Bolehkah Pengguna Bukan Pentadbir Memulakan Perkhidmatan Windows Tanpa Menggugat Keselamatan Sistem?

Memulakan Perkhidmatan Windows daripada Aplikasi tanpa Keistimewaan Pentadbir

Banyak senario melibatkan memulakan atau menghentikan perkhidmatan Windows daripada aplikasi berasingan. Walau bagaimanapun, ini mungkin kelihatan terhad untuk pengguna bukan pentadbir kerana kebimbangan keselamatan. Bagaimanakah kita boleh mengatasi had ini dan memperkasakan pengguna dengan kawalan terperinci ke atas pengurusan perkhidmatan tanpa menjejaskan kestabilan sistem?

Penyelesaian: Mengubah Suai Kebenaran Perkhidmatan

Kunci kepada isu ini terletak dalam mengubah suai kebenaran objek perkhidmatan. Dengan memberikan hak yang sesuai kepada pengguna bukan pentadbiran, kami boleh membenarkan mereka berinteraksi dengan perkhidmatan secara terkawal.

Coretan kod berikut menunjukkan cara menetapkan deskriptor keselamatan untuk perkhidmatan supaya memasukkan kebenaran yang diperlukan:

<code class="c++">wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}</code>

Penerangan keselamatan khusus ini memberikan kebenaran berikut:

• Kebenaran lalai untuk sistem setempat: Memberikan kawalan penuh kepada akaun sistem setempat.
• Kebenaran lalai untuk pentadbir: Memberi akses kepada pentadbir.
• Kebenaran lalai untuk pengguna yang disahkan: Memberi akses terhad untuk semua pengguna yang disahkan.
• Kebenaran lalai untuk pengguna kuasa: Memberi kawalan penuh untuk pengguna kuasa.
• Tambahan kebenaran untuk pengguna interaktif: Memberi kebenaran untuk memulakan perkhidmatan untuk pengguna interaktif.

Rentetan deskriptor keselamatan (SDDL) boleh disesuaikan untuk menambah atau mengalih keluar kebenaran tertentu berdasarkan tahap akses yang diingini untuk pelbagai kumpulan pengguna. Sebagai contoh, jika anda mahu pengguna bukan pentadbir boleh menghentikan perkhidmatan, SDDL berikut boleh digunakan:

L"(A;;RPWP;;;IU)" 

Ini akan menambah hak WP (WRITE_PROPERTY), membenarkan pengguna interaktif untuk kedua-duanya bermula dan hentikan perkhidmatan.

Dengan menetapkan kebenaran dengan teliti, pengguna bukan pentadbir boleh melaksanakan tugas pengurusan perkhidmatan yang penting tanpa menjejaskan keselamatan sistem.

Atas ialah kandungan terperinci Bolehkah Pengguna Bukan Pentadbir Memulakan Perkhidmatan Windows Tanpa Menggugat Keselamatan Sistem?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!