LSA WinLogon LogonUI 凭据提供者接口凭据提供者2 - Microsoft ...
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Vista程序
查看注册表编辑器、记事本的程序清单
旧版程序
手动设置以管理员帐户运行
程序兼容性问题
Windows 资 源 保 护
64 Windows Vista Microsoft GINA
Microsoft GINA
Microsoft GINA
用 户 帐 户 控 制
服 务 隔 离
服 保 务 护 隔 模 离 式
现在可 以了 用户配置文件
重定向
写入
C:\Windows
虚拟重定向
程序兼容性问题
Windows 资 源 保 护
64 Windows Vista Microsoft GINA
Microsoft GINA
Microsoft GINA
用 户 帐 户 控 制
服 务 隔 离
服 保 务 护 隔 模 离 式
IE 网 保 络 护 架 模 构 式
应用程序 B 会话 2
应用程序 G
服务 C
应用程序 K
应用程序 L
应用程序 CH
应用程序
应用程序 I
服务隔离
Windows Vista下的服务
会话 0
服务 A 服务 B 服务 C
会话 1
应用程序 A
应用程序 B 应用程序 C
会话 3
应用程序 G
会话 2
应用程序 D
应用程序 H
应用程序 I
应用程序 E
没事,有虚拟重定向呢! 仅对旧版程序:程序清单里没有指定运行级别 重定向基于每个特定用户
旧版应用程序
写入
对不起, 没权限! C:\Windows
虚拟重定向─我的地盘我作主
旧版程序没权限写受保护资源,怎么办?
没事,有虚拟重定向呢! 仅对旧版程序:程序清单里没有指定运行级别 重定向基于每个特定用户
旧版应用程序
演示Task Manager服务的打开窗口
Fra Baidu bibliotek 程序兼容性问题
Windows 资 源 保 护
64 Windows Vista Microsoft GINA
Microsoft GINA
Microsoft GINA
用 户 帐 户 控 制
服 务 隔 离
IE 服 保 务 护 隔 模 离 式
IE 网 保 络 护 架 模 构 式
处理原则
把指定网站加入“可信站点”区域,以提升运行级别 修改外部程序,使之允许IE访问、或者接受窗口消息
把网站加入“可信站点”区域
程序兼容性问题
Windows 资 源 保 护
64 Windows Vista Microsoft GINA
应用程序 F
服务隔离
功能特性
服务位于会话0,登录用户位于会话1 天然的安全屏障,恶意程序无法跨越会话攻击服务
兼容问题
服务和用户天然隔离,用户看不到服务窗口
处理办法
交互式服务检测服务,帮助我们查看服务窗口
已经把任务管理器安装为服务,名为Task Manager
提示:把应用程序安装为服务的具体方法请参考ITECN博客
IE 网 保 络 护 架 模 构 式
版 本 网 检 络 测
版 本 检 测
位
诊 断 与 减 缓 基 本 指 导 原 则
IE
Windows资源保护
功能特性
同时保护重要的系统文件和注册表键值 只有操作系统和微软可分发包才能修改这些受保护资源
兼容问题
替换受保护的系统文件时,拒绝访问 写入受保护的注册表键值时,拒绝访问
Microsoft GINA
Microsoft GINA
用 户 帐 户 控 制
服 务 隔 离
IE 服 保 务 护 隔 模 离 式
IE 网 保 络 护 架 模 构 式
版 本 网 检 络 测
版 本 检 测
位
诊 断 与 减 缓 基 本 处 理 原 则
程序兼容性问题
Windows 资 源 保 护
64 Windows Vista Microsoft GINA
版 本 网 检 络 测
版 本 检 测
位
诊 断 与 减 缓 基 本 处 理 原 则
IE
服务隔离
Windows XP下的服务
会话 0 会话 0
服务 A 服务 B 服务 C
应用程序 A
会话 1
应用程序 D
服务 A
应用程序 B 应用程序 C
应用程序 A
应用程序 E 应用程序 F
会话 3
服务 B
应用程序 J
版 本 网 检 络 测
版 本 检 测
位
诊 断 与 减 缓 基 本 处 理 原 则
IE保护模式
功能特性
IE浏览器的权限最低,比标准用户进程更安全 恶意网页无权修改用户配置文件和注册表键值 就算IE浏览器被攻陷,也无法感染其他进程
兼容问题
如果IE控件需要和外部进程共享数据,则会失败 IE浏览器不能向外部进程发送窗口消息
如果不了解,也没关系
我们会一起讨论以上特性的原理要点 专门准备了相关技术专题文章,可以访问: http://blogs.itecn.net/blogs/winvista/archive/2006/ 09/13/teched06.aspx
程序兼容性问题
Windows 资 源 保 护
Microsoft GINA 64 Windows Vista
Microsoft GINA
Microsoft GINA
用 户 帐 户 控 制
服 务 隔 离
服 保 务 护 隔 模 离 式
IE 网 保 络 护 架 模 构 式
版 本 网 检 络 测
版 本 检 测
位
诊 断 与 减 缓 基 本 处 理 原 则
IE
用户帐户控制
功能特性
管理员登录,照样以标准用户身份运行程序 安全:病毒、木马拿不到权限破坏系统 方便:可以照样执行管理任务
兼容问题
安装程序需要管理员权限,但是Windows不知道 应用程序需要管理员帐户,但是Windows不知道
用户帐户控制
处理方法 Windows Vista程序
必须在程序清单里标注所需的运行级别 尽可能允许以标准用户身份运行
旧版程序
程序清单里没指定运行级别,或者没有程序清单 需要手动设置以管理员身份运行
解决原则
不要替换Windows系统文件和注册表键值 不要把微软可分发包进行分拆、重新打包
虚拟重定向─我的地盘我作主
旧版程序没权限写受保护资源,怎么办?
没事,有虚拟重定向呢! 仅对旧版程序:程序清单里没有指定运行级别 重定向基于每个特定用户
虚拟重定向─我的地盘我作主
旧版程序没权限写受保护资源,怎么办?
WCI 343 如何处理Windows Vista上的应用程 序兼容性的问题
课程内容
创新和兼容:矛盾的两面体
哪些创新会带来兼容性问题? 如何从用户的角度去缓解这些兼容性问题?
这就是今天要和诸位分享的内容
准备知识
最好已经了解以下特性的基本情况
用户帐户控制 Windows资源保护 服务加固 IE保护模式