简介

基本原理

MIC分类

兼容性问题

简介

UIPI指 User Interface Privilege Isolation(用户界面特权隔离)，是Windows NT 6.0后(即Vista)引入的一种新的安全特性，是整个UAC机制的有机组成部分，主要用于拦截接受对自身进程MIC等级还低的进程发来的消息。更加详细的信息可以参见百度文库:

基本原理

根据Windows开发规范，用户自定义消息都是大于WM_USER的。UIPI的默认规则是：一个进程如果向高于自己MIC等级的进程发送高于WM_USER的消息都会失败，而系统自定义消息则会进行选择性的过滤，某些容易引起危险的信息也会被过滤，比如WM_DROPFILES。

MIC分类

上面提到UIPI是基于进程的MIC等级的，而在Windows NT6.0以后的系统里面，MIC一共可以分为六个等级：

SECURITY_MANDATORY_UNTRUSTED_RID　不信任的MIC等级

SECURITY_MANDATORY_LOW_RID　低MIC等级，如IE

SECURITY_MANDATORY_MEDIUM_RID　中MIC等级，如Explorer

SECURITY_MANDATORY_HIGH_RID　高MIC等级，以管理员身份运行的都是这个等级

SECURITY_MANDATORY_SYSTEM_RID　系统MIC等级，服务应用程序

SECURITY_MANDATORY_PROTECTED_PROCESS_RID　受保护进程的MIC等级 这里可以看到IE是低MIC等级的，主要是为了在一定程度上解决IE的安全性问题----即使很多病毒通过IE下来，但是由于本身是通过IE系统，相应的MIC等级过低，可以防止他对其他进程造成不良影响。

兼容性问题

UIPI的引进可以比较有效的解决一些和窗口消息相关的安全性问题，比如窗口粉碎攻击，恶意窗口信息等，但也带来了一定的兼容性问题：

1.以往通过窗口消息进行进程通信的程序很容易碰到这样那样的问题。

2.运行在高MIC等级上的进程无法接受一些常用的系统信息，如前面提到的文件拖曳消息。