 |
|
Модераторы: feodorv, GremlinProg, xvr, Fixin |
 
|
|
Создание процессов с ограничением прав 
| XCeption |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 2 Регистрация: 11.5.2008 Репутация: нет Всего: нет |
Проблема следующая: необходимо запускать процесс при этом ограничив его, например, запретив доступ к открытию файлов, или созданию дочерних процессов и т.п. Примером может служить, например, настройка прав для приложений в KIS 2009.
Пытаясь найти решение, я начал естеcтвенно с CreateProcess() и структуры SECURITY_ATTRIBUTES, разобрался с организацией прав доступа к объектам (списки DACL и SACL, ACEs), и пришел к выводу, что вся эта схема ровно противоположна тому, что нужно мне  Т.е. с помощью SECURITY_ATTRIBUTES я могу указать кто из пользователей и что сможет или не сможет делать с созданным процессом, а как же указать, что может делать данный процесс?Согласно логике организации доступа процессов к объектам (маркер доступа у процесса и дескриптор безопасности у объекта) получается, что для решения проблемы необходимо запустить процесс под именем отдельного пользователя (с этим как раз проблем нет), а перед этим создать дескриптор безопасности, указав в нем данного пользователя и запретив ему нужные операции, затем применить данный дискриптор ко всем объектам системы(!) - вот это уже по-моему бред... и чувствую не туда я уже пошел. Помогите найти верный путь  |
|||
|
||||
Загрузка ...
| Lycifer |
|
|||
|
Шустрый  Профиль Группа: Участник Сообщений: 144 Регистрация: 4.11.2007 Репутация: нет Всего: нет |
Во первых практически любой процесс работает от пользователя(кроме системных), соответственно у него такие же права как и у этого пользователя, если запретиш пользователю то можеш считать что запретил процессу от его имени.... Я думаю идея понятна...
Это пиши есчё |
|||
|
||||
| XCeption |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 2 Регистрация: 11.5.2008 Репутация: нет Всего: нет |
На других форумах подсказали работать с помощью перехвата API-функций процесса, путем заменоы оригинальных функций своими - пока собираюсь именно так делать, но конечно вариант с пользователем был бы проще, но если он вообще реализуем. |
|||
|
||||
| J0ker |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 986 Регистрация: 17.9.2008 Репутация: -1 Всего: 14 |
AdjustTokenPrivileges
CreateRestrictedToken --------------------  |
|||
|
||||
| Lycifer |
|
|||
|
Шустрый Профиль Группа: Участник Сообщений: 144 Регистрация: 4.11.2007 Репутация: нет Всего: нет |
Есть еще такая имея поставь ловушки на процесс.
 |
|||
|
||||
| Aprol |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 259 Регистрация: 15.6.2007 Репутация: нет Всего: нет |
ага знает ntfs
 |
|||
|
||||
|
|
| Правила форума "C/C++: Системное программирование и WinAPI" | |
|
|
На данный раздел распространяются Правила форума и Правила раздела С++:Общие вопросы . Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, Chipset, Step, Fixin, GremlinProg, xvr. feodorv. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | C/C++: Системное программирование и WinAPI | Следующая тема » |
[ Время генерации скрипта: 0.0631 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |