Windows -komponentti | |
Käyttöliittymän käyttöoikeuksien eristäminen | |
---|---|
Mukana | Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 , Windows Server 2012 R2 , Windows Server 2016 |
Palvelun kuvaus | Pääsyn valvonta järjestelmäprosesseihin |
User Interface Privilege Isolation (UIPI ) on Windows Vistassa ja Windows Server 2008 : ssa käyttöön otettu tekniikka tuhoavien hyökkäysten torjumiseksi . Pakollisen eheyden valvonnan avulla se estää prosesseja, joiden eheystaso on alempi, lähettämästä viestejä korkeamman eheyden tason prosesseille (paitsi hyvin tietyt käyttöliittymän viestit). [1] Ikkunaviestit on tarkoitettu välittämään käyttäjän toimet prosesseille. Niitä voidaan kuitenkin käyttää mielivaltaisen koodin suorittamiseen vastaanottoprosessin yhteydessä. Haitallinen prosessi, jolla on alhainen eheystaso, voi käyttää tätä hyväkseen mielivaltaisen koodin suorittamiseksi korkeamman eheyden tason prosessin yhteydessä, mikä muodostaa etuoikeuksien eskaloinnin . UIPI:n avulla voit suojata järjestelmiä kumoamishyökkäyksiltä rajoittamalla pääsyä tiettyihin vektoreihin koodin suorittamista ja tietojen syöttämistä varten. [2]
UIPI ja Mandatory Integrity ovat yleensä suojausominaisuus, mutta eivät suojausraja. Julkisten käyttöliittymäsovellusten voidaan sallia ohittaa UIPI asettamalla "uiAccess"-arvoksi TOSI osana niiden luettelotiedostoa. Jotta tämä lippu voidaan asettaa Windows UIPI:ssä, sovellus on kuitenkin asennettava Ohjelmatiedostot- tai Windows-hakemistoon ja sillä on oltava kelvollinen digitaalinen allekirjoitus ja se on vahvistettava . Sovelluksen asentaminen mihin tahansa näistä sijainneista vaatii vähintään käyttäjän, jolla on paikallisen järjestelmänvalvojan oikeudet ja joka toimii korkean eheyden prosessissa.
Näin ollen haittaohjelmien , jotka yrittävät siirtyä asemaan, jossa se voi ohittaa UIPI:n, on:
Microsoft Office 2010 käyttää UIPI:tä "suojatussa näkymässä" estääkseen mahdollisesti haitallisia asiakirjoja muuttamasta järjestelmän komponentteja, tiedostoja ja muita resursseja. [3]