問題タブ [windows-security]

デジタル署名について私が理解していることから、exe をコード署名すると、「署名者」が PE 自体を変更します。PE の末尾に証明書の内容を追加し、(明らかに) ヘッダーへの何らかの参照を追加していることに気付きました。

私の質問は次のとおりです。これはどのくらい安全ですか? 実行可能ファイルをリバース エンジニアリングできる人は、それを自分の実行可能ファイルに偽造して、デジタル署名を偽造することはできませんか?

プログラムにフレームを配置して、ウィンドウのセキュリティを必要とするWebサイトにアクセスさせようとしています。

プログラムのウィンドウが読み込まれたときにパスワードを入力しても問題ありませんが、エラーが発生するだけです。

System.Net.WebExceptionは処理されませんでしたメッセージ：リモートサーバーがエラーを返しました：（401）許可されていません。

最良のシナリオは、プログラミングでパスワードを自動的に提供でき、サイトに直接アクセスできるようにすることです。

何か案は？

Windowsサービスと通信するWebアプリケーション（IISでホストされている）があります。WindowsサービスはASP.NetMVCWeb API（自己ホスト型）を使用しているため、JSONを使用してhttp経由で通信できます。Webアプリケーションは、なりすましを行うように構成されています。つまり、Webアプリケーションに要求を行うユーザーは、Webアプリケーションがサービスに要求を行うために使用するユーザーである必要があります。構造は次のようになります。

_{（赤で強調表示されているユーザーは、以下の例で参照されているユーザーです。）}

Webアプリケーションは、HttpClient：を使用してWindowsサービスに要求を行います。

これにより、Windowsサービスに要求が送信されますが、資格情報は正しく渡されません（サービスはユーザーをとして報告しますIIS APPPOOL\ASP.NET 4.0）。これは私がしたいことではありません。

上記のコードをWebClient代わりに使用するように変更すると、ユーザーの資格情報が正しく渡されます。

上記のコードを使用すると、サービスはユーザーをWebアプリケーションにリクエストしたユーザーとして報告します。

HttpClientクレデンシャルを正しく渡さない原因となっている実装で何が間違っているのですか（またはのバグHttpClientですか？）

_{私が使用したい理由HttpClientは、sでうまく機能する非同期APIがあるTaskのに対し、WebClient'sasycAPIはイベントで処理する必要があるためです。}

WCFサービスと偽装に問題があります。これを以下の簡単な方法にまとめました。WCFサービスは、現在exeで自己ホストされています。例外メッセージは、「必要な偽装レベルが提供されなかったか、提供された偽装レベルが無効です」です。エラーがスローされるタイミングを確認すると、Identity ImpersonationLevelは、クライアントで指定されているように委任に設定され、Kerberosを介して認証されます。

ImpersonationLevelとAuthenticaitonの要件が満たされているように見えるので、少し戸惑っています。私の考えでは、問題はおそらく私が設定したドメイン設定に関係していて、正しく設定されていると思います。だから私は2つの質問があります：

1. 以下の操作は成功するはずですか？（またはそれは欠陥がありますか？）
2. Win2k8ドメインを機能させるには、どのような設定を構成する必要がありますか？私は同じWin2k8ドメインのメンバーである2つのボックスで作業しています（偽装をテストする目的で、新しいドメインとかなりバニラです）。

次のようにコーディングします。

例外の詳細：

Test.batファイルの内容

エコー％username％

ローカル PC で実行する Windows サービスがあります。私のオペレーティング システムは Windows 7 です。「コンピューターの管理 > サービス」を経由せずに、C# コードを使用してサービスを開始したいと考えています。

以下のコードを実行すると、次のようになりますException。

「サービス {ServiceName} がコンピューター '.' に見つかりませんでした。」

私はこのシナリオに関する多くの記事を読んできましたが、すべてこれがsecurity feature of Windows 7. 管理者グループを介さずにこのサービスを実行する方法はありますか?

ヘルプ！

Tomcat 6.0 で仮想ディレクトリを機能させようとしています。

これは、仮想ディレクトリを、私自身とは異なる 2 つの組織ドメイン上の 2 つの別個のサーバー上の共有に接続する際に何年も機能していました。

つい最近、別のインスタンスで、この仮想ディレクトリはマッピングを停止しました。具体的には次のように述べています。

java.lang.IllegalArgumentException: ドキュメント ベース \xxx.xxx.xxx.xxx\CFSoft が存在しないか、org.apache.naming.resources.FileDirContext.setDocBase(FileDirContext.java:142) の org.apache に読み取り可能なディレクトリではありません.catalina.core.StandardContext.resourcesStart(StandardContext.java:4249) ...

情報: コンテナー org.apache.catalina.core.ContainerBase.[Catalina].[localhost].[/callcenter/soft/asho] が開始されていません

以前は（Windowsから）これらのサーバー共有を匿名で、つまり認証なしで参照できたので、ユーザーのアクセス許可と関係があるようですが、今はできません。私が推測できるのは、ドメイン認証が必要なためTomcatがこれらの共有にアクセスできないことですが、コンテキスト（仮想ディレクトリ）マッピングのどこにも資格情報を指定できません。

私の構文はマッピングで正しいと確信しています：

誰か提案はありますか？ありがとう。

重複の可能性:
ローカル グループ ポリシー / Active Directory 設定の読み取り

SQL Server 2005 以降の監査スクリプトを作成しようとしています。

スクリプト出力で確認したい項目の 1 つは、「パスワード ポリシーの強制」フラグによって検証される実際の設定のリストです。参照される実際の設定は OS から継承されていることがわかっているので、xp_regread (または xp_instance_regread) を使用して関連するレジストリ キーを読み取れることを期待していましたが、それらがどれであるかはわかりません。

すべての検索で、必要な情報が表示される secpol.msc スナップインが表示され続けますが、その情報を SQL スクリプトに追加したいと考えていました。

結論:

ローカル セキュリティ ポリシーに関する情報を取得するために、xp_regread で検索できるレジストリ キーはどれですか? そのようにできない場合、他にどのようにして情報を sql ステートメントの結果に入れることができますか?

WMI.NET経由でBiztalkServer2010に接続すると、任意の数のクラスタイプを正常に閲覧できますが、Biztalkクラスはどれも閲覧できません。それらのそれぞれは、次の例外の言い回しをスローします。

テストコード（セキュリティ情報なし）：

MSBTS_Settingを任意のBiztalkクラスに変更すると、同じ例外が発生します。それを非biztalkクラスに変更すると、問題なく動作します。例：CIM_Setting。

さまざまな顧客が所有するさまざまなプロジェクトのコードベースを分析する単一のSonarインスタンスがあります。他のプロジェクトのコードベースにアクセスするために、プロジェクトチーム以外の人がソナー/マシンのセキュリティを操作できるようにする必要があります（たとえば、悪意のある単体テストや、バックドアを作成するスクリプトを介して）。

Windowsセキュリティを使用して、プロジェクト固有のフォルダーにアクセスするだけの制限付きユーザーアカウントを作成できます。次に、そのWindowsアカウントを使用して、SCMからコードのダウンロードを実行し、分析をトリガーする際にSonarRunnerをトリガーするタスクをスケジュールできます。

今私の質問はこれです。特定のWindowsユーザーアカウントでSonarRunnerを実行すると、実際のソナー分析/単体テストの実行は、その特定のユーザーアカウントのサンドボックス内で実行されますか？

そうでない場合、私の目標を達成するためにさまざまなプロジェクトをサンドボックス化する手段はありますか？

TCP/IPサーバーが組み込まれたWindowsサービスがあります。クライアントと接続し、いくつかの情報が配布されます。通常、サービスはネットワークサービスとしてログオンするためにインストールされます。

ProgramData の下のフォルダーに保存されているデータがいくつかあり、そのフォルダーへの読み取り/書き込みアクセスは、インストール中にサービスに付与されます。ただし、通常はネットワーク サービス アカウントを使用してすべてのサービスへのアクセスが許可されます。ChangeServiceConfig2と SERVICE_CONFIG_SERVICE_SID_INFOを使用して、特定のサービス SID を追加できることを理解しています。ただし、そこから先に進む方法と、これが私の問題の解決策であるかどうかはまったく明確ではありません。

どんな助けでも大歓迎です！