低必須レベルのプロセス (UAC) にネットワーク共有へのアクセスを許可する方法はありますか?
詳細な説明: 一部のサードパーティ製ライブラリのセキュリティ問題を移行するために、整合性モードを分離プロセスに設定することを検討していますが、指定された単一のファイル システム共有 (UNC パス、場合によっては別のコンピューター上) からプロセスを自由に読み取り/書き込みできるようにする必要があります。 .
これを行う方法があることを知っている人はいますか?
ありがとう
1 に答える
4
はい、これはデフォルトで利用可能です。プロセスの整合性は、リモート セキュリティではなく、ローカル セキュリティにのみ影響します。これは、完全性の低いバージョンのメモ帳を作成することで証明できます -
- C:\windows\system32\notepad.exe を C:\test\lownote.exe にコピーします。
- icacls C:\test\lownote.exe /setintegritylevel Low を実行します。
- 低音を実行
- Process Explorer (http://live.sysinternals.com/procexp.exe) で、整合性が低い状態で実行されていることを確認します。HDD 上のファイルを開くことはできますが、保存することはできません。ただし、ユーザー プロファイルの完全性が低いセクションを除きます。UNC 共有を使用してネットワーク、パスを参照します。ファイルを正常に開いたり保存したりできます。
そうは言っても、整合性の低いプロセスを使用してネットワーク共有に書き込むと、アクセス拒否メッセージが表示される場合があります。この原因は、アプリを実行しているコンピューターで procmon を使用して見つけることができます http://live.sysinternals.com/ProcMon.exeをフィルター処理して、Result is "ACCESS DENIED" および Process Name is - プロセスの名前を含めます。
利用できないのはドライブのマッピングです...HKCU [ドライブ文字の場所] を読み取ろうとすると、「アクセスが拒否されました」というメッセージが表示されます
MSDN ドキュメントによると:
ただし、整合性の低いプロセスと整合性の高いプロセスの間で、他の種類の通信を使用することもできます。使用できる通信の種類は次のとおりです。
- クリップボード(コピー&ペースト)
- リモート プロシージャ コール (RPC)
- ソケット
- ChangeWindowMessageFilter を呼び出して、整合性の高いプロセスが整合性の低いプロセスから受信することを明示的に許可されているウィンドウ メッセージ
- 共有メモリ。高整合性プロセスが共有メモリ セクションの必須ラベルを明示的に下げます (重要 これは特に危険であり、高整合性プロセスは共有セクションに書き込まれるすべてのデータを慎重に検証する必要があります)。
- 整合性の低いクライアントからのバインドを許可するために、整合性の高いプロセスによってプログラムによって起動アクティベーション権が設定される COM インターフェイス
- 作成者がパイプに必須ラベルを明示的に設定して、整合性の低いプロセスへのアクセスを許可する名前付きパイプ
于 2011-10-10T04:31:06.023 に答える