九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

緩解措施

防止繞過 UAC的最好的方法是在用戶的機器中不要給予他們本地管理員權(quán)限。在企業(yè)環(huán)境中的絕大多數(shù)用戶帳戶你都應(yīng)該這么去做，以減少受攻擊面。然而，這不適用于在默認情況下具有本地管理員權(quán)限的家庭用戶。

在實際的繞過中，僅對 UAC設(shè)置中的中間那兩個選項起作用。要查看你的設(shè)置你可以在控制面板——用戶帳戶——改變用戶帳戶控制設(shè)置 中查看。

僅當應(yīng)用程序嘗試更改我的計算機時通知我(默認)

僅當應(yīng)用程序嘗試更改我的計算機時通知我(不降低桌面亮度)

因此，我們需要設(shè)置為“總是通知”，但是這樣做有點像Windows Vista一樣會持續(xù)進行通知，所以這并不實用，并且到最后，用戶可能會設(shè)置為“從不通知”，這樣的話，看起來這并不是一個好主意。

Microsoft 提供了 10 個UAC策略，我們有必要在你的域環(huán)境中實施策略前花點時間來了解并測試這些策略。你可以在開始-運行中鍵入 secpol.msc 來打開本地計算機的本地安全策略并展開 本地策略，在安全選項里可以找到應(yīng)用在本地計算機的用戶帳戶控制策略?？梢允褂?rsop.msc 查看在域中應(yīng)用到本地的組策略。

在注冊表中，UAC的默認設(shè)置如下：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]"ConsentPromptBehaviorAdmin"=dword:00000005"ConsentPromptBehaviorUser"=dword:00000003"EnableInstallerDetection"=dword:00000001"EnableLUA"=dword:00000001"EnableSecureUIAPaths"=dword:00000001"EnableUIADesktopToggle"=dword:00000000"EnableVirtualization"=dword:00000001"FilterAdministratorToken"=dword:00000000"PromptOnSecureDesktop"=dword:00000001"ValidateAdminCodeSignatures"=dword:00000000

把“用戶帳戶控制設(shè)置”設(shè)置為“總是通知”，相關(guān)的注冊項的值改變?nèi)缦拢?/p>

"ConsentPromptBehaviorAdmin"=dword:00000002

把“用戶帳戶控制設(shè)置”設(shè)置為“僅當應(yīng)用程序嘗試更改我的計算機時通知我(不降低桌面亮度)” 相關(guān)的注冊項的值改變?nèi)缦拢?/p>

"PromptOnSecureDesktop"=dword:00000000

當把“用戶帳戶控制設(shè)置”設(shè)置為“從不通知”時，相關(guān)的注冊項的值改變?nèi)缦拢?/p>

"ConsentPromptBehaviorAdmin"=dword:00000000"EnableLUA"=dword:00000000"PromptOnSecureDesktop"=dword:00000000

我們注意到 "EnableLUA"的值為0 ，意味著UAC已被禁用。這是非常危險的，因此，強烈推薦您在組策略中設(shè)置此設(shè)置選項，這樣可以在用戶或者是被以前刪除的惡意軟件重置/改變了設(shè)置選項后，依舊可以應(yīng)用策略，啟用UAC。

用戶帳戶控制: 以管理員批準模式運行所有管理員

一旦禁用此策略將有不只一個惡意進程能夠直接并無需任何繞過行為就能以高級別完整性運行而且 IE瀏覽器進程的完整性級別為中等。在IE瀏覽器提供的額外的安全性中，UAC 給用戶提供了保護模式 (沙盒)。IE瀏覽器通常在低級別完整性的子進程中運行，因此會將IE 漏洞所帶來的一些威脅最小化并且在低級別完整性中，可寫入的位置很少。

上述這些改變在 Windows 7中有效，在Windows 8/8.1中 EnableLUA 不會被更改為禁用狀態(tài)。因此，在將“用戶帳戶控制”設(shè)置為“從不通知”時，只產(chǎn)生了下列改變：

"ConsentPromptBehaviorAdmin"=dword:00000000"PromptOnSecureDesktop"=dword:00000000

這個時候，由于“EnableLUA”=dword:00000001的值沒有發(fā)生改變，因此, UAC沒有完全禁用，同時IE瀏覽器依舊運行在低級別完整性中。

然而，如果一個用戶使用本地管理員帳戶登錄到計算機時，UAC的設(shè)置對于所有使用高級別完整性的進程是不起作用的。因此，在Windwos 7/8 和 8.1中，總是要確保用戶沒有使用本地管理員帳戶登錄計算機，如果將域帳戶添加到本地管理員組中將會更好的請求本地管理員權(quán)限。

不管出于什么原因使用本地管理員帳戶登錄計算機，最好設(shè)置 UAC 策略為啟用狀態(tài)。

用戶帳戶控制: 對內(nèi)置管理員帳戶使用管理審批模式

“FilterAdministratorToken”=dword:00000001

另一個選項則是如果在系統(tǒng)上不是必須需要這些程序，你可以重命名或刪除Mcx2Prov.exe、 sysprep.exe、 cliconfg.exe 和 pwcreator.exe 可執(zhí)行文件，這樣，在第二個步驟中利用 DLL 劫持就會失敗。

最后，如果用戶請求本地管理員權(quán)限并且值得他們修改計算機的UAC為“總是通知“，那么他們將會得到持續(xù)不斷的通知。

用戶帳戶控制: 在管理審批模式下管理員的提升提示行為(在安全桌面上同意提示)

結(jié)論

這些繞過方式僅在滿足所有的條件時才會起作用，只要有一個條件不滿足，那么繞過 UAC就會失敗。Office 文檔進程的完整性級別為中等，因此，這將是一個理想的用于 UAC繞過的目標。由于可以毫不費力地實現(xiàn) UAC 的繞過，真正唯一能做的就是將 UAC 設(shè)置為"始終通知"或刪除該用戶的本地管理權(quán)限。最后可以使用像微軟的 EMET或 MalwareBytes 來更好的防御零日漏洞。

這是一些源代碼和二進制文件，你可以自行測試。我測試了 Windows 企業(yè)版的 7/8/8.1 64 位系統(tǒng)。

參考與引用

http://technet.microsoft.com/en-us/magazine/2009.07.uac.aspx

http://technet.microsoft.com/en-us/magazine/2007.06.uac.aspx

http://windows.microsoft.com/en-gb/windows/what-is-user-account-control#1TC=windows-7

http://windows.microsoft.com/en-gb/windows/what-are-user-account-control-、settings#1TC=windows-7

http://blog.cobaltstrike.com/2014/03/20/user-account-control-what-penetration-testers-should-know

【編輯推薦】