일시적으로 권한을 가장하여 권한을 부여 하시겠습니까?

Question

우리는 많은 시스템 관련 작업을 수행하는 DLL을 유지 관리합니다. 파일 시스템, 레지스트리 등을 순회하는 것입니다.이 DLL의 호출자는 가장을 사용하거나 사용하지 않을 수 있습니다. 가능한 모든 시나리오를보다 잘 지원하기 위해 나는 더 똑똑 해 지도록 수정하려고합니다. 파일을 삭제하는 예제를 사용하겠습니다. 현재 우리는 단지 DeleteFile()을 호출하고 이것이 실패하면 그 것이 끝납니다. 나는 다음을 생각해 냈다 :

BOOL TryReallyHardToDeleteFile(LPCTSTR lpFileName) 
{ 
    // 1. caller without privilege 
    BOOL bSuccess = DeleteFile(lpFileName); 
    DWORD dwError = GetLastError(); 
    if(!bSuccess && dwError == ERROR_ACCESS_DENIED) 
    { 
     // failed with access denied; try with privilege 
     DWORD dwOldRestorePrivilege = 0; 
     BOOL bHasRestorePrivilege = SetPrivilege(SE_RESTORE_NAME, SE_PRIVILEGE_ENABLED, &dwOldRestorePrivilege); 
     if(bHasRestorePrivilege) 
     { 
      // 2. caller with privilege 
      bSuccess = DeleteFile(lpFileName); 
      dwError = GetLastError(); 
      SetPrivilege(SE_RESTORE_NAME, dwOldRestorePrivilege, NULL); 
     } 
     if(!bSuccess && dwError == ERROR_ACCESS_DENIED) 
     { 
      // failed with access denied; if caller is impersonating then try as process 
      HANDLE hToken = NULL; 
      if(OpenThreadToken(GetCurrentThread(), TOKEN_QUERY | TOKEN_IMPERSONATE, TRUE, &hToken)) 
      { 
       if(RevertToSelf()) 
       { 
        // 3. process without privilege 
        bSuccess = DeleteFile(lpFileName); 
        dwError = GetLastError(); 
        if(!bSuccess && dwError == ERROR_ACCESS_DENIED) 
        { 
         // failed with access denied; try with privilege 
         bHasRestorePrivilege = SetPrivilege(SE_RESTORE_NAME, SE_PRIVILEGE_ENABLED, &dwOldRestorePrivilege); 
         if(bHasRestorePrivilege) 
         { 
          // 4. process with privilege 
          bSuccess = DeleteFile(lpFileName); 
          dwError = GetLastError(); 
          SetPrivilege(SE_RESTORE_NAME, dwOldRestorePrivilege, NULL); 
         } 
        } 
        SetThreadToken(NULL, hToken); 
       } 
       CloseHandle(hToken); 
       hToken = NULL; 
      } 
     } 
    } 
    if(!bSuccess) 
    { 
     SetLastError(dwError); 
    } 
    return bSuccess; 
} 

그래서 먼저 호출자로 시도한다. 액세스가 거부되어 실패하면 일시적으로 호출자의 토큰에서 권한을 활성화하고 다시 시도합니다. 액세스가 거부되어 호출자가 가장하는 경우 실패하고 일시적으로 거부하고 다시 시도합니다. 액세스가 거부되어 실패하면 일시적으로 프로세스 토큰에서 특권을 사용 가능하게하고 다시 시도합니다. 이것은 거의 모든 상황을 처리해야한다고 생각하지만, 이것을 달성하기위한 더 좋은 방법이 있는지 궁금합니다. 이 메소드를 사용할 가능성이있는 작업이 많이 있습니다 (예 : 보안 개체에 액세스하는 모든 작업).

Answer 1

이렇게 할 수있는 유일한 방법은 서비스로 실행하고 서비스 내에서 사용자를 가장하는 것입니다. 서비스 은에 모든 서비스 계정이 기본적으로 부여되는 가장 인증 권한을 부여 받아야합니다. 호출자를 가장 할 때 위임에 가장해야하므로 시스템을 쉽게 벗어날 수 있습니다.

Answer 2

이 모든 것이 DLL에 대해 정말 재미있을 것 같습니다. DLL이 아닌 서비스의 작업처럼 들리거나 사용자 계정이 권한있는 계정으로 들어오는 데이터를 제거하도록 허용하려는 경우 해당 개체에 대해 ACL을 설정하지 않는 것이 좋습니다. 작업을 삭제 하시겠습니까?

그렇게 말하면 실제로 무엇을하려고합니까? 사용자 계정은 일반적으로 관리자 계정으로 입력 된 데이터를 제거 할 수 없습니다.

Answer 3

백업 및 복원 권한을 함께 사용하면 모든 파일에 대한 전체 액세스 권한을 얻을 수 있습니다. 이것들은 LocalSystem에서 사용할 수 있습니다. 이것을 사용하려면 FILE_FLAG_BACKUP_SEMANTICS로 파일을 열어야합니다. 일부 Win32 API는이 기능과 함께 사용하도록 설계되지 않았으므로 플래그를 커널에 전달하지 않습니다. 일부 경우에는 CreateFile을 사용하여 디렉토리를 열 수 있습니다. (커널의 경우, 디렉토리는 단지 또 다른 종류의 파일입니다).

정말로 모든 것을 액세스 할 수 있어야하는 경우 이러한 권한을 사용하도록 설정하고 호출자의 보안에 관계없이 성공해야하는 검색 작업을 수행해야합니다.

하나의 중요한 문제는 파일을 잠궈 놓거나 열 수 있지만 액세스 권한을 공유하지 않는 것입니다. 사용자 모드에서이 문제를 해결할 방법이 없습니다 (자원을 소유하고있는 프로세스를 죽이지 않고, 아마도 과도 함으로 죽일 필요는 없습니다). 이것이 내가 아는 주류 스캐너가 커널 모드 파일 시스템 필터 드라이버로이 기능을 구현 한 이유입니다.

또한 감사에 대해 생각해보십시오. LocalSystem 또는 호출 프로세스와 관련된 사용자에 대해 감사 항목을 표시 하시겠습니까?