1

ユーザー (admin グループに属するユーザーを含む) がファイルの所有権を取得できないようにする方法があるかどうか知りたいです。

私は元々、Local Systemアカウントで実行されているサービスからそのようなファイルを作成します。次に、そのファイルDACLをアカウントD:(A;OICI;GA;;;SY)のみSYSTEMがフル アクセスできるように設定my serviceし、所有者として設定します。

DWORD dwRes = ::SetNamedSecurityInfo(
    strDataFilePath,
    SE_FILE_OBJECT,
    OWNER_SECURITY_INFORMATION,  // change only the object's owner
    pMyServiceUserSid,           // User SID for my service
    NULL,
    NULL,
    NULL);

しかし、すべてが完了した後でも、管理者として Windows エクスプローラーを介してこのファイルの所有権を取得できます。

ここに画像の説明を入力

4

3 に答える 3

0

免責事項: これは簡単ではありません。

管理者が組み込みの OS ツールを使用したり、一般的に使用されるサードパーティ ツールが所有権を取得したりするのを防ぐことが目標であると仮定すると (管理者が代替 OS を起動したり、ドライブを削除したり、物理的なアクセスを必要とするその他のさまざまな脅威について心配する必要はありません)、次のアプローチは堅牢になります。

  1. この記事の4つの対策を実施してください。実装とは、ベンダーと協力して、説明したテクノロジをサポートするハードウェアとソフトウェアを入手することを意味します。
  2. Early Launch Anti Malware (ELAM) として機能するファイル システム フィルター ドライバーを実装し、必要に応じて所有権の取得操作を停止します。ELAM API は公開されていないと思います。それが本当なら、MS と直接連携してアクセスする必要があります。

物理的なアクセスがなければ、このアプローチは (少なくとも設計上) ルート キットを含むマルウェアも無効にします。「物理アクセス」には、iDRAC や iLO などのリモート アクセス コントローラのロック ダウンが含まれることに注意してください。リモート メディアを介した代替 OS の起動など、従来はローカル アクセスを介してのみ利用可能であった機能へのリモート アクセスを許可します。

よりシンプルで堅牢性の低いアプローチが必要な場合は、(ELAM としてではなく) ファイル システム フィルター ドライバーのみを実装できます。

于 2016-02-17T18:45:47.363 に答える