官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 网络安全

UAC概述

UAC（User Account Control），中文翻译为用户帐户控制，是微软在Windows Vista和Windows7中引用的新技术，主要功能是进行一些会影响系统安全的操作时，会自动触发UAC，用户确认后才能执行。因为大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如：将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作，而这些操作都会触发UAC，用户都可以在UAC提示时来禁止这些程序的运行

许可提示当用户尝试执行需要用户管理访问令牌的任务时，会显示同意提示，下面是 UAC 同意提示的示例

选择是执行程序，选择否则相反

凭据提示当标准用户尝试执行需要用户管理访问令牌的任务时，会显示凭据提示， 还可以要求管理员提供其凭据。

UAC触发操作

UAC触发的条件如下

修改Windows Update配置；
增加或删除用户帐户；
改变用户的帐户类型；
改变UAC设置；
安装ActiveX；
安装或卸载程序；
安装设备驱动程序；
修改和设置家长控制；
增加或修改注册表；
将文件移动或复制到Program Files或是Windows目录；
访问其他用户目录

UAC有用四种设置要求

简单来说，UAC设置分四种，分为始终通知、仅在程序尝试对我的计算机进行更改时通知我、仅当程序尝试更改计算机时通知我（不降低桌面亮度）和从不通知。按W+R --输入msconfig 设置UAC

基于白名单AutoElevate绕过UAC原理

利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值中指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。

UAC同样也会对系统本身的程序造成影响，微软也不希望运行系统程序也需要询问用户，因为系统程序是安全的。因此，微软则在 UAC 中添加了白名单机制常见白名单如下