0

Web ページの ActiveX コントロールからスクリプトを作成することで、Windows XP マシンでユーザー アカウントを作成する方法があるかどうか疑問に思っています。具体的には、ActiveX コントロールが存在することを検出し、自動作成を可能にするために、そのコンピューターから私の Web ページを使用できるようにするコンピューター (事前に構成して出荷する) に ActiveX コントロールを展開する方法があるかどうかを知りたいです。コンピューター上のローカル (Windows XP) ユーザー アカウントの数。基本的に、これは ActiveX コントロールを (必要に応じて) プレインストールし、デスクトップにリンクを提供するという問題であると考えてください。ユーザーはマシンを受け取って (管理者権限で) ログオンし、Web サイトにアクセスします。そこでサーバーが適切なユーザー アカウントを判断し、それらを HTML として送り返し、ActiveX コントロールが指定したユーザー アカウントを作成します。

この種のことは可能であるように思われますが、同時に、関連する可能性のある明らかなセキュリティ上の欠陥があります. これらのマシンへのアクセスは非常に制限されているため、セキュリティの問題はそれほど懸念されません。

これが可能かどうか誰にもわかりますか?組み込みの WMI コンポーネントでこのようなことを行うものはありますか? これは XP のセキュリティ モデルでも許可されていますか? それとも、これは完全に回避すべき巨大なセキュリティ ホールを開いているだけなのでしょうか?

4

2 に答える 2

1

URL 証拠または厳密な名前の証拠を使用して、caspol セキュリティ設定を fulltrust (またはカスタム セット) に設定する必要があります。

コントロールが常に fulltrust 設定を取得することを確認した後、コントロールで実行できることには制限がありません。通常のアプリケーションで実行できることはすべて、埋め込みコントロールから実行できます。もちろん、Vista UAC と IE 保護モードは、検討しなければならない問題です。たとえば、サイトを信頼済みサイト ゾーンに追加することで、保護モードを回避できます。

編集: Vista の仕様を無視します。

于 2008-11-30T17:07:13.833 に答える
1

Windows のセキュリティ モデル (特に IE では) でこれを許可することはできないと思います。これは、WMI で Win32_UserAccount を使用して WMI で実行できるため、Web ページにクエリを実行して作成する必要があるアカウントを確認し、それらを作成する PowerShell または VBScript スクリプトを作成することをお勧めします。ユーザーはローカル管理者である必要があります。これは PowerShell の方が簡単です。サンプル スクリプトを www.sapienpress.com/powershell.asp (ページの下部、無料) から取得すると、クエリを URL に送信して結果をテキストとして取得する方法の例が表示されます。その後、テキストを解析し、それに応じてアカウントを作成できます。

于 2008-11-30T16:01:26.337 に答える