根据Microsoft,注册表设置EnableLinkedConnections将允许提升的进程访问当前登录(非提升)的资源管理器进程的网络共享.
This explanation有道理:
[…] When you’re a member of the
Administrators group and you log in,
your account is busted down to a
non-privileged user by UAC. This
running context is completely separate
from the context you get when you
right-click Command Prompt and launch
as an administrator. As you’ll
probably have noticed,network drives
connected in one context are not
visible in the other. […]
This forum thread询问此设置打开的漏洞.给出的答案链接到article关于禁用UAC提示(或者我理解).
现在的问题是,鉴于我们没有在域环境中运行,注册表设置EnableLinkedConnections在Windows 7系统上执行或允许的内容.
编辑:我特别感兴趣的一件事是这个设置是否只影响网络驱动器的(可见性)或它是否有任何其他影响.
UAC在登录时创建两个安全令牌:包含用户的完整组成员身份的提升令牌,以及已剥离“管理员”组成员身份的restricted token.每个令牌包含标识登录会话的不同的本地唯一ID(LUID).它们是两个独立且不同的登录会话.
从Windows 2000 Server SP2开始,映射的驱动器(在对象管理器命名空间中表示为符号链接)使用创建它们的令牌的LUID进行标记(您可以找到一些Microsoft对此行为的引用in this KBase article,您可以了解更多信息特征in this blog posting的机制.该功能的要点是,一个登录会话创建的映射驱动器不能被另一个登录会话访问.
设置EnableLinkedConnections值会触发LanmanWorkstation服务和LSA安全子系统(LSASS.EXE)中的行为,以使LSA将由其中一个用户令牌映射的驱动器复制到另一个令牌的上下文中.这允许使用提升的令牌映射的驱动器对受限令牌和反向可见.对于域与非域环境相比,此功能的行为没有任何特殊性.如果您的用户在非域环境中使用“管理员”帐户运行,则默认情况下,受限制的令牌和提升的令牌将具有独立的驱动器映射.
就漏洞而言,微软的官方文档似乎缺乏.我确实找到了a comment和a response from a Microsoft employee,询问了2007年UAC对话中的潜在漏洞.鉴于答案来自Jon Schwartz,他当时被称为“UAC架构师”,我倾向于考虑他的答案.信誉.以下是他对以下调查的答案的要点:“……我没有找到任何信息来描述技术上实际发生的情况,或者是否会打开任何类型的UAC漏洞.你能评论一下吗?”
Technically,it opens a small loophole since non-elevated malware can now “pre-seed” a drive letter + mapping into the elevated context — that should be low-risk unless you end up with something that’s specifically tailored to your environment.
就个人而言,我无法想到一种“利用”这个漏洞的方法,因为用驱动器映射“播种”提升的令牌仍然需要用户实际提升并执行来自“种子”驱动器映射的恶意内容.不过,我不是一名安全研究员,而且我可能不会以良好的思维方式接近这一点来提出潜在的攻击.
通过继续我们在客户开始部署Windows NT 4.0时开始的趋势 – 用户使用有限的用户帐户登录,我已经避免使用我的客户站点中的EnableLinkedConnections值.这对我们来说效果好多年,并且在Windows 7中继续运行良好.
