問題タブ [windows-security]

MSDNによると、設定した権限に関係なく、 CreateProcessAsUserW からエラー1314が発生し続けますSE_INCREASE_QUOTA_NAMEとSE_ASSIGNPRIMARYTOKEN_NAMEを追加する必要があります。

念のため、グループ ポリシー コンソールで、権限が実際に追加されたことを確認しました。

次のフラグを使用して、ターゲット ユーザーからトークンを取得します。

CreateProcessWithToken / CreateProcessWithLogonの使用には問題があります。CreateProcessWithToken が新しいジョブを開始すると、ターゲット プロセスの初期化が台無しになり、CreateProcessWithLogon には実行時に不明なパスワードが必要になるためです。

VB6 レガシ アプリケーションは、RegSetValueEx を呼び出してレジストリ値を設定します。このレジストリ値は、regedit を使用して簡単に設定できます。ただし、アプリケーションがそれを設定しようとすると、RegSetValueEx は 5 - Access Is Denied を返します。

同じコードを使用して他のレジストリ キーに書き込むと、すべて正常に動作します。また、ユーザーはローカル管理者です。

キーは KEY_ALL_ACCESS を使用して開かれますが、(KEY_READ または KEY_WRITE) を使用してみましたが、どちらも機能しませんでした。

質問: 「信頼されたルート証明機関」へのインストールに適した証明書を Windows に検出させるにはどうすればよいですか?

背景: 内部サイトを構築しており、ユーザーがサーバーのルート証明書をダウンロードして、「信頼されたルート認証局」として Windows 証明書信頼ストアにインストールできるようにしたいと考えています。ユーザーが証明書ファイルを開くと、通常の証明書検査画面が表示されます。

ユーザーは [証明書のインストール] をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択する] を選択できます。

必然的に、このオプションを選択すると、証明書が「信頼されたルート証明機関」ではなく「中間証明機関」にインストールされます。

ルート証明書は、OpenSSL で自己署名ルート証明書として生成されます。openssl x509 レポート:

セキュリティ上の理由から、Windows が証明書を信頼されたルート認証局として自動的にインストールすることを禁止していたとしても、私は驚かないでしょう。動作します。明確化をいただければ幸いです。

IIS 7.0 以降では、いわゆる仮想アカウントの概念を使用してアプリケーション プールを識別します ( IIS AppPool\apppoolname)。それらのアカウントにはプロファイルがあり、それらに設定されたローカル環境変数にすることができますか? どのように？

GUI を更新する必要があるワーカー スレッドを持つ Windows アプリケーションがあります。BeginInvoke を使用して非同期で実行します。以下の例で示されている私たちの問題は、プリンシパルが GUI スレッドに伝播されることです。これは避けたいことです。実際のアプリケーションでは、間違った ID のために失敗するサーバー要求を実行します。この伝播を回避する方法はありますか?

USBHIDDRIVER を使用して、ローカル ワークステーションに接続された体重計にアクセスしています。Visual Studio 2012 Debug で WCF を実行すると、すべて正常に動作します。しかし、IIS でサービスを実行しようとすると、USBHIDDRIVER が認識されないようです。WCF に正常に動作するテスト サービスがあるため、WCF は動作しています。

これをトラブルシューティングする方法に関する情報は非常に役立ちます。私の問題は、IIS サーバーに展開するときに WCF がコンパイルされるため、トラブルシューティングに苦労していることです。

USBHIDRIVER に関する追加情報は次のとおりです: http://www.florian-leitner.de/index.php/projects/usb-hid-driver-library/

インターネット上の IIS Web サーバーと、IIS が VPN リンクを介してアクセスするデータベース サーバーで構成される Web アプリケーションがあります。

私たちが抱えている問題は、接続文字列をどこかに保存する必要があることです (これは明らかにデータベースにはありません)。

aspnet_regiis を使用して web.config 接続文字列を暗号化できることに注意してください。

https://msdn.microsoft.com/en-us/library/dx0f3cf2%28v=vs.85%29.aspx

これがどれほど堅牢であるかについて、誰でもコメントできますか。私たちが望んでいないのは、データベースがインターネットからハッキングされることです。

私が懸念していることの 1 つは、aspnet_regiis が復号化と暗号化に使用され、マシン自体にインストールされていることです。したがって、マシンが侵害され、この exe がそこにあった場合、パスワードを発見することはそれほど難しくありません。

したがって、パスワードを保護するこの方法が推奨されないと仮定すると、他にどのようなオプションがありますか?

関連する場合は、IIS が IIS APPPOOL\DefaultAppPool アカウントのコンテキストで実行されていることに注意してください。

ありがとう。

AppLocker を有効にしているお客様には、ソフトウェアのコンポーネントを MSI として出荷しています。AppLocker が起動してインストールが失敗します。私が理解している限り、問題は次のとおりです。

• AppLocker の既定のルールでは、管理者のみが MSI ファイルをインストールできます
• 設計上、Windows インストーラーは最初は MSI ファイルを非特権で実行し、後で昇格された特権にのみ切り替えます

そのため、AppLocker のインストーラーは「遅すぎます」。何が機能するか（1-3のみを試しました）：

1. 管理者としてコマンド プロンプトを開き、MSI ファイルを実行します。
2. 通常のユーザーが指定したディレクトリから MSI をインストールできるようにする AppLocker ルールを作成する
3. setup.exe で MSI を実行し、setup.exe を管理者として実行します。
4. Windows をハックして、MSI ファイルの「run as」コンテキスト メニュー エントリを作成する
5. MSI を自己解凍型 EXE にラップする

これらはすべて、顧客側での変更が必要な場合 (2、4)、インストールが必要なほど簡単ではない場合 (1、3)、またはパッケージが 2 倍になる場合 (5) のいずれかです。(その他のお客様は、展開に MSI が必要です。)

MSI を AppLocker で動作させる簡単な方法はありますか?