三大盾牌护航 安全不再烦扰

--------------------------------------------------------------------------------
技术难度：Windows高阶应用
适用人群：Windows高级用户，系统管理员。
适用系统：Microsoft Windows Client
--------------------------------------------------------------------------------

好多同学在过去的一年里一直“不敢”装Windows7，当然最主要的就是怕兼容性问题了，有的同学怕硬件不兼容，更多的同学却是怕日常使用最频繁的而年纪又比较大了的软件与Windows7不兼容。其实，这种种的不兼容问题除了最主要的Windows API改变之外其余的便大都由Windows7和Vista的安全机制的重大变化而引起。所以今天小吕同学就跟大家一块儿探讨一下Windows 7以及vista的安全特性，以及它们出现的副作用“兼容性”问题。另外，对于硬件不兼容的问题，小吕同学已经在前面的几篇文章里面同大家探讨了与此紧密相关的驱动程序的话题，参见《三大兵器在手 驱动从此无忧》；对于软件问题，小吕同学将在下一篇文章中跟大家探讨如何解决大部分的不兼容问题，以及如何通过XP-Mode与Windows7实现无缝对接，完全解决兼容问题。让大家的顾虑解除，以便大家早日用上Windows7。让大家能够早日推开窗，让windows7的阳光将你的电脑照亮。

通过本文你将了解到：

UAC(用户帐户控制)、MIC(强制完整性控制)、UIPI(用户界面特权隔离)、文件/注册表虚拟化、Data Redirection（数据重定向）、安全桌面、Session 0 Isolation（Session 0隔离）、User Interface Priviledge Isolation（用户特权隔离）、UAC Virtualization重定向等概念。

通过本文你将解决这些疑惑：

1，  什么是UAC？

2，  为什么我复制文件到系统盘的某些目录时系统会提示我要进行管理员权限的提升？这些目录有哪些呢？

3，  什么情况下需要我自己提升为“管理员权限”？

4，  是什么检测机制能让UAC权限提升对话框的弹出成为可能？

东西特别多，需要大家认真阅读哦。同时，小吕同学为了防止大家看的实在太烦闷，就把本文做成了一个专题，分三篇文章讲完。同时在最后的一篇文章里面，给出了众多的名词解释。比如，什么叫“安全上下文”“安全边界”“特权和权限的不同”等，同大家一块探讨。

从一个问题开始

不要着急，我们从一个我以前文章里出现的问题开始。迅雷的问题，当我们下载文件到系统根目录或Windows目录时，迅雷会提示我们下载到该存储路径需要系统管理员权限。  

 
而我点击了确定之后，依旧会提示下载不成功。

大家思考过出现这个提示的原因吗为什么应用程序不能自己进行管理员权限的提升呢？详细你在看完我的文章之后便会明白这个问题的缘由了。

我们正式开始：

三大盾牌

(1) UAC(用户帐户控制)

1，  管理员帐号登录：两个访问令牌(Token)

          Windows XP时代，大家都经历了那个装完系统之后，系统默认提供管理员帐号的那个时代，从而使大家都习惯了管理员身份，但是，在Windows7和Vista下发生了重大变化。

在Windows 7中，默认有两个级别的用户组，即标准用户组和管理员组，其中，标准用户是计算机 Users 组的成员；管理员是计算机 Administrators 组的成员。

而微软在Windows 7所做的改进在于，与Vista以前版本的 Windows 不同，默认情况下标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。这样，当用户登录到计算机后，系统为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息，其中包括特定的安全标识符(SID)和 Windows 权限。

如果登录用户属于管理员组，则Windows Vista为该用户创建两个单独的访问令牌对象(Token Object)：第一个是管理员令牌，拥有大多数特权(类似于Windows Vista之前操作系统的System中的用户)，而第二个是一个经过过滤后的简化版本，只拥有标准用户的权限。标准用户访问令牌包含的用户特定信息与管理员访问令牌包含的信息相同，但是已经删除管理 Windows 权限和 SID，用于启动不执行管理任务的应用程序。

同时操作系统的标准普通用户被限制访问一些核心文件，文件夹和注册表键值。

而在默认的情况下我们持有的是标准用户的访问令牌，于是，手持这个标准用户的访问令牌的我们在需要向应用程序所在的目录“Program Files”，Windows目录或者操作系统根目录(尤其是C:\)写入数据文件或向注册表HKLM/Software下写入键值或访问 Windows 安全信息以及读写系统登录数据库 (Registry) 的程序访问动作或执行管理任务的应用程序的时候，我们便被定格在了“安全桌面”这个大门外，这时，开启这扇大门的钥匙就是安全桌面上我们的鼠标指针的“确定”动作。

2，  安全桌面

      接上文，这一站我们来到了“安全桌面”这个大门前，

当用户的操作触发用户帐户控制机制提示需要提升权限继续操作时，除了弹出用户帐户控制对话框外，其余屏幕内的界面都像是被蒙上一层半透明的黑色，如图一。这样的目的并非为了突出用户帐号控制对话框，而是为了更加安全。 



                                       图一

此时看到的桌面并非真实的桌面影像，而是用户帐户控制机制瞬间生产的桌面快照作为安全桌面背景。

其实，在用户登录Windows7时的欢迎屏幕，按下Ctrl+Alt+Del组合键所看到的界面都是安全桌面。

由于用户帐户控制对话框(实际上是consent进程)实际运行在安全桌面上除了少数系统进程外（必须是SYSTEM运行的进程，当然用户本身自然也可以，安全桌面本身也属于WinSta0，可以接受用户键鼠事件），任何用户进程都无法和用户帐户对话框进行通信，这使得恶意程序无法仿冒提升权限对话框以便诱使用户点击。所以安全性非常好。

Windows 7提示用户将他们的安全上下文从标准用户更改或提升为管理员，这一过程被称为管理审核模式。只有在此模式下，应用程序需要特定的权限才能以管理员应用程序(具有与管理员相同访问权限的应用程序)运行。

休息一下，下文，我将和大家一块探讨UAC下一个非常好玩的现象——UAC数据重定向。你的程序明明把文件保存在了一个位置，那个位置却没有你保存的文件，但是，你的保存动作是成功了的，那么，文件哪里去了呢？另外同大家一块探讨从Windows Vista开始，windows7延续的系统安全架构中新增加的一种检测机制MIC。什么？麦克？麦克风？不是的，看了你就知道了。下篇文章，期待您的光临。

原文地址：http://blog.sina.com.cn/s/blog_4c38cd4b0100hep4.html