6

答えが見つからないように見える問題がありますが、そこにあると確信しています。新しく作成されたプロセスのレジストリとファイルへのアクセスを無効にする方法はありますか? Job オブジェクト ( http://msdn.microsoft.com/en-us/library/windows/desktop/ms682409(v=vs.85).aspx ) を使用しており、新しいジョブ プロセスごとにアクセス許可を設定するように指示されています。また、いくつかの本で、レジストリやファイル アクセスなどを制御できると読んだことがあります。

私の答えを探しているときに、SE_BACKUP_NAME など (またはそれが呼び出されたもの) などの LUID を追加する必要があることがわかりましたが、これらの特権定数のどれも、私が望む種類の制御を反映していないようです..だから私の正確な質問は:ジョブで新しく作成されたプロセスのレジストリ/ファイル書き込みアクセスを無効にするにはどうすればよいですか?

ところで、サンドボックス化されたアプリケーションを作成しようとしています。これは、実行中にレジストリに変更を加えたり、ファイルを書き込んだりできないようにするためです。

どんな助けでも大歓迎です!

4

2 に答える 2

4

Windows はプロセスの起動中に多くのリソースにアクセスするため、ファイル システムとレジストリへのアクセスを正常に無効にすると、プロセスは起動しません。

理想的には、プロセスの初期化が完了した後にアクセスを制限する必要がありますが、Windows には任意のプロセスに対してこれを行うメカニズムがありません。Chrome ブラウザーのサンドボックスは、サンドボックス化されたプロセスの連携に依存しています。

Chrome サンドボックスのドキュメントには、Windows で利用可能なさまざまなセキュリティ メカニズムの概要があり、Chrome での使用方法が説明されています。独自のコードをサンドボックス化しようとしている場合、これは優れたソリューションです。

于 2012-06-17T09:47:39.233 に答える
0

多くのサブシステム (COM、シェル、いくつかの DLL 初期化、デバッグなど) が依存しているため、アクセスを完全に無効にすることはできないと思います。システム整合性を低く設定すると、ほとんどの書き込みアクセスがブロックされ、保護モードの IE で使用されます。

于 2012-06-19T08:37:09.410 に答える