专利名称:计算环境中的特权提升路径的专家系统分析与图形显示的制作方法
计算环境中的特权提升路径的专家系统分析与图形显示些旦 冃牙、计算机和计算机网络是复杂的系统。安全环境正不断地随着新软件程序的 安装而改变,每个软件程序都会将新的变量和关系引入到系统中。这些系统具 有一定程度的共享、互相依赖性、以及交互性,这使得整个计算机或网络易受 该系统的任一部分中引入的缺陷的攻击。计算机系统中的特定风险与特权提升相关联。当在系统上表示身份的概念的任何时候,存在那些身份的意外相交的可能性。在计算机上执行的进程各自 都有一个相关联的身份和特权。类似地,对文件和资源的访问也可能只授予某 些身份或特权。特权用来指定特定进程或用户帐户可用的文件或资源。当各实体与不同特权的其他实体交互时可能会引起一些问题。这些问题被 称为特权提升缺陷。在一个这样的例子中,第一帐户可以对第二帐户执行的或 具有读访问权的文件具有写访问权。这可能会潜在地允许第一帐户作为第二帐 户来执行代码,因为第一帐户可以更改或改变第二帐户运行的可执行码。多个 特权跳跃或提升可被连结成提升链。通过跟随特权提升路径或链,黑客或恶意 用户可以潜在地获得对计算机系统的资源和帐户的完全访问,并可能访问网络 上的其他计算机。虽然与特权提升缺陷相关联的问题是已知的,但是很难定位或诊断这些问 题。现代操作系统提供各种特权和访问控制功能,但是它们不提供关于那些特 权和访问控制功能如何被有效使用的反馈。因为各计算机进程以各种方式彼此 交互并与计算机操作系统交互,所以随着每个新软件的安装或帐户的创建,可 能会向系统引入潜在的新特权缺陷。概述在目标系统上执行一数据收集应用程序。收集指示特权提升路径的各种数 据,包括用户帐户数据、文件许可数据、以及系统注册表数据。根据试探法分析所收集的数据。系统帐户在一图上被显示为节点。所检测到的各帐户之间的 特权提升被显示为其相应帐户之间的边。用户可以定制所显示的图以集中在特 定目标帐户、以及特权提升类别上。附图简述
图1是示出根据本发明的特权提升检测的示例性方法的流程图; 图2a是示出根据本发明由示例性特权提升检测系统检测到的特权提升路 径的屏幕截图;图2b是示出根据本发明由示例性特权提升检测系统检测到的特权提升路 径的屏幕截图;图3是示出根据本发明的用于特权提升图生成的示例性方法的流程图;图4是根据本发明的来自示例性特权提升图生成系统的图;图5是示出根据本发明的特权提升图生成的示例性方法的流程图;图6是根据本发明由示例性特权提升图生成系统生成的图;图7是根据本发明由示例性特权提升图生成系统生成的图;以及图8是示出其中可实现本发明的各方面的示例性计算环境的框图。详细描述图1是示出特权提升分析的示例性方法的图示。执行一数据收集程序。该 数据收集程序收集从包括网络资源的各种计算机资源收集许可信息。使用被设 计成检测计算机系统中的特权提升缺陷的各种试探法来分析所收集的数据。某 些目标帐户由用户或管理员来定义,并且求解这些目标。然后向用户呈现详述 使用检测到的特权提升能够达到目标帐户的各个帐户的报告。用户然后可以修 订该目标帐户,或请求关于特定特权提升缺陷的进一步细节。此外,检测到的 特权提升缺陷可以与从数据收集程序的先前执行中所检测到的特权提升缺陷 相比较,以便确定是否已对系统做出改进,或査看例如由新近的软件安装引入 的新漏洞。在110处,在所分析的系统上执行一数据收集程序。该数据收集程序理想地从系统上的各种资源收集许可数据。这可以包括但不限于注册表数据、文件系统许可数据、服务许可、COM和DCOM对象、具有已知安全缺陷的任何 执行程序、组许可、用户帐户特权和权限、以及内核对象访问许可。例如,所 收集的数据还可以从诸如现用目录和文件服务器等网络资源收集。例如,该数 据收集程序可以在被测试的特定系统上本地执行f或者可以从网络上的另一计 算机远程地执行。然而,该数据收集程序理想地被给予主机系统上的完全访问 许可。为该数据收集程序提供最高访问权限确保该程序能够从系统中收集所需 的许可数据。可以使用本领域已知的用于数据收集的任何系统、方法或技术。 该数据收集程序可以将所收集的数据存储在例如数据库、文件或文件集合、或 本领域已知的任何其他存储设备中。在120处,可将试探法应用于所收集的数据来检测特权提升缺陷。特权提 升缺陷允许用户帐户潜在地获得另一用户帐户的特权。例如,如果第一用户帐 户能够写入第二用户帐户所执行的可执行码,则第一用户帐户可以潜在地更改 该可执行码,从而有效地提供作为第二用户帐户来执行代码的能力。试探法理 想地用于标识其中特权提升可通过寻找可能标识特权提升的模式来进行的情 形。随着时间的流逝,可以改变所使用的试探法来反映关于特权提升的新信息。 特权提升缺陷可以存在于帐户之间、组与帐户之间、或组之间。更一般地,特 权提升可以存在于例如包括临时安全标识符的任何两个安全标识符之间。本领 域已知的用于检测特权提升缺陷的任何系统、方法或技术可以被结合到该试探 法中。这些试探法可以包括但不限于以下描述的试探法,资成^资潜用户可以不被赋予对一资源的访问,但他或她可以是被赋予访问的组的一 部分。因此,在一个组中的成员资格可以被看作是对该组中的用户的提升。例 如,具有权力用户(PowerUsers)的成员资格的用户可以充当权力用户。#粼通常,管理被给予系统中的最髙特权。因此,对管理员帐户的特权提升可 以当作是到本地系统的提升,因为管理员可以被看作是本地系统。 运嫌遂程柳成力鄉户微作为特定用户帐户运行的进程可以成为该用户。因为用户可充当用户帐户 为其成员的组,所以在进程和用户帐户为其成员的组之间存在特权提升。这可 由例如进程访问权标来表示。关享游启动^录錄孜可以访问共享的启动目录的帐户能够成为执行在该共享启动目录中找到 的或引用的程序的帐户。因此,在可以访问该启动目录的帐户和执行在该启动 目录中找到的程序的帐户之间可以存在特权提升。帝户綠登录到一特定系统的用户可以潜在地被用户所登录到的系统来扮演。因 此,将登录到系统中的用户看作是从该系统到那些用户的可能特权提升是理想 的。过去游文斧说疗 '对由第二用户执行的可执行码有写入许可的第一用户可以潜在地表明第 一用户和第二用户帐户之间的特权提升。关于任何帐户的先前执行的文件的列 表可以在例如系统监察日志中找到。,賴或系统激 教縛可被用户帐户写入的管理员或系统帐户所拥有的可执行码可以是具有写 访问权的用户和该管理员或系统帐户之间的潜在特权提升。滅漠湖継如果一进程己经将模块加载到可写的目录中,或者其中任何先前的目录都 是可写的目录路径中,则存在从对该目录具有写访问权的帐户和拥有该进程的 帐户的特权提升。在140处,由所描述的试探法标识的检测到的的特权提升缺陷可以作为计算机生成的报告的一部分被呈现给用户或管理员。该检测到的特权提升缺陷可 以作为例如特权提升路径被呈现给用户。特权提升路径是从诸如帐户或组等一 个安全标识符到另一个的特权提升缺陷链。该特权提升路径示出了黑客或入侵 者可以使用特权提升缺陷而获得高级系统帐户的许可的方法。检测到的特权提升路径可以相对于所选择的目的或目标帐户来呈现。例 如,用户可能对低特许用户帐户感兴趣,该用户帐户通过一特定的特权提升路 径可用来达到具有管理权限的用户帐户。因为该帐户可以潜在地获得管理帐户 的特权,因此将报告集中在这些类型的特权提升路径上是理想的。在另一例子中,用户可能对能够达到具有唯一访问权限的特定用户帐户感 兴趣,例如公司总裁的用户帐户。标识可以访问该特定帐户的帐户可帮助用户 更好地保护该帐户。可以使用本领域已知的用于标识与目标帐户有关的特权提 升路径的任何系统、方法、或技术。如图2a处的示例性屏幕截图所示,可向用户呈现与所选择的目标帐户有 关的报告。在这种情况下,用户可能己经选择了査看通过特权提升能到达Matt 帐户的帐户。因此,向用户呈现通过一个被称为foo.exe的进程从认证用户到 Matt的两个检测到的特权提升路径。如上所述,用户可能希望改变用来査看所检测到的特权提升缺陷的特定起 始帐户或目标帐户。如图2b所示,用户可能已经选择了查看从认证用户帐户 到本地系统帐户的特定特权提升路径。 一般而言,本地系统帐户可以是理想的 目标帐户,因为它代表了最高级别的特权,并且如果用户可以获得该帐户的特 权,他们就可以控制整个系统。在150处,可以在不同系统状态之间比较所检测到的特权提升路径。如上 所述,该数据收集程序可在一特定的计算机系统上执行。该系统上存在的特定 特征,包括帐户、已安装的应用程序等,可以被描述成该系统的状态。通过比 较系统的连续状态可以测量特定应用程序的安装所创建的总体改进或损害。例如,管理员可能希望确定新的电子邮件应用程序的添加是否会将任何另 外的特权提升缺陷引入系统。管理员可以在安装该电子邮件应用程序之前在系 统状态何新的特权提升缺陷,或者,该程序例如可以显示创建了从低特权帐户到诸如 本地系统等高特权帐户的路径的那些缺陷。可以使用本领域已知的用于在系统 之间比较检测到的特权提升缺陷的任何系统、方法、或技术。图3是示出用于生成计算机系统中的特权提升缺陷的图表示的示例性方法 的图示。在主机系统上执行一特权提升分析。所选择的用户帐户在该图上被示 为节点。所选择的节点之间的检测到的特权提升路径在该图上被示为各节点之 间的边。用户然后可以与生成的图交互,以便增加所提供的细节水平,且可以 添加或改变具体的目标节点。在305处,在主机计算机上理想地执行特权提升分析。该特权提升分析可 使用例如关于图1所描述的方法来进行。在310处,用户可以在特权提升图上选择所需帐户来查看。如上所述,特权提升缺陷可以允许恶意用户通过利用特权提升来从一个帐户移到另一帐户。 这些帐户、或安全标识符可以被表示为连接图上的节点。允许用户在任何两个 节点之间移动的特定特权提升缺陷可以被表示为该图上的节点之间的边。因为在一特定系统中可能存在许多安全标识符,所以对用户而言,首先在 该图上选择相关的安全标识符来查看是理想的。例如,用户可能希望看到通过 特权提升缺陷可以到达本地系统的帐户或安全标识符。因此,用户可以指定与 能够到达本地系统的帐户相关联的节点被显示。在另一例子中,用户可能希望 看到能够移到更高特许帐户的低特许帐户,而不管它们是否能到达本地系统。 因此,可以显示与这些帐户相关联的节点。可以使用本领域己知的用于选择安 全标识符来查看的任何系统、方法、或技术。在320处,对应于相关的或所选择的安全标识符的节点可以被显示在一图 上,且可以使用从305中检测到的特权提升缺陷来连接。如图1所述,可能已 经通过将试探法应用于从主机系统中收集的数据而检测到多个特权提升缺陷。 这些检测到的特权提升缺陷可以被表示为所选择的节点之间的边。例如,图4示出了从对一特定主机系统检测到的特权提升缺陷中生成的示 例性图。该图示出了可以允许用户到达本地系统的各种特权提升。这些特权提 升由边450、 460、 470和480来表示。在这个例子中,向用户呈现从帐户网络 服务4I0和Matt420到本地系统430的特权提升子集。用户然后可以点击,或者以其它方式选择一条边来查看底层的特权提升的细节。例如,用户已选择了网络服务410和Matt 420之间的一条边。因此,显示文本框486来表明该提升 是通过被称为bar.exe的进程。可以使用本领域已知的用于显示所选择的数据 的任何系统、方法或技术。如图所示,在每一节点之间示出了若干条边或特权提升。然而,用户可能 希望通过只显示每个节点之间的单条边来简化所显示的图。用户可以通过点 击、或以其它方式选择例如特定的边来查看各底层的特权提升。可以使用本领 域已知的任何系统、方法、或技术。在330处,用户可以改进图形是如何被显示的。例如,用户可能希望修订 被选择来查看的节点,并且添加节点或将节点从图中移去。当用户添加或移去 节点时,相应的特权提升、即边被理想地添加或从图中移去。用户可以从例如 菜单中选择所需节点。可以使用本领域己知的用于选择要在图上显示的节点的 任何系统、方法、或技术。此外,用户能够选择显示在图上的特定特权提升。例如,某些特权提升可 被看作是比其他特权提升更严重,或者用户可能对特定类型的特权提升感兴 趣。与上述节点相似,用户可以选择显示在图上的特定类型或类别的特权提升。 此外,特权提升可以根据例如特权提升的类型,或察觉到的提升的严重性来进 行分类。图5是示出用于生成网络特权提升图的示例性方法的图示。在网络上的主 机系统上执行一特权提升缺陷检测分析。此外,主机系统上的各帐户被标识为 能够访问网络上的其他系统或在其上有相应的帐户。在对应于所标识的帐户的 一个或多个网络系统上执行特权提升分析。主机系统的特权提升图是从特权提 升分析中生成的。该图包括帐户节点和示出检测到的主机系统上的帐户之间的 特权提升的边。此外,关于网络系统的节点与连接到对应于被标识为可以访问 特定网络系统的帐户的节点的边一起被添加到图中。用户然后可以选择一特定 的网络系统节点并查看其相应的特权提升。在520处,在主机计算机上理想地执行一特权提升分析。该特权提升分析 可使用例如关于图1所描述的方法来进行。在530处,标识主机系统上可以访问网络上的其他系统的帐户。例如,用户帐户Matt可能有网络上的其他计算机上的相关联的帐户、或权限。这些帐 户可以概念性地被认为是从Matt帐到网络上的特定计算机的特权提升,因为 获得对主机系统上的帐户Matt的访问的恶意用户可能能够访问网络上的其他 系统上的相应帐户。因此,恶意用户可能通过计算机上的特权提升潜在地获得 对网络上的其他系统的访问。可以使用本领域己知的用于标识具有对网络上的 计算机的访问的本地帐户的任何系统、方法或技术。在540处,可以在被标识为能够潜在地从本地系统访问的所有或某些系统 上执行特权提升分析。该特权提升分析可以与520处执行的分析相似。该分析 可以例如从主机系统远程地执行,或在系统本身处执行。在550处,可以生成特权提升图。该特权提升图可以例如使用关于图3所 描述的方法来生成。为了便于将网络系统添加到该图,可以将从可以访问其他 系统的帐户到其他系统处的相应帐户的边添加到该图中。例如,如果计算机A 上的用户帐户Matt可以访问其他系统上的相应的用户帐户Matt,则可以在图 上生成边通过该用户帐户Matt来连接相关系统的边。因为特权提升图可以跨越若干系统,因此可以在一开始就向用户呈现包括 关于网络中的相关系统的、由表示链接帐户的边连接的节点的图。当存在连接 系统的多条边时,用户可以选择査看每条单独的边,或每个系统之间的单条边。例如,图6示出了这种网络特权提升图的示例性屏幕截图。如上所述,该图可以一开始只显示将主机系统连接到网络上的各种计算机的边。如图所示, 主机系统602通过一个或多个帐户(未示出)连接到计算机A和B。虽然只示 出了三台计算机,但是这不意味着将本发明仅限于四台计算机,对可以支持的 计算机的数量没有限制。用户可能希望进一步改进所显示的图来显示检测到的特权提升。用户可以 点击、或以其它方式选择该图中的一计算机来显示对该系统检测到的特权提升 (如果有的话)。例如,如图7所示,用户可能已经选择来更详细地查看主机系统620的特 权提升。如图所示,来自图6的主机系统节点620已经用全部或部分特权提升 以及主机系统620中的帐户和计算机A和B上的帐户替换。例如,主机系统 620已经用节点认证用户710替换。节点710通过特权提升710连接到计算机A上的网络服务节点720。计算机A通过帐户节点Matt 740、特权提升704、 以及帐户节点Matt 750连接到计算机B。虽然在图7中未示出,但是帐户节点 可以使用与计算机节点不同的大小、颜色、或形状来显示以帮助区分他们。示例性计算环境图8示出了其中可实现本发明的合适的计算系统环境800的一个示例。计 算系统环境800仅仅是合适的计算环境的一个例子,并非旨在对本发明的使用 范围或功能提出任何限制。计算环境800也不应当被解释为对在示例性操作环 境800中所示的组件中的任一个或其组合有任何依赖性或要求。本发明可使用其他通用或者专用计算系统环境或者配置来操作。适用于本 发明的公知计算系统、环境和/或配置的示例包括但不限于,个人计算机、服务 器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶 盒、可编程消费电子设备、网络PC、微型计算机、大型计算机、包括以上系 统或设备中的任一个的分布式计算环境等等。本发明可以在诸如程序模块等由计算机执行的计算机可执行指令的一般 上下文中描述。 一般而言,程序模块包括执行特定任务或者实现特定抽象数据 类型的例程、程序、对象、组件、数据结构等。本发明还可以在其中任务由通 过通信网络或其他数据传输介质链接的远程处理设备来执行的分布式计算环 境中实施。在分布式计算环境中,程序模块和其他数据可以位于包括存储器存 储设备的本地和远程计算机存储介质中。参考图8,用于实现本发明的示例性系统包括计算机810形式的通用计算 设备。计算机810的组件可以包括但不限于,处理单元820、系统存储器830 以及将包括系统存储器在内的各种系统组件耦合到处理单元820的系统总线 821。计算机810通常包括各种计算机可读介质。计算机可读介质可以是能由计 算机810访问的任何可用介质,且包括易失性和非易失性介质、可移动和不可 移动介质。作为例子而非限制,计算机可读介质可以包括计算机存储介质和通 信介质。计算机可读介质包括能以用于存储诸如计算机可读指令、数据结构、 程序模块或其他数据这样的信息的任何方法或技术实现的易失性和非易失性介质、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、 ROM、 EEPROM、闪存或者其它存储器技术、CD-ROM、数字多功能盘(DVD)或者 其它光盘存储、磁带盒、磁带、磁盘存储或者其它磁存储设备、或者能够用来 存储所需信息并且能够由计算机810访问的任何其它介质。系统存储器830包括易失性和/或非易失性存储器形式的计算机存储介质, 诸如ROM 831和RAM 832。基本输入/输出系统(BIOS) 833 —般被存储在 ROM 831中,BIOS包含有助于例如在启动过程中在计算机810内部的元件之 间传输信息的基本例程。RAM 832 —般包含可由处理单元820立即访问和/或 当前正由处理单元820进行操作的数据和/或程序模块。作为例子而非限制,图 8示出了操作系统834、应用程序835、其他程序模块836、以及程序数据837。计算机810还可包括其它可移动/不可移动、易失性/非易失性计算机存储 介质。仅仅作为例子,图8示出了从不可移动、非易失性磁介质读取或向其写 入的硬盘驱动器840,从可移动、非易失性磁盘852读取或向其写入的磁盘驱 动器851,以及从诸如CD-ROM或其它光学介质等可移动、非易失性光盘856 读取或向其写入的光盘驱动器855。能在示例性操作环境中使用的其它可移动/ 不可移动、易失性/非易失性计算机存储介质包括但不限于,盒式磁带、闪存卡、 数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器841 通常通过诸如接口 840等不可移动存储器接口连接到系统总线'821,而且磁盘 驱动器851和光盘驱动器855通常通过诸如接口 850等可移动存储器接口连接 到系统总线821。 —驱动器及其相关联的计算机存储介质为计算机810提供了计算机可读指 令、数据结构、程序模块及其它数据的存储。在图8中,例如,硬盘驱动器841 被示为存储操作系统844、应用程序845、其它程序模块846、以及程序数据 847。应当注意,这些组件可以和操作系统834、应用程序835、其他程序模块 836、以及程序数据837相同或者相异。操作系统844、应用程序845、其他程 序模块846、以及程序数据847此处被给予不同的参考标号以示出至少它们是 不同的副本。用户可以经由输入设备,诸如键盘862和通常称之为鼠标、跟踪 球或者触摸垫的指示设备861将命令和信息输入到计算机810中。其它输入设 备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些及其它输入设备经常经由耦合到系统总线121的用户输入接口 860连接到处理单元820,但是可以通过其它接口和总线结构,诸如并行端口、游戏端口 或通用串行总线(USB)进行连接。监视器891或其他类型的显示设备也通过 诸如视频接口 890等接口连接到系统总线821。除了监视器外,计算机还可以 包括诸如扬声器897和打印机896等可以通过输出外围接口 895连接的其他外 围输出设备。计算机810可以利用与诸如远程计算机880等一个或多个远程计算机的逻 辑连接在网络环境中操作。远程计算机880可以是个人计算机、服务器、路由 器、网络PC、对等设备或者其它常见的网络节点,而且通常包括许多或者所 有以上相对于计算机810所描述的元件,尽管在图8中仅示出了存储器存储设 备181。所描述的逻辑连接包括局域网(LAN) 871和广域网(WAN) 873, 但是也可以包括其它网络。这种网络环境常见于办公室、企业范围计算机网络、 内联网和因特网。如上所述,虽然已经结合各种计算设备描述了本发明的各示例性实施例, 但根本的概念可以应用于任何计算设备或系统。此处描述的各种技术可以结合硬件或软件,或在适当的时候可用两者的组 合来实现。因此,本发明的各方法和装置,或其中的某些方面或部分可以采用 包含在诸如软盘、CD-ROM、硬盘驱动器、或任何其他机器可读存储介质等有 形介质中的程序代码(即指令)的形式,其中,当该程序代码被载入到诸如计 算机等机器且由其执行时,该机器就成为用于实施本发明的装置。在程序代码 执行于可编程计算机上的情形下,计算设备一般将包括处理器、处理器可读的 存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备、 以及至少一个输出设备。如有需要,程序可以用汇编语言或机器语言来实现。 在任何情况下,该语言都可以是编译的或解释的语言,而且可与硬件实现相结合o (本发明的方法和装置还可以通过以程序代码的形式体现的通信来实施,该 程序代码通过诸如电线或电缆、光纤、或通过任何其他形式的传输等某一传输 介质来传输,其中,当该程序代码被诸如EPROM、门阵列、可编程逻辑器件 (PLD)、客户机计算机等机器接收并被载入到其中且由其执行时,该机器就成为用于实施本发明的装置。当在通用处理器上实现时,程序代码结合处理器 来提供用于调用本发明的功能的独特装置。另外,结合本发明使用的任何存储 技术可以总是为硬件和软件的组合。虽然己结合各图中的较佳实施例描述了本发明,但是应当理解,可以使用 其他相似的实施例,且可对所描述的实施例进行修改或添加,以执行本发明的 相同功能而不背离本发明。因此,本发明不应限于任何单个实施例,而是应该 根据所附权利要求的宽度和范围来解释。
权利要求
1.一种生成特权提升图的方法,包括在一计算机系统上执行特权提升分析;以及生成示出所述特权提升分析的结果的图。
2. 如权利要求1所述的方法,其特征在于,所述计算机系统包括多个安 全标识符,并且在一计算机系统上执行特权提升分析包括检测安全标识符对之 间的特权提升。
3. 如权利要求2所述的方法,其特征在于,生成所述图包括 为每个所述安全标识符生成一节点;以及对安全标识符对之间的每一检测到的特权提升,生成对应于所述安全标识 符对的节点之间的边。
4. 如权利要求3所述的方法,其特征在于,还包括 选择所述节点的一个子集作为目标节点; 确定通过一条或多条边连接到所述目标节点的节点;以及 突出显示连接通过一条或多条边连接到所述目标节点的所述节点的边。
5. 如权利要求3所述的方法,其特征在于,还包括在所生成的边旁边显 示所检测到的特权提升的描述。
6. 如权利要求3所述的方法,其特征在于,还包括 接收标识所生成的边的输入;以及 响应于所接收的输入显示相关联的特权提升。
7. 如权利要求3所述的方法,其特征在于,所述特权提升具有一相关联. 的特权提升类别,并且对属于一所选类别的特权提升只生成安全标识符对之间 的一条边。
8. —种用于生成特权提升图的系统,包括 处理器,它适用于执行特权提升分析;以及 生成示出所述特权提升分析的结果的图;以及适用于显示所生成的图的显示器。
9. 如权利要求8所述的系统,其特征在于,还包括耦合到所述处理器的 存储,所述存储包括多个安全标识符,其中,所述处理器还适用于检测安全标 识符对之间的特权提升。
10. 如权利要求9所述的系统,其特征在于,所述处理器还适用于 选择所述安全标识符的一个子集;为所述安全标识符子集中的每个安全标识符生成一节点;以及 对帐户对之间的每一检测到的特权提升,生成对应于所述安全标识符对的 所述节点之间的边。
11. 如权利要求IO所述的系统,其特征在于,所述特权提升具有一相关 联的特权提升类别,并且所述处理器还适用于对属于一所选类别的特权提升, 只生成安全标识符对之间的一条边。
12. 如权利要求IO所述的系统,其特征在于,所述处理器还适用于-选择所述节点的一个子集作为目标节点;以及 标识通过一条或多条所生成的边连接到所述目标节点的节点。
13. 如权利要求12所述的系统,其特征在于,所述显示器还适用于突出 显示连接所标识的通过一条或多条所生成的边连接到所述目标节点的所述节 点。
14. 如权利要求13所述的系统,其特征在于,所述显示器还适用于在一 个或多个突出显示的所生成的边旁边显示相关联的特权提升的描述。
15. —种其上存储有用于执行一方法的计算机可执行指令的计算机可读介 质,所述方法包括在多个安全标识符上执行特权提升分析;以及 生成示出所述特权提升分析的图。
16. 如权利要求15所述的计算机可读介质,其特征在于,在多个安全标 识符上执行特权提升分析包括检测安全标识符对之间的特权提升。
17. 如权利要求16所述的计算机可读介质,其特征在于,生成所述图包 括用于执行以下动作的计算机可执行指令选择所述安全标识符的一个子集;为所述安全标识符子集中的每个安全标识符生成一节点;以及对安全标识符对之间的每一检测到的特权提升,生成对应于所述安全标识 符对的节点之间的边。
18. 如权利要求17所述的计算机可读介质,其特征在于,还包括用于在 所生成的边旁边显示相关联的特权提升的描述的计算机可执行指令。
19. 如权利要求17所述的计算机可读介质,其特征在于,还包括用于执行以下动作的计算机可执行指令接收标识所生成的边的输入;以及响应于所接收的输入显示所述相关联的特权提升。
20. 如权利要求17所述的计算机可读介质,其特征在于,所述特权提升 具有一相关联的特权提升类别,且还包括用于对属于一所选类别的特权提升只 生成安全标识符对之间的一条边的计算机可执行指令。
全文摘要
在目标系统上执行数据收集应用程序。收集表明特权提升路径的各种数据,包括用户帐户数据、文件许可数据、以及系统注册表数据。根据试探法分析所收集的数据。系统帐户在图上被显示为节点。所检测到的帐户之间的特权提升被显示为其相应的帐户之间的边。用户可以定制所显示的图以集中在特定目标帐户、以及特权提升类别上。
文档编号H04L12/28GK101283347SQ200680037350
公开日2008年10月8日 申请日期2006年10月3日 优先权日2005年10月5日
发明者J·拉姆伯特, M·托姆林森 申请人:微软公司