사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승

  • 아티클

사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승 보안 정책 설정에 대한 모범 사례, 위치, 값, 정책 관리 및 보안 고려 사항을 설명합니다.

참조

이 정책 설정에서는 UIAccess 무결성 수준으로 실행(앱 매니페스트에서 UIAccess=true 지정)되도록 요청하는 앱이 파일 시스템의 안전한 위치에 상주하도록 요구합니다. 비교적 안전한 위치는 다음 디렉터리로 제한됩니다.

  • \Program Files\(하위 디렉터리 포함)

  • \Windows\system32\

  • \Program Files (x86)\(64비트 Windows 버전에 대한 하위 디렉터리 포함)

참고  

Windows에서는 이 보안 설정 상태에 관계없이 UIAccess 무결성 수준으로 실행을 요청하는 대화형 응용 프로그램에 대해 PKI 서명 확인을 적용합니다.

 

배경

UIPI(사용자 인터페이스 권한 격리)는 낮은 권한 응용 프로그램이 메시지를 보내거나 더 높은 권한 프로세스에서 후크를 설치하지 못하도록 하는 제한을 Windows 하위 시스템에서 구현합니다. 더 높은 권한 응용 프로그램은 더 낮은 권한 프로세스로 메시지를 보내도록 허용됩니다. UIPI는 동일한 권한(또는 무결성) 수준에서는 응용 프로그램 간의 메시지 동작을 방해하거나 변경하지 않습니다.

Microsoft UI 자동화는 Windows 운영 체제에서 접근성 요구를 지원하기 위한 최신 모델입니다. 액세스할 수 있는 사용자 환경을 지원하도록 설계된 응용 프로그램은 사용자 대신 다른 Windows 응용 프로그램의 동작을 제어합니다. 자동화 클라이언트 컴퓨터 및 서버의 모든 응용 프로그램을 표준 사용자로 실행할 경우(즉, 중간 무결성 수준에서), UIPI 제한이 Microsoft UI 자동화 모델을 방해하지 않습니다.

그러나 관리자가 관리자 승인 모드에서 UAC를 기반으로 상승된 권한을 사용해서 응용 프로그램을 실행하는 경우가 있을 수 있습니다. Microsoft UI 자동화는 UIPI가 구현하는 제한 사항을 무시하지 못하면 바탕 화면에서 권한이 상승된 응용 프로그램의 UI 그래픽을 구동할 수 없습니다. 여러 권한 수준 간에 UIPI 제한 사항을 무시하는 기능은 UIAccess를 사용하여 UI 자동화 프로그램에서 사용할 수 있습니다.

응용 프로그램은 권한을 요청할 때 UIAccess 특성을 제공하는 경우 권한 수준 간에 메시지를 보내기 위해 UIPI 제한 사항을 바이패스해야 함을 알립니다. 디바이스에서 UIAccess 권한을 사용하여 응용 프로그램을 시작하기 전에 다음 정책 검사를 구현합니다.

  1. 응용 프로그램은 로컬 디바이스의 신뢰할 수 있는 루트 인증 기관 저장소와 연결된 디지털 인증서를 사용하여 확인할 수 있는 디지털 서명이 있어야 합니다.

  2. 응용 프로그램은 Program Files 디렉터리와 같이 관리자만 쓸 수 있는 로컬 폴더에 설치되어야 합니다. UI 자동화 응용 프로그램에 허용되는 디렉터리는 다음과 같습니다.

    1. %ProgramFiles% 및 해당 하위 디렉터리

    2. %WinDir% 및 해당 하위 디렉터리(표준 사용자에게 쓰기 권한이 있기 때문에 제외되는 몇 가지 하위 디렉터리를 제외)

가능한 값

  • 사용

    응용 프로그램은 파일 시스템의 보안 위치에 있는 경우에만 UIAccess 무결성으로 시작될 수 있습니다.

  • 사용 안 함

    응용 프로그램은 파일 시스템의 보안 위치에 있지 않은 경우에도 UIAccess 무결성으로 실행될 수 있습니다.

모범 사례

  • 지정된 보안 디렉터리 중 하나에 있는 응용 프로그램이 UIAccess 무결성으로 실행되도록 하려면 이 정책을 사용으로 설정합니다.

위치

컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션

기본값

다음 표에는 이 정책의 실제 유효한 기본값이 나와 있습니다. 기본값은 정책의 속성 페이지에도 나와 있습니다.

서버 유형 또는 GPO 기본값

기본 도메인 정책

정의되지 않음

기본 도메인 컨트롤러 정책

정의되지 않음

독립 실행형 서버 기본 설정

사용

DC의 유효한 기본 설정

사용

구성원 서버의 유효한 기본 설정

사용

클라이언트 컴퓨터의 유효한 기본 설정

사용

 

정책 관리

이 섹션에서는 이 정책을 관리하는 데 사용할 수 있는 기능과 도구를 설명합니다.

다시 시작 요구 사항

없음. 이 정책이 로컬에 저장되었거나 그룹 정책을 통해 배포된 경우 디바이스를 다시 시작하지 않아도 이 정책의 변경 내용이 적용됩니다.

그룹 정책

모든 감사 기능이 그룹 정책에서 통합됩니다. GPMC(그룹 정책 관리 콘솔) 또는 도메인, 사이트 또는 OU(조직 구성 단위)에 대한 로컬 보안 정책 스냅인에서 이러한 설정을 구성하고, 배포하고, 관리할 수 있습니다.

보안 고려 사항

이 섹션에서는 공격자가 기능 또는 기능의 구성을 어떻게 악용할 수 있는지와 이에 대한 보호 조치를 시행하는 방법 및 보호 조치를 시행함으로써 발생할 수 있는 부정적인 결과를 설명합니다.

취약성

UIAccess 무결성은 응용 프로그램이 표준 사용자에서 관리자로 권한이 상승될 때 UIPI(사용자 인터페이스 권한 격리) 제한을 무시할 수 있도록 합니다. 이 설정을 사용하도록 지정하면 해당 매니페스트에서 UIAccess 플래그가 true로 설정된 응용 프로그램은 로그온 프롬프트 및 권한 상승 프롬프트와 같은 더 높은 권한 수준에서 실행 중인 응용 프로그램과 정보를 교환할 수 있습니다. 이 기능은 사용자 인터페이스를 대체 형식으로 전송하는 화면 읽기 프로그램과 같은 접근성 기능을 지원하는 데 필요하지만 대부분의 응용 프로그램에서는 필요하지 않습니다. UIAccess 권한으로 시작되는 프로세스에는 다음 기능이 있습니다.

  • 전경 창을 설정합니다.

  • SendInput 함수를 사용하여 모든 응용 프로그램 창을 구동합니다.

  • 하위 수준 후크, 원시 입력, GetKeyState, GetAsyncKeyState 및 GetKeyboardInput을 사용하여 모든 무결성 수준에 대한 읽기 입력을 사용합니다.

  • 저널 후크를 설정합니다.

  • AttachThreadInput을 사용하여 스레드를 더 높은 무결성 입력 큐에 연결합니다.

보호 조치

사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 응용 프로그램만 권한 상승 설정을 사용하도록 지정합니다.

잠재적 영향

UIAccess를 요구하는 응용 프로그램이 UIAccess 설정 요구 사항을 충족하면 Windows Vista 이상 운영 체제가 실행되는 컴퓨터는 대부분의 UIPI 제한 사항을 무시하는 기능을 사용하여 응용 프로그램을 시작합니다. 보안 제한을 충족하지 않는 응용 프로그램은 UIAccess 권한 없이 시작되고, 같거나 더 낮은 권한 수준의 응용 프로그램과만 상호 작용할 수 있습니다.

관련 항목

보안 옵션