Что делает параметр реестра EnableLinkedConnections на техническом уровне?

Примечание. Основная проблема для меня - получить доступ к сетевому ресурсу, который я (администратор Win 7) настроил при запуске программы с повышенными правами. Обычно программа с повышенными правами не имеет доступа к моим сетевым ресурсам без повышенных прав.

Согласно Microsoft, параметр реестра EnableLinkedConnections позволит процессам с повышенными правами получить доступ к сетевому ресурсу текущего вошедшего (не повышенного уровня) процесса обозревателя.

Это объяснение имеет некоторый смысл:

[...] Когда вы входите в группу «Администраторы» и входите в систему, ваша учетная запись отправляется UAC непривилегированному пользователю. Этот рабочий контекст полностью отделен от контекста, который вы получаете, когда вы щелкаете правой кнопкой мыши по Командная строка и запускаетесь от имени администратора. Как вы, наверное, заметили, сетевые диски, подключенные в одном контексте, не видны в другом. [...]

Эта ветка форума спрашивает об уязвимостях, открытых этим параметром. В ответе даны ссылки на статью об отключении подсказок UAC (или я так понимаю).

Теперь вопрос заключается в том, что параметр реестра EnableLinkedConnections делает или разрешает в системе Windows 7, учитывая, что мы не работаем в доменной среде .

Изменить: Одна вещь, которая меня особенно интересует, заключается в том, влияет ли этот параметр только (видимость) сетевых дисков или имеет какие-либо другие последствия.

Не имея доступа к исходным текстам в Windows, трудно сказать что-то, что не является спекуляцией. Помимо этого заявления об отказе, вот что я смог найти, прочитав это:

UAC создает два токена безопасности при входе в систему: повышенный токен, содержащий полные членства пользователя в группе, и ограниченный токен, в который входит членство в группе «Администраторы». Каждый токен содержит отдельный локально уникальный идентификатор (LUID), который идентифицирует сеанс входа в систему. Это две отдельные и разные сессии входа в систему.

Начиная с Windows 2000 Server SP2, сопоставленные диски (которые представлены в виде символических ссылок в пространстве имен диспетчера объектов) помечены LUID токена, который их создал (вы можете найти некоторые ссылки Microsoft на это поведение в этой статье KBase , и вы можете узнайте больше о механике функции в этой записи блога ). Суть этой функции заключается в том, что подключенные диски, созданные одним сеансом входа, не доступны для другого сеанса входа.

Установка значения EnableLinkedConnections запускает поведение в службе LanmanWorkstation и подсистеме безопасности LSA (LSASS.EXE), чтобы заставить LSA копировать диски, сопоставленные одним из токенов пользователя, в контекст другого токена. Это позволяет дискам, сопоставленным с повышенным токеном, быть видимыми для ограниченного токена и наоборот. Нет никаких особенностей поведения этой функции по отношению к домену по сравнению с не доменной средой. Если ваши пользователи работают с учетными записями «Администратор» в среде, отличной от домена, их ограниченные токены и маркеры с повышенными правами по умолчанию будут иметь независимые сопоставления дисков.

С точки зрения уязвимости официальная документация от Microsoft, похоже, отсутствует. Я нашел комментарий и ответ от сотрудника Microsoft, спрашивающего о потенциальных уязвимостях в разговоре об UAC от 2007 года. Учитывая, что ответ исходит от Джона Шварца, который в то время назывался «Архитектор UAC», я бы склонны считать его ответ заслуживающим доверия. Вот суть его ответа на следующий запрос: «... Я не нашел никакой информации, чтобы описать, что на самом деле происходит технически, или если это открывает какие-либо лазейки UAC. Можете ли вы прокомментировать?»

Технически, это открывает небольшую лазейку, так как вредоносные программы без повышенных прав теперь могут «предварительно заполнить» букву диска + отображение в расширенном контексте - это должно быть с низким уровнем риска, если вы не получите что-то, специально предназначенное для вашей среды.

Лично я не могу придумать, как «эксплуатировать» эту лазейку, поскольку «заполнение» маркера с повышенными правами с помощью сопоставления дисков потребует от пользователя фактического повышения и выполнения чего-то вредоносного из этого «засеянного» сопоставления дисков. Я не исследователь безопасности, хотя, и, возможно, я не подхожу к этому с хорошим настроем, чтобы придумать потенциальные эксплойты.

Я уклонился от использования значения EnableLinkedConnections на своих сайтах клиентов, продолжая тенденцию, которая возникла у нас, когда клиенты начали развертывание Windows NT 4.0, когда пользователи входят в систему с ограниченными учетными записями. Это хорошо работало в течение многих лет и продолжает хорошо работать в Windows 7.

Проще говоря, он связывает ваши полномочия суперпользователя с вашими обычными учетными данными. Это, конечно, более сложно, но в основном даже ваша учетная запись «администратор» в Windows 7 не является администратором, но для выполнения множества операций необходимо сделать эквивалент SUDO в Linux. Когда вы подключаете сетевой диск, вам нужно это сделать, но сетевой диск становится подключенным только для суперпользователя, а не обычного пользователя. Этот параметр реестра связывает учетные данные суперпользователя со стандартными для назначенных дисков. Таким образом, оба могут получить доступ к подключенному диску, а не только к суперпользователю.