インテグリティレベル

Reading time: 9 minutes

インテグリティレベル

Windows Vista以降のバージョンでは、すべての保護されたアイテムにはインテグリティレベルタグが付いています。この設定では、特定のフォルダーやファイルを除いて、ファイルやレジストリキーに「中」インテグリティレベルが主に割り当てられます。デフォルトの動作は、標準ユーザーによって開始されたプロセスが中インテグリティレベルを持つことであり、サービスは通常、システムインテグリティレベルで動作します。高インテグリティラベルはルートディレクトリを保護します。

重要なルールは、オブジェクトのレベルよりも低いインテグリティレベルを持つプロセスによってオブジェクトが変更されることはできないということです。インテグリティレベルは次のとおりです：

• 信頼されていない: このレベルは匿名ログインを持つプロセス用です。 %%%例: Chrome%%%
• 低: 主にインターネットの相互作用、特にInternet Explorerの保護モードで、関連するファイルやプロセス、一時インターネットフォルダーのような特定のフォルダーに影響を与えます。低インテグリティプロセスは、レジストリへの書き込みアクセスがないことや、ユーザープロファイルへの書き込みアクセスが制限されるなど、重大な制約に直面します。
• 中: ほとんどの活動のデフォルトレベルで、標準ユーザーや特定のインテグリティレベルを持たないオブジェクトに割り当てられます。管理者グループのメンバーでさえ、デフォルトではこのレベルで動作します。
• 高: 管理者専用で、低いインテグリティレベルのオブジェクトを変更できるようにし、高レベル自体のオブジェクトも含まれます。
• システム: Windowsカーネルとコアサービスの最高の操作レベルで、管理者でさえ手が届かないため、重要なシステム機能を保護します。
• インストーラー: 他のすべてのレベルの上に位置するユニークなレベルで、このレベルのオブジェクトは他の任意のオブジェクトをアンインストールできます。

Process Explorerを使用してプロセスのインテグリティレベルを取得できます。Sysinternalsからプロセスのプロパティにアクセスし、"セキュリティ"タブを表示します：

whoami /groupsを使用して現在のインテグリティレベルを取得することもできます。

ファイルシステムにおけるインテグリティレベル

ファイルシステム内のオブジェクトには最小インテグリティレベル要件が必要な場合があり、プロセスがこのインテグリティを持っていない場合、相互作用できません。
例えば、通常のユーザーコンソールから通常のファイルを作成し、権限を確認しましょう:

echo asd >asd.txt
icacls asd.txt
asd.txt BUILTIN\Administrators:(I)(F)
DESKTOP-IDJHTKP\user:(I)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\INTERACTIVE:(I)(M,DC)
NT AUTHORITY\SERVICE:(I)(M,DC)
NT AUTHORITY\BATCH:(I)(M,DC)

ファイルにHighの最小整合性レベルを割り当てます。これは管理者として実行されているコンソールから行う必要があります。通常のコンソールは中程度の整合性レベルで実行されており、オブジェクトに高い整合性レベルを割り当てることは許可されません。

icacls asd.txt /setintegritylevel(oi)(ci) High
processed file: asd.txt
Successfully processed 1 files; Failed processing 0 files

C:\Users\Public>icacls asd.txt
asd.txt BUILTIN\Administrators:(I)(F)
DESKTOP-IDJHTKP\user:(I)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\INTERACTIVE:(I)(M,DC)
NT AUTHORITY\SERVICE:(I)(M,DC)
NT AUTHORITY\BATCH:(I)(M,DC)
Mandatory Label\High Mandatory Level:(NW)

ここが面白くなるところです。ユーザー DESKTOP-IDJHTKP\user がファイルに対して 完全な権限 を持っていることがわかります（実際、このユーザーがファイルを作成しました）が、実装された最小の整合性レベルのため、彼は高い整合性レベル内で実行していない限り、ファイルを変更することができません（ただし、読むことはできます）。

echo 1234 > asd.txt
Access is denied.

del asd.txt
C:\Users\Public\asd.txt
Access is denied.

バイナリの整合性レベル

cmd.exeのコピーをC:\Windows\System32\cmd-low.exeに作成し、管理者コンソールから低い整合性レベルを設定しました:

icacls C:\Windows\System32\cmd-low.exe
C:\Windows\System32\cmd-low.exe NT AUTHORITY\SYSTEM:(I)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Users:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APP PACKAGES:(I)(RX)
Mandatory Label\Low Mandatory Level:(NW)

今、cmd-low.exeを実行すると、低い整合性レベルで実行されます。中程度の整合性レベルではありません。

好奇心のある人のために、バイナリに高い整合性レベルを割り当てると（icacls C:\Windows\System32\cmd-high.exe /setintegritylevel high）、自動的に高い整合性レベルで実行されるわけではありません（中程度の整合性レベルから呼び出すと、デフォルトで中程度の整合性レベルで実行されます）。

プロセスの整合性レベル

すべてのファイルやフォルダーには最小整合性レベルがあるわけではありませんが、すべてのプロセスは整合性レベルの下で実行されています。ファイルシステムで起こったことと同様に、プロセスが別のプロセス内に書き込むには、少なくとも同じ整合性レベルを持っている必要があります。これは、低い整合性レベルのプロセスが中程度の整合性レベルのプロセスに対してフルアクセスのハンドルを開くことができないことを意味します。

このセクションと前のセクションで述べた制限により、セキュリティの観点からは、常に可能な限り低い整合性レベルでプロセスを実行することが推奨されます。