圖16
另外���,對于No DACL的情況,也有額外的處理邏輯���。AppContainer進程訪問No DACL的對象時���,是無法獲得訪問權(quán)限的:
圖17
所以在Win8及以上系統(tǒng)中,我們?nèi)绻胍獎?chuàng)建一個所有進程(包括開啟EPM的IE Tab )都能訪問的對象���,對于該對象的SD���,除了在SACL里指定為低完整性級別外,還要考慮在DACL中顯示的給予everyone以及ALL APPLICATIONS PACKAGE對應(yīng)的訪問權(quán)限控制。
ACCESS_DENIED_ACE_TYPE
在遍歷類型為ACCESS_DENIED_ACE_TYPE的ACE時���,處理邏輯里并沒有區(qū)分ACE的SID是否為PackageSID或者CapabilitiesSID���。而是簡單使用SepSidInTokenSidHash函數(shù)在Token的SidHash/RestrictedSidHash里匹配���。如果是PackageSID或者CapabilitiesSID���,匹配會失敗,因此該ACE描述的拒絕訪問權(quán)限控制不會生效:
圖18
做一個實驗驗證上面的結(jié)論���,首先我們用AppContainer隔離機制啟動一個記事本���,復(fù)用IE EPM的PackageSID以及部分Capabilities:
圖19
把C:Users{當前用戶}AppDataLocalPackageswindows_ie_ac_001ACTemptest1.txt設(shè)置為下面的權(quán)限控制:
圖20
圖21
ACE[0]Mask為0x001F01FF,包含要請求的權(quán)限0×00100080
雖然ACE[0]明確的拒絕了
S-1-15-2-1430448594-2639229838-973813799-439329657-1197984847-4069167804-1277922394(圖19里標志為AppContainer的SID)���,記事本仍然能成功打開1.txt(ACE[1]明確給予了ALL APPLICATION PACKAGES 0x001F01FF的訪問權(quán)限)���。
結(jié)束語
AppContainer提供了更細粒度的隔離機制,不僅能用于MetroAPP和 IE EPM���,當應(yīng)用程序需要訪問未知第三方內(nèi)容時���,也可以考慮使用AppContainer隔離機制���,把對系統(tǒng)的潛在影響降到最低。
