Windows Vista的UAC功能浅析(二)（下）

Windows Vista区别对待不同的进程

同样是系统内置的组件，例如regedit、mmc等GUI组件，其兼容性设置也被锁死，但是为什么系统会主动询问是否提升权限？难道命令行工具是后妈养的，Windows Vista有意给它穿小鞋？
用记事本(或者其他编辑器)打开分别打开regedit.exe和sc.exe，进行仔细对比查看，发现了秘密所在：
regedit.exe和SC.exe的内容分别如下图所示。

图4

图5
从图中可以看出：
在SC.exe中有如下xml格式的语句：
level="asInvoker" 
regedit.exe中有如下xml格式的语句：
level="highestAvailable"
原来UAC有一种机制，可以由应用程序的manifest(程序清单)来指定该应用程序的运行级别，可以在manifest中指定以下三种级别：
• asInvoker：继承父进程的访问令牌，这就是为什么SC.exe默认运行在standard User环境下，因为继承了CMD Shell的访问令牌。
• highestAvailable：进程可以获得它所能得到的最高级别的访问令牌。
• requireAdministrator：进程必须由管理员组成员启动，并且必须获得完全级别的访问令牌。
唯一遗憾的是，只能由Microsoft自己对SC.exe的manifest信息进行修改，如果企图借助Winhex等工具直接修改SC.exe中的Manifest信息(例如试图将其RunLevel修改为"highestAvailable")，结果就会闹和笔者一样的笑话，收到“side by side”的出错消息──都是不懂开发给整的～

这里多说一句：如果病毒等恶意程序，也利用manifest信息在其代码里添加特权标记，会不会误导最终用户？
应该不会：
从Build 5308开始，Windows Vista会自动检查程序代码中的数字签名，并且在consent对话框里提供相应的警告信息。如果试图运行一个没有合法签名的程序，Windows Vista会警告说该程序没有合法的“身份证”，若要运行，后果自负。
要了解更多的有关manifest的信息，可以参考以下的微软官方文档：
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtWindows Vista.asp

实验查验Mandatory Label SID的作用

当系统尝试启动标记为高特权的进程时，Windows Vista并非不分青红皂白，一味地弹出consent对话框要求确认。
其实这个问题在笔者的拙作《Windows Vista的UAC功能浅析(一)》中曾经提到过Windows Vista新引入了几个“古怪的SID(在本文，这些SID统称为Mandatory Label SID)：
• Medium Mandatory Level：其SID为S-1-16-8192。
• High Mandatory Level：其SID为S-1-16-12288
• System Mandatory Level：其SID为S-1-16-16384
• Low Mandatory Level：该标志主要用于保护模式的IE浏览器等进程
这三个“古怪”帐户SID，实际上就是专门用来标记访问令牌的，这些帐户既不能用于登录，也不能用于安全权限分配。
笔者在Windows Vista CTP 5308虚拟机上，分别做以下三个实验：
(1) 直接运行regedit，会弹出consent对话框确认提升权限，这时候的父进程为explorer.exe，其Mandatory Label SID为“Medium Mandatory Level”。
(2) 以“Run as administrator”方式打开一个CMD Shell，这时候CMD进程的Mandatory Label SID为“High Mandatory Level”，在其下可以打开regedit，而无需确认。
(3) 按下ctrl+alt+del组合键，在Winlogon Desktop上单击“Start Task Manager”按钮，即可弹出如下图所示的窗口，实际上就是一个taskmgr.exe进程，其Mandatory Label SID为“Medium Mandatory Level”，这里在Process Explorer里记下其PID(假设为2272)：

图6
在该窗口上单击“All programs on this computer”按钮，即可弹出一个consent对话框要求确认权限的提升。确认后即可弹出任务管理器，这时候原来的taskmgr进程(PID为2272)就会被自动杀死，现在我们在Process Explorer里打开新启动的taskmgr进程的属性对话框，可以看到其父进程就是那个已经被杀死的PID为2272的进程！如下图所示。难怪需要确认是否提升权限。

图7
根据实验结果，我们可以得出以下的结论：
当我们尝试启动某个标记为需要高特权的进程时，Windows Vista会检查其“父进程”的访问令牌，并根据访问令牌里的Mandatory Label SID进行相应的判断：
• 如果是Medium Mandatory Level：则弹出consent对话框要求确认权限的提升。
• 如果是High Mandatory Level：则直接以完全权限打开目标进程，而无需确认。
• 如果是System Mandatory Level：则直接以完全权限打开目标进程，而无需确认。
这里需要注意的是，在Build 5231的Windows Vista版本里，如果按下“ctrl+alt+del”组合键，会直接弹出一个拥有完全权限的任务管理器，因为这时候任务管理器的父进程是winlogon，其Mandatory Label SID为“System Mandatory Level”。

馒头版的UAC

之所以没有给命令行添加所谓的UAC功能，猜想Microsoft考虑到使用命令行的用户大多是IT Pro，在命令行中屏蔽UAC功能，可以有效防止最终用户无意之中运行高危险的命令，例如format、BCDEDIT等，从而避免对系统的毁灭性打击。
尽管如此，笔者还是期待能够看到适用于预命令行的UAC，这里笔者“效颦”胡戈同志的“馒头”巨著，设计一个命令行版本的UAC工作界面，聊搏读者诸公一笑耳。

图8