我有一个以 LocalSystem 运行的服务,它在登录用户的会话中创建进程。 然后,该服务创建一个命名管道,客户端连接到该管道进行读写。 根据{{3}},客户端只能从管道读取(它不是管理员,不是创建者,也不是LocalSystem)。
我创建了一个安全描述符来授予用户read& amp;写入权限。但这没效果。所以我试着给读&对 Everyone -Group的写访问权限。但这也行不通。 我的客户端返回的错误代码总是ACCESS_DENIED(5)。
我很高兴知道我做错了什么。
编辑:如果我没有创建自定义安全描述符,只需打开'activeItemNo'=>'ATE 390569'管道即可(但只能读取)。
EDIT2 我想学习如何做到这一点。我仍然希望只是登录用户能够写。不是每个人(这只是为了测试)。
服务代码(注释掉我获取用户sid的代码):
GENERIC_READ用户进程与代码:
PSID EveryoneSID = nullptr;
SID_IDENTIFIER_AUTHORITY SIDAuthWorld = SECURITY_WORLD_SID_AUTHORITY;
if(!AllocateAndInitializeSid(&SIDAuthWorld, 1,
SECURITY_WORLD_RID,
0, 0, 0, 0, 0, 0, 0,
&EveryoneSID))
{
throw(std::runtime_error("Failed to initialize group sid: " + std::to_string(GetLastError())));
}
//TOKEN_USER* tokeninfo = nullptr;
//DWORD tokeninfolen = 0;
//DWORD outlen = 0;
//// Query token info size
//if(!GetTokenInformation(UserToken,
// TokenUser,
// tokeninfo,
// tokeninfolen,
// &outlen))
//{
// throw(std::runtime_error("Failed to obtain user token size: " + std::to_string(GetLastError())));
//}
//// Allocate enough space to hold token user information
//tokeninfo = (TOKEN_USER*) LocalAlloc(LPTR, outlen);
//tokeninfolen = outlen;
//// Get SID from user token
//if(!GetTokenInformation(UserToken,
// TokenUser,
// tokeninfo,
// tokeninfolen,
// &outlen))
//{
// throw(std::runtime_error("Failed to obtain user token info: " + std::to_string(GetLastError())));
//}
//auto UserSID = tokeninfo->User.Sid;
//LocalFree(tokeninfo);
SECURITY_ATTRIBUTES sa = {0};
ZeroMemory(&sa, sizeof(SECURITY_ATTRIBUTES));
sa.nLength = sizeof(SECURITY_ATTRIBUTES);
sa.bInheritHandle = FALSE;
// Set up ACE
EXPLICIT_ACCESS ace = {0};
ace.grfAccessMode = SET_ACCESS;
ace.grfAccessPermissions = PIPE_ACCESS_DUPLEX; // GENERIC_READ | GENERIC_WRITE | SYNCHRONIZE
ace.grfInheritance = NO_INHERITANCE;
ace.Trustee.TrusteeForm = TRUSTEE_IS_SID;
ace.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
ace.Trustee.ptstrName = (LPTSTR) EveryoneSID;
PACL acl = nullptr;
if(ERROR_SUCCESS != SetEntriesInAcl(1, &ace, nullptr, &acl))
throw(std::runtime_error("Failed to set acl entries: " + std::to_string(GetLastError())));
// Create security descriptor.
auto sd = (PSECURITY_DESCRIPTOR) LocalAlloc(LPTR, SECURITY_DESCRIPTOR_MIN_LENGTH);
if(!InitializeSecurityDescriptor(sd, SECURITY_DESCRIPTOR_REVISION))
throw(std::runtime_error("Failed to initialize security descriptor: " + std::to_string(GetLastError())));
if(!SetSecurityDescriptorDacl(sd, TRUE, acl, FALSE))
throw(std::runtime_error("Failed to set DACL: " + std::to_string(GetLastError())));
// Set security descriptor in security attributes
sa.lpSecurityDescriptor = sd;
// Create a named pipe to which the user-session application
// connects.
auto pipe = CreateNamedPipe(LOCAL_PIPE_NAME,
PIPE_ACCESS_DUPLEX,
PIPE_TYPE_BYTE | PIPE_READMODE_BYTE | PIPE_REJECT_REMOTE_CLIENTS | PIPE_WAIT,
1,
256,
256,
NULL,
&sa);
if(pipe == INVALID_HANDLE_VALUE)
throw std::runtime_error("Failed to create named pipe");
LocalFree(acl);
LocalFree(sd);
答案 0 :(得分:4)
这是第一个问题:
ace.grfAccessPermissions = PIPE_ACCESS_DUPLEX;
PIPE_ACCESS_DUPLEX常量仅用作CreateNamedPipe()的参数,它不是有效的访问权限。 (巧合的是,它等于FILE_READ_DATA|FILE_WRITE_DATA,但这些访问权限本身不允许您连接到管道。)
根据Named Pipe Security and Access Rights,以下访问权限被分配给双工管道的服务器端,这意味着它们也足以打开客户端:
ace.grfAccessPermissions = FILE_GENERIC_READ | FILE_GENERIC_WRITE | SYNCHRONIZE;
然而,FILE_GENERIC_WRITE过于宽泛而无法授予客户;特别是,它允许客户端创建管道服务器端的新实例。这不太可取。相反,对于双工管道,您应该使用
ace.grfAccessPermissions = FILE_GENERIC_READ | FILE_WRITE_DATA;
当然,打开客户端时请求的访问必须一致:
auto pipe = CreateFile(LOCAL_PIPE_NAME,
GENERIC_READ | FILE_WRITE_DATA, // read-write access
0, // no sharing
NULL, // default security attributes
OPEN_EXISTING, // opens existing pipe
0, // default attributes
NULL); // no template file
详细
实验上,在Windows 7 SP1 x64上,为了连接到管道(即使您在调用CreateFile时请求无权限),您必须拥有READ_ATTRIBUTES和SYNCHRONIZE权限。请注意,FILE_GENERIC_READ常量包含这两个。
要从管道中读取数据,您必须拥有(并请求)FILE_READ_DATA。 (这已纳入FILE_GENERIC_READ。)
要将数据写入管道,您必须拥有(并请求)FILE_WRITE_DATA。