如何确保我的Windows模拟级别有效?

时间:2015-02-19 02:09:33

标签: c# visual-studio impersonation httplistener

我正在处理一个讨厌的问题,让我准备把头发撕掉。我有一个C#控制台应用程序,它使用Microsoft的HttpListener类来监听Web请求。这个想法是控制台应用程序在后台运行UserAccountA(低priv)。 UserAccountB(管理员等)出现,通过监听器访问网页,并模拟他或她的身份。 IIS或WCF也是如此。我相信我有这个在Windows 7上工作,但现在我在Windows 8.1上,它又失败了。也许我从来没有开始,或许这是一个新的转折。

如果我通过Visual Studio运行该程序,我可以使用Internet Explorer 11访问它。出于某种原因,它要求我输入我的本地凭据。我假设这与IE11的开箱即用行为有关。一旦我输入它,它接受它。我的代码开头是这样的:

    protected virtual void Listen(object o)
    {
        HttpListener h = (HttpListener)o;

        while (h.IsListening && (this.Disposed == false))
        {
            IAsyncResult Result = null;

            Result = h.BeginGetContext(new AsyncCallback(this.ListenerCallback), h);

            Result.AsyncWaitHandle.WaitOne();
        }
    }

就像这样(缩写):

    protected virtual void ListenerCallback(IAsyncResult Result)
    {
        HttpListener h = (HttpListener)Result.AsyncState;
        HttpListenerContext context = null;
        System.Security.Principal.WindowsIdentity identity = null;

        context = h.EndGetContext(Result);

        identity = (System.Security.Principal.WindowsIdentity)context.User.Identity;

        using (System.Security.Principal.WindowsImpersonationContext wic = identity.Impersonate())
        {
             //method call to process request, under impersonation
        }
    }

在使用两个不同的帐户(一个用于托管,一个用于访问)时,我已完成此代码。我已使用此声明进行了验证:

   system.security.principal.windowsidentity.getcurrent().name

目前的身份转变。侦听器配置为使用NTLM AuthenticationScheme启动。

我认为复杂的部分是在模拟期间调用的方法中。我们正在做一些抽象,但让我指出失败的部分。在这种情况下,我们使用SSPI连接到SQL服务器 - 因此模拟的全部内容是获取客户端现有的登录并优雅地将它们引入SQL Server。同样,现在,这对于一台计算机来说都是本地的。它甚至不在活动目录域中。一切都是本地的,有本地账户。它是这样开始的:

        System.Data.Common.DbProviderFactory fact = null;

        if (UseSql())
        {
            fact = System.Data.Common.DbProviderFactories.GetFactory("System.Data.SqlClient");
        }

没什么大不了的。我们经常在另一个项目中使用提供者工厂而没有任何问题(但这只是一个普通的WPF应用程序,不是这样的)。在此之后我们将使用SSPI属性设置SQL登录字符串。但我们甚至没有那么远。这正是它失败的地方,有这样的信息:

  

类型' System.IO.FileLoadException'的第一次机会异常。   发生在mscorlib.dll

     

其他信息:无法加载文件或程序集   ' System.Data.OracleClient,Version = 4.0.0.0,Culture = neutral,   的>公钥= b77a5c561934e089'或其中一个依赖项。要么a   未提供所需的假冒级别或提供的   模仿级别无效。 (HRESULT的例外情况:0x80070542)

http://i854.photobucket.com/albums/ab103/srVincentVega/error7_zpsmb1xqrp0.png http://i854.photobucket.com/albums/ab103/srVincentVega/error7_zpsmb1xqrp0.png

我们根本就没有使用Oracle,我认为这只是它在尝试打开DbProviderFactory时开始尝试的第一件事。对我而言,关键在于冒充级别的事情。在此特定实验中,两个帐户(A& B)都是本地管理员。我已通过本地安全策略确保他们可以在登录后模拟帐户。如果我查看我的事件日志,模仿似乎正在起作用......

  

分配给新登录的特权。

     

主题:安全ID:

     

PC1 \用户A

     

帐户名称:userA

     

帐户域:pc1登录ID:0xC4D0F3F

     

权限:

     

SeSecurityPrivilege权限

     

SeTakeOwnershipPrivilege

     

SeLoadDriverPrivilege

     

SeBackupPrivilege

     

SeRestorePrivilege

     

SeDebugPrivilege

     

SeSystemEnvironmentPrivilege

     

SeImpersonatePrivilege

我在这里尝试了很多变化,以至于我开始阻碍自己的分析。我基本上回到了原点,并且不知道如何处理这个问题。有没有人有任何建议或提示?这似乎应该是一件非常简单的事情。我不知道为什么我遇到这么多麻烦。也许我只需要抛弃使用DbProviderFactory并使用OleDb或其他任何东西。但我还没有确认我可以在模仿后在运行时加载任何库。也许这是可以做的事情。但是,如果有任何帮助,我将非常感激。

谢谢,

约翰

最后一件事,这是复制步骤:

在您的计算机上创建辅助用户。登录以创建配置文件。注销并像往常一样重新登录。以该辅助用户身份运行Visual Studio(有几种方法可以执行此操作,右键单击VS图标),然后使用此框架创建一个C#控制台应用程序:

    namespace ConsoleApplication1
    {
        class Program
        {
            static void Main(string[] args)
            {
                using (HttpListener h = new HttpListener())
                {
                    h.Prefixes.Add("http://+:8090/");

                    h.AuthenticationSchemes = AuthenticationSchemes.Ntlm;

                    h.Start();

                    Console.WriteLine("Running");

                    HttpListenerContext context = h.GetContext();

                    System.Security.Principal.WindowsIdentity identity = null;
                    identity = (System.Security.Principal.WindowsIdentity)context.User.Identity;

                    using (System.Security.Principal.WindowsImpersonationContext wic = identity.Impersonate())
                    {
                        System.Data.Common.DbProviderFactory fact = null;
                        fact = System.Data.Common.DbProviderFactories.GetFactory("System.Data.SqlClient");
                    }

                    Console.ReadLine();

                    h.Stop();
                }
            }
        }
    }

调试/运行控制台应用程序。只需调用Internet Explorer(vanilla,使用您的主帐户)并访问该URL(http://machinename:8090)。发生异常

enter image description here http://i854.photobucket.com/albums/ab103/srVincentVega/error8_zpsilkay0bl.png

1 个答案:

答案 0 :(得分:4)

好吧,我读到了一半,并在你得到的例外情况下停了下来:

A first chance exception of type 'System.IO.FileLoadException' occurred in mscorlib.dll

此处的问题是,您用于运行服务的帐户在加载.Net框架核心库之前甚至可以执行模拟之前访问权限有限。通常,用于托管服务的帐户在托管服务的节点上具有管理员权限。

另外,为了允许模拟,您需要使用本地安全策略为本地服务帐户授予权限 - 本地策略 - 用户权限分配:

作为操作系统的一部分

此用户权限允许进程在未经身份验证的情况下模拟任何用户。因此,该过程可以访问与该用户相同的本地资源。

认证后模拟客户

将此权限分配给用户允许代表该用户运行的程序模拟客户端。

另请注意,如果您使用kerberos而不是NTLM,则需要在AD(Actice目录)中设置SPN以及委派目标。

我不知道这是否会对你有所帮助,但这些都是我们在模仿/委派时遇到的事情。

哦,是的,如果您执行多次跳转来执行模拟,则必须将模拟级别设置为委派。

相关问题
最新问题