強制完整性控制(MIC)

1、強制完整性控制(MIC強制完整性控制 (Mandatory Integrity Control, MIC 是 Windows Vista 和 Windows Server 2008 （注：這之后的版本都有） 中內(nèi)建的一個很酷的新的安全功能。它在 Windows XP 和 Windows Server 2003 中的 DACL (自主訪問控制列表）之外又為 Windows 資源（文件，進程等等）的安全性加了一層“保護罩”。從根本上來說，強制完整性控制給 Windows 操作系統(tǒng)中存在的資源添加了“完整性級別”。共有四種可能的完整性級別。它們是（按照權(quán)限從高到低）：系統(tǒng)完整性級別，高完整性級別，中

2、完整性級別，低完整性級別。系統(tǒng)服務運行于系統(tǒng)完整性級別，管理員的進程運行于高完整性級別，而所有在 Windows 中明確設置了完整性級別的資源默認都擁有中完整性級別。當一個資源試圖訪問另一個資源時，前者的完整性級別必須大于等于后者的完整性級別。完整性級別檢查甚至在 DACL 檢查前就執(zhí)行了。舉個例子，進程只能訪問小于等于它們完整性級別的文件。所以讓我們設想，我在我的本地帳戶（非管理員帳戶）上運行了記事本。默認情況下，記事本擁有中完整性級別。只要我嘗試寫入一個有中等或更低完整性級別的文件，操作就會成功。然而，如果存在一個文件，他的完整性級別是高等，那么記事本的寫入操作就會失敗，因為記事本沒有合適

3、的完整性權(quán)限來訪問和寫入那個資源。讓我們來實踐一下（如果你在使用 Windows Vista 或 Windows Server 2008（注：以及后續(xù)版本），你也可以試一試）。演示要進行此演示，你必須使用 Windows Vista 或 Windows Server 2008（注：后續(xù)版本.）1 運行記事本。2 輸入一些文字并將文件保存在桌面上，命名“test.txt”。現(xiàn)在我們有了一個帶有默認中完整性級別的文本文檔了。2012-1-14 18:31 上傳下載附件 (48.94 KB 3 以管理員身份運行命令提示符（從快捷方式右鍵并選擇“以管理員身份運行”）。2012-1-14 18:34 上

4、傳下載附件 (5.42 KB 4 在命令提示符中進入桌面目錄（默認的 Vista 安裝下，在命令行中輸入“cd C:UsersUSER_NAMEDesktop”）。2012-1-14 18:36 上傳下載附件 (54.55 KB 5 輸入這條命令來設置之前的文本文檔的完整性級別為高等：“icacls test.txt /setintegritylevel H”?，F(xiàn)在這個文件擁有高完整性級別，默認的記事本進程將無法保存這個文件。2012-1-14 18:38 上傳下載附件 (57.05 KB 6 再次運行記事本（確保它不是以管理員身份運行的，因為管理員權(quán)限會使它擁有高完整性級別，違背了這個實驗）。7 打開桌面上的 test.txt。8 改動文件并試著保存它。記事本會在保存時失?。ㄓ浭卤窘o出了一個“用戶友好的”錯誤，但這個錯誤事實上是“拒絕訪問”）。2012-1-14 18:42 上傳下載附件 (62.28 KB 現(xiàn)在你已經(jīng)實踐了強制完整性級別。然而，這還不是故事的結(jié)尾。你知道嗎？Internet Explorer 的 “保護模式” 事實上是使用了完整性級別來完成