日一天公布9個(gè)安全漏洞http://www.kb.cert.org/vuls/byid?searchview&query=firef

4、ox_1505,解決方法,阻止正常寫和暗地升級(jí)兼容性改善工作流程改善不防止信息泄漏與系統(tǒng)其他部件有限制性的通訊，可能會(huì)引起安全問(wèn)題,解決方法,保護(hù)模式（微軟的解決方案）只能寫入有限文件及注冊(cè)表區(qū)進(jìn)程的權(quán)限有限,不能與較高權(quán)限的進(jìn)程自由通訊,共享數(shù)據(jù)未經(jīng)用戶同意,不可啟動(dòng)較高權(quán)限的進(jìn)程兼容性改善工作流程改善不防止信息泄漏,Dan Kaminsky: 我希望保護(hù)模式一直打開(kāi),即使是UAC關(guān)閉時(shí)。保護(hù)模式是一個(gè)很好的功能。

5、,Dan Kaminsky在DEFCON上演講, 深受歡迎,大廳溢出。,保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)目標(biāo),用戶控制軟件的安裝,下載及設(shè)置的改變惡意軟件不可暗地發(fā)動(dòng)功擊插件無(wú)需或極少需要改變用戶接口盡量少的改變,保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),UAC (用戶帳戶控制,又稱LUA)許多進(jìn)程去掉了管理員令牌中的管理員特權(quán)行使管理員特權(quán)時(shí),用戶得到提示程序溢出時(shí),系統(tǒng)得到保護(hù),保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),MIC (強(qiáng)制

6、完整性控制)沒(méi)有MIC，就沒(méi)有保護(hù)模式IE安全對(duì)象賦與完整性級(jí)別進(jìn)程級(jí)別由其令牌級(jí)別所定進(jìn)程只能寫入小于等于其級(jí)別的區(qū)域系統(tǒng)文件,注冊(cè)表區(qū)為高級(jí)區(qū)域用戶配置文件夾 、注冊(cè)表區(qū)為中級(jí)區(qū)域與保護(hù)模式有關(guān)的還有同步對(duì)象等的級(jí)別ICACLS.EXE,保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)基礎(chǔ),UIPI (用戶界面特權(quán)隔離)完整性級(jí)別低的進(jìn)程，不能向完整性級(jí)別高的進(jìn)程發(fā)送Window消息低級(jí)進(jìn)程不能對(duì)高級(jí)進(jìn)程安裝Hook主要用于防止

7、著名的粉碎窗口(Shatter)攻擊DDE用戶注意了!關(guān)掉UIPI （僅用于調(diào)試）HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemEnableUIPI=0,ProtectedModeIE,Integrity Control,Broker Process,,,Admin-Rights Access,,User-Rights Access,Temp

8、 Internet Files,HKLMHKCRProgram Files,HKCUMy DocumentsStartup Folder,Untrusted files & settings,保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu),Broker Process,安全、兼容及使用方便的平衡,三者之間哪個(gè)最重要?三者之間哪個(gè)最昂貴？演示 XPS,安全、兼容及使用方便的平衡,對(duì)文件和注冊(cè)表提供虛擬服務(wù)并非所有區(qū)域都被虛擬,如IE設(shè)置

9、及系統(tǒng)區(qū)提供插件存入中級(jí)區(qū)域功能低級(jí)進(jìn)程不能彈出提示窗口,為什么?插件需要啟動(dòng)中級(jí)進(jìn)程并與之聯(lián)系提供中級(jí)代理進(jìn)程升級(jí)必須有提示升級(jí)免提示表,安全、兼容及使用方便的平衡,對(duì)ActiveX的安裝提供高級(jí)代理全新可選的標(biāo)準(zhǔn)用戶安裝ActiveX服務(wù)器(IT專業(yè)人士請(qǐng)留意)其他程序安裝由UAC的AIS提供服務(wù)較高級(jí)的COM服務(wù)器可在清單中指定允許低級(jí)進(jìn)程對(duì)其進(jìn)行綁定(BIND)允許指定的窗口消息(Windows Messag

10、e)來(lái)自于低級(jí)進(jìn)程,安全、兼容及使用方便的平衡,對(duì)Drag & Drop（拖放）格式與目的地進(jìn)行控制提供目的程序表危險(xiǎn)插件阻止表保護(hù)模式的運(yùn)行由URL的區(qū)域控制,部署使用中的常見(jiàn)問(wèn)題,插件寫至非允許區(qū)域插件的卸載對(duì)系統(tǒng)區(qū)、用戶區(qū)的寫操作向較高級(jí)進(jìn)程送窗口消息與較高級(jí)進(jìn)程共享內(nèi)存區(qū)和MUTEX較高級(jí)進(jìn)程存訪安全模式 Cookie插件類型:病毒掃描器、游戲插件、工具欄、IME,如何解決應(yīng)用中的問(wèn)題,用戶可信區(qū)域 (

11、Trusted Sites)暫時(shí)關(guān)掉保護(hù)模式運(yùn)行高級(jí)IE公司管理員免提示表HKLM\SOFTWARE\MICROSOFT\Internet Explorer\Low Rights\ElevationPolicy拖放策略表HKLM\SOFTWARE\MICROSOFT\Internet Explorer\Low Rights\DragDrop對(duì)Intranet關(guān)掉保護(hù)模式App Compat Toolkit,如何解決應(yīng)用

12、中的問(wèn)題,軟件開(kāi)發(fā)商免提示表拖放策略表在低級(jí)運(yùn)行App Compat Toolkit, Filemon, Regmon關(guān)掉UIPI (用戶界面特權(quán)隔離)提供卸裝程序避免使用RUNDLL32,如何解決應(yīng)用中的問(wèn)題,軟件開(kāi)發(fā)商新的程序接口(New APIs)IEShowSaveFileDialogIECancelSaveFileIESaveFileSHGetKnownFolderPath(FOLDERID_Local

13、AppDataLow)IEGetWriteableHKCU,如何解決應(yīng)用中的問(wèn)題,軟件開(kāi)發(fā)商新的程序接口(New APIs)IEIsProtectedModeProcessIEIsProtectModeURLIELaunchURLChangeWindowsFilterMessage,演示,IE 7 保護(hù)模式IE 7 瀏覽不良網(wǎng)站,議程,面臨的安全問(wèn)題解決方法 保護(hù)模式的目標(biāo)、基礎(chǔ)和結(jié)構(gòu)安全、兼容及使用方便的平衡部署