2

プロセスがローカルの管理者アカウントによって実行されている場合でも、ファイルをWindowsサービスでのみ開くことができ、通常のプロセスでは開くことができないように、DACL文字列を使用してそのようなセキュリティ記述子を選択することは可能ですか?

明確にするために、技術者以外のユーザーがメモ帳で開いて改ざんするのをかなり難しくする必要があります。リバースエンジニアリングとそれをクラックするために彼の人生の1か月を捧げることをいとわないプログラマーに反対する必要はありません。

ファイルをロックする代わりにDACLを使用してこれを実現することを好みます。これは、ファイルを保護するためにWindowsサービスを常に実行する必要がないためです。

4

2 に答える 2

3

ローカル管理者アカウント=神(少なくともボックス上)。これを行う方法はありません。

サービスを実行するための特別な特権アカウントを定義し、保護されたファイルのACLがそのユーザー(およびすべてのマシン管理者)によるアクセスのみを許可するようにすることができます。そのサービスアカウントを使用したインタラクティブログインを禁止できます。

対話型ユーザーによる改ざんが主な懸念事項である場合は、ローカルユーザーがデフォルトでローカル管理者権限で実行されないというポリシーが必要になる場合があります。残念ながら、「部分的な」ローカル管理者権限を許可することはできません。それはすべてか無かです。

于 2013-02-01T14:38:11.007 に答える
1

DACLについては、DACLを使用して目的を達成できるかどうか、またはどのように達成できるかを説明するのに十分な知識がありません。ローカル管理者アカウントにファイルを制限することに加えて、誰かがファイルを改ざんしにくくするためにできることがいくつか考えられます。

  1. サービスを自動的に開始し、共有オプションなしでファイルをすぐに開きます。サービスが開いている限り、別のプロセスはそれを開くことができません。
  2. ファイルの内容のハッシュとサービスにハードコードされたソルトを計算し、それを別の場所、たとえば別のファイル、レジストリ、またはオンラインに保存します。次にファイルを開くときに、ハッシュを確認します。これにより、最後にファイルを開いてから誰かがファイルを改ざんしたかどうかがわかります。

これらは一気に絶対確実というわけではありませんが、あなたの目標は単にそれを難し​​くすることであるように思えます。管理者権限を持つユーザーを停止するための絶対確実な方法はありません。

于 2013-02-01T14:29:08.873 に答える