Windows 機密:你看見的是什麼就是什麼
有時候使用者要拿出相機幫監視器照張相,您也拿他們沒辦法。
鍾泰陳
近期,一位客戶報告在 Microsoft Office 資訊許可權管理 (IRM) 中發現了一個安全性漏洞:“通過以下幾個簡單步驟,我可以捕獲任意機密電子郵件的螢幕擷取畫面。 首先,在螢幕上打開電子郵件。 接下來,使用螢幕捕獲程式捕獲快照。 我覺得應該看到錯誤消息‘打開受 IRM 保護的內容時,螢幕擷取畫面功能禁用。 請關閉受 IRM 保護的文檔,然後重試’。”
實際上,此問題已開始造成了大量爭議,因此,我覺得有必要糾正一些錯誤的觀點,避免問題失控。 螢幕捕獲應用程式只是獲取對螢幕的訪問(通過調用 GetDC(NULL))。 然後,它使用 BitBlt 函數將內容複製到點陣圖中。
我們談到此操作幾年前在文章中,"如此平靜悄無聲息游標的情況下。"如果我是一個不誠實的人,我會要求較早的文章為了這一個為奠定基礎。
受 IRM 保護的文檔只不過是螢幕上的圖元集合。 圖形系統無從得知“等等,這是個特別圖元。 不能讓任何人讀取此圖元。”
即使圖形系統強制在圖元級別使用 IRM 保護內容,您仍可避開該保護機制。 您需要做的是通過遠端桌面連接 (RDC) 連接到電腦,然後在用戶端上按 PrtSc。 RDC 不知道哪些圖元由圖形系統進行“保護”,哪些圖元不受保護。
即使 RDC 具有某種工具來指定伺服器上的哪些圖元受 IRM 保護,您仍可以避開該保護。 只需使用遠端桌面用戶端,即可繞過所說的“保護圖元”功能。 您也可以編寫自己的用戶端,避開所說的“保護圖元”標記,將所有圖元視為未保護。
即使 RDC 伺服器能夠用某種方法檢測用戶端未遵守“保護圖元”標記,或者用戶端遭到阻止而無法訪問受保護的圖元,仍有別的方法可以避開任何保護。 您需要做的是通過網站查看文檔(例如將文檔放在您的 Exchange 郵箱中並使用 Outlook Web Access),然後在 Web 頁上按 PrtSc。 Web 流覽器當然不知道圖元是否受 IRM 保護。
即使 Web 流覽器通過某種方法知道哪些圖元受 IRM 保護並在這些圖元上調用了“保護圖元”,您還是可以用數碼相機來獲取顯示器的快照。 拍幾張照片,使用某種影像處理應用程式對結果去模糊,或者使用去模糊附件。
即使可以指示顯示器使用某個特殊的閃爍頻率來干擾數碼相機,還是有辦法避開保護。 坐下來,取出紙和筆抄寫。 記住文檔的內容(或者至少記住大意)並向朋友轉述。
Microsoft Office 中提供的 IRM 用途不是為了確保所呈現的內容無法由收件人複製。 它是一種威懾,不安全邊界。 目標是使使用者不會無意間違反文檔的安全資訊策略(例如向專案團隊之外的人員轉發電子郵件)。
有在解釋office.microsoft.com,說明 IRM"不能保護資訊從每個威脅,每人或每個組的情況。"它接著解釋說,"來確定,技術高超,和高薪的公司間諜,IRM 可能比一個暫時的挫折多一點"。事實上,該 Web 頁專門調用它不會阻止螢幕捕獲工具。
換而言之,對客戶報告的回復是“是的,您可以用這種方法來獲取受 IRM 保護的內容的副本。 同時也沒有技術方法可以阻止使用者記住電子郵件的內容並將內容洩漏給未授權的人員。 如果您不信任某人,那麼請不要與此人分享機密資訊。”
.jpg)
鍾泰陳's**Web 網站老的新東西和相類似的標題書 (艾迪生 - 衛斯理,2007年) 處理 Windows 歷史、 Win32 程式設計和 PowerPoint 卡拉 Ok。