第 2 劑:界定 IL 級別,避免低權限向高權限者傳訊息
UAC 透過設定 IL 級別,讓低 IL 級別的程式不能發訊息給高級別的程式,便可以解決以往在 Windows XP 上的 UIPI (使用者介面隔離政策) 的問題。在 Vista 中,邱銘彰表示,Local users 不再是登入到 Session 0 而是 Session 1 ,如此一來,就可以將高權限系統服務 (High-Privilege System Services) 的訊息與使用者分開。
再者,透過 UIPI,即使是同一個使用者的程式,只要 IL 級別不同,低級別就不能傳遞訊息給高級別。「UAC 設定可以透過群組原則或本機安全性原則,來停用這個功能。」他說,UAC 功能啟動後,即使出現某一個惡意程式入侵,也可以縮小災難範圍,將破壞隔離在某一個使用者權限的範圍中,並不影響整臺電腦的系統安全性。
李倫銓指出,微軟 Vista 的 UAC 機制有一個缺點,就是它無法指定或配置任務策略,也就是說,當使用者不論以哪一個權限登入時,UAC 一定會開啟,也一定會跳出那個警告視窗。他進一步指出,使用者不能設定特定政策去關閉某個程式運行,使其不跳出 UAC 的警告視窗,雖然造成使用不便,但這也是微軟的安全考量。
Nanika 表示,若從防護技術看,Vista 系統的設計思維與系統架構設計,可以防止 Vista 的弱點被利用、防止 Word、DNS 以及 ANI 的弱點可被用來植入惡意程式,也可以阻止惡意程式植入的方式。他表示,UAC 是一種權限的提升,會出現微軟警示視窗,可防止應用程式弱點被應用。但這通常存在一個潛在問題,Nanika 說,使用者難區分正常或不正常的程式,一味的點選 yes 選項,可能讓攻擊手法回歸到最早的騙術方式,讓使用者同意假冒的正常程式而植入惡意程式。
臺灣賽門鐵克資深技術總監王岳忠表示,目前微軟將 UAC 的同意權交由使用者判斷,未來是否可以由作業系統收集足夠的訊息、判斷同意安裝的程式是否具有惡意,應該是未來 UAC 可以進一步做到的功能。
下一頁
