非管理員使用者能否在不影響系統安全的情況下啟動 Windows 服務？

從沒有管理員權限的應用程式啟動 Windows 服務

許多方案涉及從單獨的應用程式啟動或停止 Windows 服務。然而，出於安全考慮，這對於非管理員用戶來說似乎受到限制。如何克服這個限制，讓使用者能夠在不影響系統穩定性的情況下，對服務管理進行精細化控制？

解決方案：修改服務權限

問題的關鍵在於修改服務對象的權限。透過授予非管理使用者適當的權限，我們可以允許他們以受控的方式與服務互動。

以下程式碼片段示範如何設定服務的安全描述符以包含所需的權限：

<code class="c++">wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}</code>

此特定安全描述符授予以下權限：

• 本機系統的預設權限：授予對本機系統帳戶的完全控制權。
• 管理員的預設權限： 授予管理員存取權限。
• 經過驗證的使用者的預設權限： 向所有經過驗證的使用者授予有限存取權限。
• 進階使用者的預設權限： 授予進階使用者完全控制權。
• 為互動式使用者新增權限： 授予互動式使用者啟動服務的權限。

可以自訂安全描述符字串 (SDDL)，以根據不同使用者群組所需的存取等級新增或刪除特定權限。例如，如果您希望非管理員使用者能夠停止服務，可以使用以下 SDDL：

L"(A;;RPWP;;;IU)" 

這將新增 WP (WRITE_PROPERTY) 權限，允許互動式使用者啟動並停止服務。

透過仔細設定權限，非管理員使用者可以在不影響系統安全的情況下執行基本的服務管理任務。

以上是非管理員使用者能否在不影響系統安全的情況下啟動 Windows 服務？的詳細內容。更多資訊請關注PHP中文網其他相關文章！