最小化特权和UAC Bypass（银狐作者你更新得不错，可惜什么用都没有，来看我更新）

莉塔林Rita

太好了！是彼洋的微软，我们没救了！

先介绍一下老朋友：UAC Bypass。

于2009年，微软引入了UAC（用户账户控制），皆在要求应用程序必须在显式声明管理员特权时，才授予其最高特权。

但如果不出意外的话，现在就要出意外了。

彼洋的微软为了用户方便省心（的打开银狐然后看着自己的电脑被不知道哪个犄角旮旯出来的BYD牛头人），默认定义的UAC级别实际上是无效的——UAC只有两个级别：“一直通知”和“永久关闭”。但这也是没用的：

另一件事需要澄清的是 UAC 的“始终通知”设置。通常人们认为，在默认状态下，即“仅在程序尝试对我的计算机进行更改时通知我”的 UAC 可以被许多方式绕过。例如，Metasploit 这样的利用框架有专门的模块来实现默认状态下的 UAC 绕过，此时进程会静默提升，没有任何 UAC 同意对话框。然而，同样的情况也适用于“始终通知”设置。例如，看看这里概述的技术。该技术的简要总结是，不是通过交互式请求提升，而是将进程注册到登录用户的任务计划程序中。在 Microsoft 术语中，这被称为 S4U（用户服务）。当任务执行时，将具有提升的权限，而无需获得权限提升用户的任何同意，即使 UAC 设置为最高安全设置“始终通知”也是如此。

可能这还不是最坏的，我们来看看彼洋的微软如何定义UAC的：

用户访问控制不被微软视为安全边界。原因是由于微软 Vista 及以后版本的设计，进程在启动时只持有有限的特权令牌，并且明确需要由默认状态下的 UAC 保护的提升权限。正如您所看到的，只要进程不请求提升权限，UAC 就不会介入。这意味着恶意软件将能够访问用户账户可以访问的所有内容，而无需任何提升权限。用户数据比获得 NT AUTHORITY\SYSTEM 权限重要得多。

是的，UAC从一开始就不是安全技术的一部分，或者彼洋得·微软也没计划这么做（众所周知微软喜欢抄东西，但是总能抄歪，你说对吧？Linux和BSD？）。

这两个原因直接导致如今UAC Bypass泛滥，UAC绕过的原理基于以上两点事实：首先，寻找那些有适当（最高）特权的进程，如果这些进程允许自己和对方进行交互，那么利用这个进程的特权将自己提升至管理员特权。

因此大家不要觉得自己把UAC打高了就安全了，于效果来说，那只是拒绝低特权程序和大部分系统服务进行交互，也就防御一下那些开源UAC Bypass罢了。





那UAC在什么情况下有效呢？答案很简单：你不用管理员账户的时候。

在你是标准用户的情况下，UAC将是满血存在（并且真正的方便省心的让用户随时切换到具备适当特权的用户）。

那么如何配置呢？

首先，进入组策略。



将红框中的内容修改为“在安全桌面提示凭据”和“已启用”。

“在安全桌面提示凭据”将意味着任何程序都必须在输入管理员账户的密码（Windows Hello PIN？指纹？人脸？）后才允许得到管理员特权，安全桌面将保护凭据不会被任何用户态恶意软件盗窃（包括管理员特权的用户态恶意软件）。


提示：银狐于今天更新了攻击方法，那就是现在会无限弹出管理员特权请求，如果让标准用户在遇到提权请求时使用安全桌面，则会被银狐作者这套困在安全桌面（必须注销账户才能恢复）。


解决也很简单，将“标准用户的提升提示行为”修改为“提示凭据”或者“自动拒绝提升请求”即可。


警告！如果修改为“提示凭据”，则恶意软件可以在用户态下盗取你的管理员账户密码（如果你的管理员账户没有使用Windows Hello）！为了最大程度安全请设置为“自动拒绝提升请求”！

如果修改为自动拒绝提升请求，那么银狐还是会闪退，系统也会警告“系统管理员已经阻止了这个应用”。






然后转移到计算机管理。



我这里修改了内置管理员账户的名字，于是你想要找到的就是你的内置管理员账户：Administrator。



将红色箭头的钩去掉，然后确定，再回到管理界面右键Administrator点设置密码。



在设置完成提示“密码已更改”后，找到你的账户，双击会弹出账户属性。

将隶属于修改为图上这样（只保留Users账户组）。



最后，点击确定，注销你的账户（注销后最好重启一次，我被Windows的暗坑吓怕了，重启一次以确保所有权限都按预期配置）。

在重新启动后，你当前的账户就会被降权为标准用户，此时你不需要担忧任何UAC Bypass和偷偷加载驱动干死你的安全软件的恶意程序（例如银狐）。

效果如图：



结论：

UAC 在用户没有管理员权限的情况下有很多好处。有一个单独的限制用户账户，每次需要提升权限时，用户都会被 UAC 提示要求输入管理员用户的密码。如果用户已经拥有管理员权限，UAC 就没什么用了。

已知的怪癖：

1.一些应用程序（例如VirtualBox）并不能很好的适配多用户环境，这类应用必须强制指定使用管理员特权运行。

2.同上，一些应用程序会出现配置混乱的情况，其根源也是因为大部分Windows开发者默认用户电脑只有一个账户、且这唯一的账户必然是管理员账户（这个愚蠢的思想甚至影响了一些安全软件开发者，为他们默哀）。

3.上面那两条只有极少数应用程序会出现，大部分应用不会有问题（严重警告：国产安全软件在这方面问题特别严重，如果你使用国产安全软件，请准备好这些安全软件原地崩溃甚至将系统搞坏的结果）。



拱火：

银狐作者你行不行啊？你快挖几个Avast、卡巴斯基、Bitdefender、Windows和其他一众软件的提权漏洞，别玩你那破UAC Bypass和漏洞驱动了，你这套在我家电脑上甚至加载不起来，都不如我邻居家（外婆家）五六岁熊孩子呢。





配套BGM（编写本文时）：https://music.163.com/song?id=449818153

Until the dawn they hold on

战至黎明，仍坚如磐石

Only 40 are left at the end

纵使仅余四十人

None alive, none survive

宁为玉碎，不为瓦全

Shiroyama

城山之役！

ANY.LNK

家庭版等用户对于此设置可参见
https://learn.microsoft.com/zh-c ... s-and-configuration
（加一个英文原版https://learn.microsoft.com/en-u ... s-and-configuration）
至于更改用户……

net user Administrator /active:Yes

net user Administrator <password>

net user Administrator /passwordreq:Yes

net localgroup Administrators <YourUserName> /delete

（未经测试，理论上是可行的……大概

然后重启吧

桔梗想见雪

太狠了，不过我还是在用administrator好用爱用

莉塔林Rita

桔梗想见雪 发表于 2024-12-23 09:50
太狠了，不过我还是在用administrator好用爱用

本来我也这样，直到我小姨嫁了个在以色列做建筑行业的姨父。

（唐突危机意识.png）
不过这套下去你依然很方便切换到管理员，只需要右键以管理员身份运行，然后输入你的管理员账户密码即可。

裂空我爱杰

我觉得它干不掉360

莉塔林Rita

裂空我爱杰 发表于 2024-12-23 09:57
我觉得它干不掉360

很难说，最近的几个版本直接加载漏洞驱动到内核然后杀360的。

所以不如让他去挖一下Windows或者别的安全软件的提权漏洞找点正事做，不然连我家都打不穿（）

bbszy

用user权限的话是不是所有需要uac提权的软件都运行不了了，比如大多数安装包。

莉塔林Rita

bbszy 发表于 2024-12-23 10:18
用user权限的话是不是所有需要uac提权的软件都运行不了了，比如大多数安装包。

可以运行，只要你电脑上还有管理员账户，会自动提示请输入当前计算机上的管理员账户的密码。
UAC会接管这个过程，而由于当前账户权限不是管理员权限，因此此时UAC是满血UAC（不受任何UAC Bypass技术的威胁，此时的UAC类似于Linux/BSD中的sudo和doas）。

因此你不需要担心这个问题，唯一要担心的是某些弱智开发者写的软件（默认电脑只有一个账户，且必然是管理员账户）。

bbszy

莉塔林Rita 发表于 2024-12-23 10:19
可以运行，只要你电脑上还有管理员账户，会自动提示请输入当前计算机上的管理员账户的密码。

因此你不 ...

那不认识银狐安装包的人使用了管理员账户运行呢

con16

降權限這是一定有用

管理員權限就是容易被弄

UAC某些下指令也是全程啞火就被過

莉塔林Rita

bbszy 发表于 2024-12-23 10:20
那不认识银狐安装包的人使用了管理员账户运行呢

在组策略中，可以配置为拒绝标准用户的一切提升请求，这个行为类似于Linux/BSD下将用户从doas/sudo组中删除（禁止提升为管理员特权）。

此策略建议在需要严格约束账户活动的环境（例如企业）使用。

您也可以同时配置为“只允许提升具有有效数字签名的程序”，这将进一步约束账户行为。

请注意：你不能假设此时用户变着花样故意破坏计算机、或者对其行为完全不负责任，任何安全技术的前提均为“用户配合”——如果坏人能说服你在电脑上以他希望的方式运行恶意软件，或者用户就是那个坏人，那么一切都结束了。