最小特权原则与用户界面特权隔离

Question

这一直困扰着我。这是一条声明“最小特权原则”的声明，而另一条声明声明使用UIPI保护应用程序免受低完整性级别进程的影响。

作为一个应用程序，我可能不会执行任何特权操作，但为了保护我的UI (使用UIPI)，我将被迫将我的应用程序提升到高完整性。

自相矛盾。有人对此有更好的解释吗？

我意识到了它们之间的区别。我不是在找这些是什么。我正在研究如何在这两者之间取得平衡。

例如,

我正在开发一个应用程序，我没有做任何特权操作，所以我的应用程序本身可以在低完整性级别下运行。因此，根据最小特权原则，我乐于以低完整性级别执行我的应用程序。但是如果我以低完整性级别运行我的应用程序，我很容易受到UIPI的攻击。任何人都可以发送消息并引起DOS攻击。这让我思考，我是否应该继续以高完整性启动我的应用程序，这样其他中等完整性的应用程序就不能攻击我的应用程序了。但这违背了“最低特权原则”。

Answer 1

Mandatory Integrity Control是在Vista中添加的，有6个主要的完整性级别，但只有3个级别用于正常用户进程:低、中和高。

默认情况下，Win32进程以中等完整性级别运行(从资源管理器等启动时)因此，大多数Win32应用程序已经从低完整性级别的进程(UWP应用程序，边缘，IE和Chrome)中得到了保护。

UIPI检查发送方和接收方的完整性级别，如果发送方>=接收方，则允许交互。但也有一些例外。系统目录中已签名的UIAccess应用程序具有特殊访问权限，如果需要，您可以在应用程序中为特定消息手动添加例外。

您可以使用Process Explorer查看进程的完整性级别。

从用户的角度来看，在medium IL上运行的应用程序是可信的，您不应该担心如何保护自己不受它们的影响。高IL应用程序受到用户/管理员和计算机的信任。您不应该在高IL下运行，除非您需要随之而来的额外权限。低IL适用于web浏览器和PDF阅读器等高风险应用程序。

这在任何地方都没有文档，但当前的实现允许您创建自己的级别，因此您可以使用介于低和中之间的完整性级别运行应用程序。