UAC - 관리자 권한 없이 UIPI 제약을 없애는 방법
UIPI(User Interface Privilege Isolation)는,
What is User Interface Privilege Isolation (UIPI) on Vista
; https://learn.microsoft.com/en-us/archive/blogs/vishalsi/what-is-user-interface-privilege-isolation-uipi-on-vista
보안 데스크톱에서 활성화되지 않은 UAC 창이 안전할까?
; https://www.sysnet.pe.kr/2/0/441#uipi
쉽게 말해서, 낮은 권한의(관리자 권한이 없는) 프로그램에서 높은 권한의(관리자 권한으로 승격된) 프로그램 UI를 제어할 수 없게 만드는 역할을 합니다. 보안상 타당한 이유입니다. 이것에 대한 좋은 사례로 이전에 소개한,
(WACOM도 지원하는) Tablet 공통 디바이스 드라이버 - OpenTabletDriver
; https://www.sysnet.pe.kr/2/0/12632
OpenTabletDriver 프로그램이 (일반 권한으로) 실행됐을 때, "관리자 권한"의 프로그램에 입력 포커스가 갔을 때 태블릿 입력이 안 되는 문제가 발생합니다. 이런 제약을 벗어나려면 OpenTabletDriver 프로그램도 "관리자 권한"으로 실행하면 됩니다.
하지만, 이렇게 관리자 권한을 취득하는 것이 바람직하지는 않습니다. 실제로 마이크로소프트 역시 UIPI로 인한 제약을 벗어나기 위한 방법으로 관리자 권한 이외의 해결책을 gpedit.msc를 이용해 제시하고 있습니다.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
; https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations
기본적으로 "User Account Control: Only elevate UIAccess applications that are installed in secure locations" 옵션이 "Enabled"이기 때문에 저 방식을 따르면 UIPI 제약을 벗어날 수 있는데요.
이를 위해 우선 해당 응용 프로그램이 "manifest" 파일을 갖도록 설정해야 합니다. 이에 대해서는 전에 설명한 적이 있는데요,
비주얼 스튜디오에서 관리자 권한을 요구하는 C# 콘솔 프로그램 제작
; https://www.sysnet.pe.kr/2/0/11318
위의 글에 따라 "Application Manifest File"을 추가한 다음 uiAccess 값만 true로 바꿉니다.
<?xml version="1.0" encoding="utf-8"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
<assemblyIdentity version="1.0.0.0" name="MyApplication.app"/>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security>
<requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
<requestedExecutionLevel level="asInvoker" uiAccess="true" />
</requestedPrivileges>
</security>
</trustInfo>
<compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1">
<application>
</application>
</compatibility>
</assembly>
저렇게 설정하고 빌드하면 이제 exe 파일을 실행할 때마다 다음과 같은 오류가 발생합니다.
A referral was returned from the server.
Access is denied.
왜냐하면 UIPI 제약을 벗어나겠다고 명시했으면서 정작 필요한 자격을 갖추지 않았기 때문에 "Access is denied"가 발생하는 것입니다. 바로 그 자격이란 인증서로 서명해 주는 것입니다. 이를 위해 다음의 글에 설명했던 방법에 따라 코드 서명 용 인증서를 생성하고,
PowerShell - New-SelfSignedCertificate를 사용해 CA 인증서 생성 및 인증서 서명 방법
; https://www.sysnet.pe.kr/2/0/12588
다음과 같이
signtool.exe를 이용해 서명을 하면,
signtool sign /fd SHA256 /v /sm /n "CASigned" [...].exe
이후 실행해도 오류가 발생하지 않습니다. 하지만, 오류만 발생하지 않을 뿐 여전히 UIPI 제약을 벗어난 것은 아닙니다. 마지막 단계가 아직 남아 있기 때문인데요, 바로 해당 EXE 파일을 윈도우 시스템이 정한 디렉터리 하위에 위치를 시켜야 한다는 점입니다.
- \Program Files\ including subdirectories
- \Windows\system32\
- \Program Files (x86)\ including subdirectories for 64-bit versions of Windows
가령 "C:\Program Files\Test"라는 디렉터리를 만들고 여러분의 EXE 파일을 복사해 넣으면 이제부터 해당 프로그램은 "일반 권한"으로 실행돼도 "관리자 권한"의 프로그램과 UI 상호작용을 할 수 있습니다.
유의할 점이 있다면, 위에서도 언급했지만 이 기능은 사용자가 "Computer Configuration" / "Windows Settings" / "Security Settings" / "Local Policies" / "Security Options"에 설정한 "User Account Control: Only elevate UIAccess applications that are installed in secure locations" 옵션을 활성화시켰기 때문에 가능한 것입니다.
따라서 만약 저 옵션을 "Disabled"로 바꾼다면 남은 해답은 오직 "관리자 권한"으로 실행하는 것뿐입니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]