没有Windows的源访问权限,很难说出任何非推测性的内容。除了该免责声明,以下是我通过阅读以下内容收集到的内容:
UAC在登录时创建两个安全令牌:包含用户的完整组成员身份的提升令牌,以及剥离了“管理员”组成员身份的受限令牌。每个令牌都包含一个独特的本地唯一ID(LUID),用于标识登录会话。它们是两个单独且不同的登录会话。
从Windows 2000 Server SP2开始,映射的驱动器(在对象管理器名称空间中表示为符号链接)被标记有创建它们的令牌的LUID(您可以在此KBase文章中找到一些对此行为的Microsoft引用,并且可以在此博客文章中了解有关此功能机制的更多信息)。该功能的要旨是,一个登录会话创建的映射驱动器不能被另一登录会话访问。
设置EnableLinkedConnections值会触发LanmanWorkstation服务和LSA安全子系统(LSASS.EXE)中的行为,从而导致LSA将用户令牌之一映射的驱动器复制到另一个令牌的上下文中。这允许映射有提升令牌的驱动器对于受限令牌和相反对象是可见的。相对于域与非域环境,此功能的行为没有任何特殊性。如果您的用户在非域环境中使用“管理员”帐户运行,则默认情况下,其受限令牌和提升令牌将具有独立的驱动器映射。
在漏洞方面,微软似乎缺少官方文档。在2007年的一次有关UAC的对话中,我确实找到了评论和一名Microsoft员工的问题,询问潜在的漏洞。鉴于答案来自Jon Schwartz,他当时被称为“ UAC Architect”,倾向于认为他的回答具有可信度。这是他对以下询问的回答的要点:“ ...我没有发现任何信息可以描述技术上实际发生的事情,或者是否存在任何UAC漏洞。您能发表评论吗?”
从技术上讲,这会造成一个小漏洞,因为非提升的恶意软件现在可以“预先植入”驱动器号+映射到提升的上下文中-除非您最终得到针对您的环境的特定内容,否则这应该是低风险的。
就我个人而言,我想不出一种方法来“利用”该漏洞,只要通过驱动器映射“播种”提升的令牌仍然需要用户实际提升和执行来自“种子”驱动器映射的恶意内容。不过,我不是安全研究人员,因此我可能不会以良好的思维方式来探讨潜在的漏洞。
通过继续当客户开始部署Windows NT 4.0时(用户使用受限用户帐户登录)时开始的趋势,我在客户站点中使用了EnableLinkedConnections值。多年来,这对我们来说一直运作良好,并且在Windows 7中继续运作良好。