Контроль учетных записей: повышение прав только для UIAccess-приложений, установленных в безопасном расположении
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Контроль учетных записей: повышение прав только для приложений UIAccess, установленных в безопасном расположении.
Справочные материалы
Этот параметр политики задает требование обязательного расположения приложений, запрашивающих запуск с уровнем целостности UIAccess (с пометкой UIAccess=true в манифесте приложения) в безопасном месте в файловой системе. Относительно безопасными расположениями можно считать следующие каталоги:
\Program Files\, включая вложенные папки;
\Windows\System32\;
\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows.
Примечание
Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности.
Общие сведения
Ограничение привилегий пользовательского интерфейса (UIPI) реализует ограничения в подсистеме Windows, не позволяющие приложениям с более низким уровнем привилегий отправлять сообщения или устанавливать обработчики в процессах с более высоким уровнем привилегий. Приложения с более высоким уровнем привилегий могут отправлять сообщения в процессы с более низким уровнем привилегий. Ограничение привилегий пользовательского интерфейса не может повлиять на поведение сообщений между приложениями на одном уровне привилегий (или целостности).
Модель автоматизации пользовательского интерфейса Майкрософт — это текущая модель поддержки требований специальных возможностей в операционных системах Windows. Приложения, созданные для поддержки доступных возможностей пользователей, определяют поведение других приложений Windows от имени пользователя. Когда все приложения на клиентском компьютере и сервере выполняются от имени обычного пользователя (т.е. на среднем уровне целостности), ограничения UIPI не оказывают влияния на модель автоматизации пользовательского интерфейса Майкрософт.
Однако в некоторых случаях администратор может запускать приложение с повышенным уровнем привилегий на основе UAC в режиме одобрения администратором. Модель автоматизации пользовательского интерфейса Майкрософт не может управлять графикой пользовательского интерфейса приложений с повышенным уровнем привилегий на рабочем столе без возможности обхода ограничений, налагаемых UIPI. Возможность обхода ограничений UIPI на всех уровнях привилегий доступна для программ автоматизации пользовательского интерфейса посредством UIAccess.
Если при запросе уровня привилегий приложение предоставляет атрибут UIAccess, это указывает на необходимость обхода ограничений UIPI для отправки сообщений между разными уровнями привилегий. Перед запуском приложения с привилегией UIAccess устройства выполняют следующие проверки политики.
Приложение должно использовать цифровую подпись, подлинность которой может быть подтверждена с использованием цифрового сертификата, привязанного к хранилищу "Доверенные корневые центры сертификации" на локальном устройстве.
Приложение должно быть установлено в локальной папке, запись в которую могут выполнять только администраторы, например в каталоге Program Files. Разрешенные каталоги для приложений автоматизации пользовательского интерфейса:
%ProgramFiles% и вложенные папки;
%WinDir% и вложенные папки, за исключением нескольких папок, к которым имеют доступ на запись обычные пользователи.
Возможные значения
Включено
Приложение может запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы.
Отключено
Приложение может запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы.
Рекомендации
- Выберите для этой политики значение Включено, чтобы разрешить приложениям, расположенным в одном из указанных безопасных каталогов, запуск с уровнем целостности UIAccess.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Уровень целостности UIAccess позволяет приложению обойти ограничения привилегий пользовательского интерфейса (UIPI) при повышении уровня привилегий с обычного пользователя до администратора. Когда этот параметр включен, приложение, в манифесте которого для флажка UIAccess установлено значение true, может обмениваться информацией с приложениями, выполняемыми на более высоком уровне привилегий, например с выводом диалога входа и запроса повышения уровня привилегий. Данная возможность необходима для поддержки специальных возможностей, таких как программы чтения с экрана, передающие пользовательские интерфейсы в альтернативных формах, однако для большинства приложений она не требуется. Процесс, запускаемый с правами UIAccess, позволяет:
Устанавливать окно переднего плана;
Управлять окном любого приложения с использованием функции SendInput;
Использовать функцию чтения вводных данных для всех уровней целостности с помощью обработчиков нижнего уровня, необработанных входных данных, команд GetKeyState, GetAsyncKeyState и GetKeyboardInput;
Устанавливать обработчики журнала;
Использовать команду AttachThreadInput для подключения цепочки к очереди ввода с более высоким уровнем целостности.
Меры противодействия
Активируйте параметр Контроль учетных записей: повышение прав только для UIAccess-приложений, установленных в безопасном расположении.
Возможные последствия
Если приложение, запрашивающее UIAccess, соответствует требованиям параметра UIAccess, компьютеры с операционной системой не ниже Windows Vista запускают приложение с возможностью обхода большинства ограничений UIPI. Если приложение не соответствует ограничениям безопасности, оно запускается без прав UIAccess и может взаимодействовать только с приложениями с таким же или более низким уровнем привилегий.