Blogs

Jedna z najdolezitejsich security zmien vo Viste - MIC

  • Comments 2
  • Likes

Castokrat som narazil na to, ze ludia (aj specialisti na security) vobec netusia, co MIC (Mandatory Integrity Control) znamena - preto som sa rozhodol o tom trosicku napisat.

Podla mojho nazoru je jednoznacne najvacsim security problemom Windows to, aky ludia ho pouzivaju - preto je Microsoft prinuteny byt obcas mudrejsi ako uzivatelia ;) Ja vobec neriesim, ci to je dobre (imho je to nutnost), alebo zle, je to bohuzial ten najvacsi problem.

Preto bolo vo Viste uvedene MIC - to znamena, ze aj ked uzivatel spusti nejaku aplikaciu, system dokaze detekovat, ci to ma len tak povolit alebo nie.

Funguje to tak, ze uzivatelsky access token dostava aj Integrity SID, ktore oznacuju ich uroven MIC opravneni - Low, Medium, High alebo System. Takisto kazdy objekt dostava MIC flag - subory, adresare, registre, tiskarny, sluzby, proste vsetko... Pokial sa napriklad aplikacia v Low/Medium mode pokusi zapisovat do nejakej oblasti (registry, filesystem...), ktora je oznacena ako High, nebude jej to umoznene s tym, ze musi byt vyvolana elevacia. Takze MIC ma PREDNOST pred nastavenim DACL - aj ked uzivatel ma pravo zapisu do urciteho adresara, proces s nizsim ISID tokenom sa tam vobec nemusi dostat.

Objekty, u ktorych nie je specificky uvedene inak, dostavaju automaticky medium MIC - takisto bezny uzivatel dostava medium MIC, takze ma prava k nim pristupovat.

Prikladom tejto technologie je napriklad Internet Explorer, ktory ma low ISID - uzivatel klikne na subor, ten sa stiahne, on ho spusti, lenze tento subor ma low ISID, takze aj ked sa pokusi zapisovat niekam, kam by nemal, uzivatel obdrzi vyzvu na povolenie operacie, aj ked uz IE nebezi.

Je to VELMI velka zmena a bohuzial o nej vacsina ludi ani netusi - je vymyslena vyborne, dokazom coho je prave aj to, ze si ju nikto len tak nevsimol ;)

Martin Zugec 

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • zdravim, zni to zajimave. jakym zpusobem muze administrator ten ISID nastavovat? treba jej nejakemu procesu snizit podobne jako ten zmineny iexplorer?

  • No priznam sa, ze zatial som neskusal, ale podla mojho nazoru to pojde cez Software Restrictions (a.k.a. SAFER) - tak sa da osekat IE uz na Windows XP...

    Martin