Windows App认证工具包运行失败Windows安全最佳实践

时间:2014-07-16 02:40:56

标签: windows-installer manifest app-certification-kit installshield-2013

我使用App认证工具包来验证我使用InstallShield 2013构建的非常小的安装包。" Attack Surface Analyzer"没有通过安装目录

的错误消息进行测试
  

...包含具有允许被多个非管理员帐户篡改的ACL的文件和/或文件夹。

然后报告我的三个安装文件有"错误的ACL ...可编写者:Builtin用户权限:FILE_WRITE_ATTRIBUTES,FILE_WRITE_EA,FILE_APPEND_DATA,FILE_WRITE_DATA"

安装不需要这些权限,除了禁用两个组件的自动COM检测之外,我还没有指定组件默认值以外的任何内容。认真地说,这件事应该等同于" XCopy"部署类型。

通过这样的简单MSI安装,我需要通过攻击面积分析器测试来通过什么?

安装包括:

一个功能,包含两个组件:

  • 我的主要EXE,这是一个64位的.NET编译应用程序
  • EXE的外部.manifest文件

第二个组件包含:

  • 仅用于此应用程序的无注册执行的64位COM DLL

.manifest文件仅包含工作的免注册COM服务器数据,指向DLL:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">

  <assemblyIdentity name="MyAssembly" version="1.0.0.0" 
                    type="win32" processorArchitecture="amd64"/>

  <file name="MYsideBySide.dll">
    <comClass
       (working comClass stuff) />

    <typelib
       (working typelib stuff) />
  </file>    

     <comInterfaceExternalProxyStub 
          (working ProxyStubStuff) />
</assembly>

1 个答案:

答案 0 :(得分:0)

安装包配置为安装到目录上,该目录已经存在。显然,之前的安装已在该目录上设置了可继承权限。

当我更改安装包的目标路径(INSTALLDIR变量)时,攻击面积分析器测试通过了。正如这些事情一样常见,不同的软件包干扰了正常的操作。

相关问题
最新问题