win32 - Session 0 隔离
在Windows XP,Windows Server 2003和Windows操作系统的早期版本中,所有服务都与登录控制台的第一个用户在同一会话中运行。该会话称为会话0。在会话0中一起运行服务和用户应用程序会带来安全风险,因为服务以提升的特权运行,因此是寻求提高自身特权级别的手段的恶意代理的目标。
Microsoft Windows Vista操作系统通过隔离会话0中的服务并使会话0非交互式来减轻此安全风险。在Windows Vista(和Windows Longhorn Server)中,仅系统进程和服务在会话0中运行。用户登录到会话1。在Windows Longhorn Server中,后续用户登录到后续会话(会话2,会话3等)。这意味着服务永远不会与用户的应用程序在同一会话中运行,因此受到保护,免受来自应用程序代码的攻击。
如果属于某个应用程序的服务在会话0中生成UI元素-例如一个对话框,等待用户单击“确定”或“取消”,则该应用程序正在等待该服务,并且UI未显示在用户会话中。从用户的角度来看,该应用程序似乎已挂起,而实际上它的运行相当正常,并且耐心等待用户看不到的用户响应!
我们可以想象-这给用户,管理员和开发人员带来了问题。但是,需要考虑一些快速缓解因素。
Windows Vista功能解决方案:
- 使用客户端或服务器机制(例如远程过程调用(RPC)或命名管道)在服务和应用程序之间进行通信。
- 使用 WTSSendMessage 函数在用户的桌面上创建一个简单的消息框。这使服务可以向用户发出通知并请求简单的响应。
- 对于更复杂的UI,请使用 CreateProcessAsUser 函数在用户会话中创建一个进程。
- 为服务可用的任何命名对象(例如事件或映射的内存)明确选择Local \或Global \命名空间。
有关:
