1

web.config次のような偽装を使用するように構成された ASP.NET アプリケーションがあります。

<system.web>
    <identity impersonate="true" />
    <authentication mode="Windows" />
</system.web>

アプリケーションは、特定の管理タスクを実行する必要があります。これは、アプリケーションに user としてログオンしている場合は正常に機能しますが、たとえば としてログインしている場合は機能しませadministratorん (管理専用のシステム リソースへのアクセスは失敗します) 。userA

ここで起こっているのUACは介入していると思われます.ASP.NETアプリは偽装userAしていますが、昇格を必要とする何かを実行すると失敗しadministratorます. Windows でインタラクティブにアクションを実行します)。

delegationちなみに、ネットワークレベルのなりすましは必要ないので、 ?が必要だとは思いません。

4

1 に答える 1

0

私たちの会社は、社内アプリケーションと UAC を 2 週間以上いじりました。この問題に対して、私たちは 2 つのアプローチを取りました。

まず、セキュリティ グループとセキュリティ ポリシーを作成し、ユーザーを作成して、そのユーザーとして実行する Web アプリケーション プールを割り当てました。それは私たちの問題のほんの一部を回避しました.

それでもすべての問題が解決されず、アプリケーションに付与できるアクセス許可で動作するようにアプリケーションを修正できなかったとき... そのサーバーで UAC をオフにしました。これは非常に大きなセキュリティ リスクであり、これが受け入れられない場所もあります。しかし、完了する必要のあるいくつかのタスクに必要な管理者トークンを取得できました。

サンドボックス サービスが提供されているため、デスクトップ ユーザーに UAC 認証ボックスを提示するアプリケーション プールを使用できるとは思えません。該当する場合は、関係するシステム管理者/IT 部門に連絡して、さまざまなアプローチのリスクと利点について話し合うことをお勧めします。

于 2013-05-13T01:53:35.660 に答える