問題タブ [windows-security]

特定のユーザーに特定の特権 (権限ではない) を付与するにはどうすればよいですか? 「許可」と「特権」があり、私が作成したソフトウェアが Windows 7 のシステム クロックを変更できるように SE_SYSTEMTIME_NAME 特権を付与できる必要があるため、混乱しています。明らかに、この特権を付与する必要があります。そのため、次のように定義された SetSystemTime を呼び出すことができます。

ただし、この権限を付与する方法については不明です。私は管理者権限を持っているので、この権限を有効にできるはずです。私はこれを理解しようとして夢中になっています。Windows 7 内で権限を設定する方法についてのヘルプをいただければ幸いです。

つまり、Windows 7 のユーザー インターフェイスまたはシステム ユーティリティを使用して、自分のアカウントに SE_SYSTEMTIME_NAME 権限を付与する方法を知りたいのです。システム時刻を設定できるように、この特権を付与するにはどうすればよいですか?

次のコードを使用して、リモートマシン上のサービスを制御しようとしています。

これは、ローカルドメイン内のコンピューターから実行し、同じドメイン上のマシンをターゲットにしている場合、現在ログオンしているユーザーの資格情報を使用する場合と他の資格情報を使用する場合の両方で正常に機能します。

ただし、どのドメインにも存在しないマシンをターゲットにしようとすると、目的のアクセスOpenSCManager以外のものを指定すると、アクセスが拒否されて呼び出しが失敗しSC_MANAGER_CONNECTます。ドメイン外のコンピューターからドメインコンピューターをターゲットにすることは機能します（ターゲットマシンのローカル管理者であるドメインユーザーに対してユーザー/ドメイン/パスワードの組み合わせを使用します）。ドメイン外のコンピューターからドメイン外のコンピューターをターゲットにすることはできません。

ユーザー/パスワードは、ターゲットコンピューターの管理者グループのメンバー用であるため、アカウントの権限に問題はありません。

を使用してscmanagerセキュリティ記述子を確認しましたがsc -sdshow scmanager、ドメインコンピューターと非ドメインコンピューターで同じです。どちらもWindows764ビットを実行しています。

また、 psexecを使用することもテストしました。これは同じ症状を示します。つまり、ドメインコンピューター間では正常に機能しますが、非ドメインコンピューターを対象とする場合は機能しません。

また、ターゲットマシンでRPC over TCPを無効にして再起動することもテストしました。これは、アクセス拒否エラーの考えられる原因として説明されていますが、これは役に立たないようです。ターゲットマシンでWindowsファイアウォールを無効にすることもテストしましたが、変更はありません。

サービスのリモート構成を機能させるために有効にする必要のある設定はありますか？

ドメイン\ユーザーとプレーンテキストのパスワードなど、いくつかのユーザー資格情報を持つクライアント コンソール アプリケーションがあります。クライアント アプリは、LogonUser (dwLogonType:LOGON32_LOGON_NETWORK) win32 API を呼び出して、そのユーザーの windowsidentity オブジェクトを取得します。私はwindowsidentityを使用して、偽装してWCFサービス呼び出しを行います(別のマシンでホストされています)。WCF サービスは、Windows 統合セキュリティで TCP プロトコルを使用するように構成されています。呼び出しは SecurityNegotiation 例外で失敗し、次のエラーが発生しました: リモート サーバーが相互認証要件を満たしていませんでした。

ここでの私の仮定は、エンドポイントが Windows 統合認証を使用するように構成されているため、サーバーが拒否する匿名のクライアント ID を認識していることです。私の推測では、Windows 委任用にサーバー アカウントを設定する必要があります。私の推測は正しいですか？

また、

1. dwLogonType = LOGON32_LOGON_NETWORK の選択は正しいですか?
2. LogOnUser (dwLogonType = LOGON32_LOGON_NETWORK) によって返されたトークンをリモート WCF 呼び出しに使用できますか?

最近、私はWindowsLogonUserAPIを扱っています。LogonUser APIは、APIに渡されたdwLogonTypeに応じて異なるトークンを返します。ドキュメントには次のように記載されています。

•この関数は、プライマリトークンではなく、偽装トークンを返します。このトークンをCreateProcessAsUser関数で直接使用することはできません。ただし、DuplicateTokenEx関数を呼び出してトークンをプライマリトークンに変換し、それをCreateProcessAsUserで使用することができます。

•トークンをプライマリトークンに変換し、それをCreateProcessAsUserで使用してプロセスを開始すると、新しいプロセスはリダイレクタを介してリモートサーバーやプリンタなどの他のネットワークリソースにアクセスできなくなります。例外は、ネットワークリソースがアクセス制御されていない場合、新しいプロセスがそれにアクセスできることです。

私はさまざまなトークンタイプについて完全に混乱しています。さまざまなWindowsトークンタイプとは何で、どのように異なるのかを理解したいのですが？

プロジェクトで基本認証を使用しようとしていますが、これは通常、統合および QA 環境で正常に機能するか、IIS 7.5 を使用してローカルで実行することさえできます。しかし、IIS Express でローカルに実行すると、いくつかの非常に奇妙な問題が発生します。静的な要求を行うと、不可解な HTTP 500 エラーが発生し、そのリソースへのアクセスでエラーが発生したことがわかります。これは、おそらくアクセス許可に関連する理由で、エラー コード 0x80070542 が発生したことを示しています。同時に、ASP.NET でレンダリングされたものはすべて完璧になります。

大雑把な検索によると、問題は通常、IIS のアカウントがこれらのリソースにアクセスできないことに起因することが示されています。これは使い果たされており、IUSER は間違いなくリソースにアクセスできます。実際、まったく同じフォルダーが IIS 7.5 で完全に機能します。IIS Express バーフのみ。また、基本認証を有効にした場合にのみ、Windows 認証を有効にすると、すべての要求が完全に通過します。

最終的に、sysinternals procmon の実行を試みて、正しいユーザーを調べているのか、それが別の何かで失敗しているのかを調べたところ、BAD IMPERSONATION の結果として失敗していることがわかりました。しかし、誰がなりすましているのかを突き止めようとしても無駄でした。私たちが知る限り、IUSER / NETWORK SERVICE / default アカウントには適切なレベルのアクセス権があります。これは、IIS が運用モードで動作し、あらゆる種類のアクセス テストに合格することを前提としています。IIS Express を実行しているアカウントはすべてローカル管理者であり、偽装にアクセスできる必要があります。その権利をローカル セキュリティ ポリシーに手動で追加しても、違いはありません。なりすましユーザーを明示的に定義する以外に、これを修正する方法がわかりません。これは、本当に行う必要はありません。

では、IIS Express を基本認証と静的要求で動作させる正しい方法はありますか?

SDDL（セキュリティ記述子定義言語）文字列を生成するツールはありますか？Windowsのセキュリティプロパティシートなどで作成したいのですが。

URL予約を設定しようとしているWindowsXPSP3マシンがあります。httpcfgユーティリティを使用して、次のnetsh予約に相当するものをセットアップしようとしています。

このMSDNの記事を参照しています。私を混乱させているのは、必要なACLパラメーターです。

ドキュメントには、ACLをSDDL形式の文字列として渡す必要があることが示されています。私は、SDDL構文に精通していないため、EveryoneのSDDL文字列を取得する方法がわかりません。さまざまなグループに完全なアクセス許可を付与するためのデフォルトのSDDL文字列はありますか？または、SDDL文字列を手動で生成する必要がありますか？netshのように単に権限を設定する別の方法はありますか？

リストからユーザーに自動的にログオンするPythonスクリプトを書いています。このスクリプトは、アクティビティが少ないためにアカウントが無効になるのを防ぐために、月に1回実行されます。以下は作業コードです：

私の質問は、win32security.LogonUser（）がActiveDirectoryの「最後にログオンした」タイムスタンプを更新するかどうかです。Active Directoryサーバーに対する管理者権限を持たずにこれを実現する別の方法はありますか？

ありがとう

ウォル

C++ プログラムで Windows 上のファイルへのアクセスを許可する必要がありました。MSDN からコードを参照してコピー/貼り付けたところ、次のことがわかりました。私が知る限り、それは機能しています。

しかし、今日、AddAccessAllowedAceEx の使用に関する MSDN の警告に出くわしました。次に、読者にこれを参照してもらいます: http://msdn.microsoft.com/en-us/library/windows/desktop/aa379298(v=vs.85).aspx

そこで、ベテランの Windows プログラマーに以下の私のコードを確認してもらい、変更中のファイルの DACL 内で ACE の順序付けに関して問題が発生するかどうかを教えてください (これは、私の関数）。新しい ACE を DACL の最後に追加しただけです。これが問題になる場合、DACL からすべての ACE を実際に読み取り、それらを検査してから、新しい ACE を正しい位置に挿入して正しい順序を尊重するように、一度に 1 つずつ追加する必要がありますか?

}

オフィスの PC でハッキングの試みが見られます。先週の金曜日、PC が突然 2 回再起動し、ログインしたときに、重要なドキュメントの一部がそこにありませんでした。削除しただけです。そのため、イベント ビューアをチェックして、この再起動の理由を見つけました。これらのログを取得しましたが、そのログに誰かの PC 名が表示されています。誰か私にこれを説明できますか？

ありがとうございました！