Изоляция привилегий пользовательского интерфейса

Изоляция Привилегий Пользовательского Интерфейса (англ. User Interface Privilege Isolation, UIPI) — технология, внедренная в Windows Vista и Windows Server 2008 для борьбы с разрушительными атаками. Используя обязательный контроль целостности, он препятствует отправке процессами с более низким уровнем целостности сообщений до процессов с болеем высоким уровнем целостности (за исключением очень специфического набора сообщений пользовательского интерфейса).^[1] Оконные сообщения предназначены для передачи действий пользователей процессам. Однако они могут использоваться для запуска произвольного кода в контексте получающего процесса. Это может быть использовано вредоносным процессом, имеющим низкий уровень целостности, для запуска произвольного кода в контексте процесса с более высоким уровнем целостности, что представляет собой эскалацию несанкционированного предоставления привилегий. UIPI позволяет защитить системы от подрывных атак, ограничивая доступ к некоторым векторам для выполнения кода и внедрения данных.^[2]

компонент Windows
Изоляция Привилегий Пользовательского Интерфейса
Включён в	Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Описание сервиса	Контроль доступа к системным процессам

UIPI и обязательный контроль целостности, в целом, является функцией безопасности, но не пределом безопасности. Общедоступные приложения пользовательского интерфейса могут быть разрешены в обход UIPI, установив значение «uiAccess» в TRUE как часть их файла манифеста. Тем не менее, для того, чтобы этот флаг был задан в UIPI Windows, приложение должно быть установлено в каталоге Program Files или Windows и иметь действующую цифровую подпись и подтверждено сертификатом. Для установки приложения в любое из этих мест требуется, по крайней мере, пользователь с привилегиями локального администратора, работающий в процессе с высоким уровнем целостности.

Таким образом, вредоносное ПО, пытающееся перейти в позицию, где оно может обойти UIPI, должно:

1. Использовать действующий сертификат, изданный с помощью одобренного авторизационного кода.
2. Выполнить атаку против пользователя с правами администратора
3. Убедить пользователя подтвердить запуск программы с правами администратора в окне UAC.

Microsoft Office 2010 использует UIPI для «защищенного просмотра», чтобы запретить потенциально опасным документам изменять компоненты, файлы и другие ресурсы в системе.^[3]

См. также

• Обязательный контроль целостности
• Контроль учётных записей пользователей