Mein Problem war ein Service, der eine Pipe als Interface zur Verf\u00fcgung stellt, auf die von beliebigen PCs zugegriffen werden soll. Insbesondere eben auch von PCs au\u00dferhalb der Dom\u00e4ne in der der Service l\u00e4uft der die Named Pipe zur Verf\u00fcgung stellt. Die Clients melden sich \u00fcber VPN an dem entsprechenden Server an, geh\u00f6ren aber eben selbst nicht zur Dom\u00e4ne.<\/p>\n
Von einem Rechner, der nicht in der Dom\u00e4ne des Rechners liegt, auf eine Pipe eines Rechners in einer Dom\u00e4ne zuzugreifen war schon immer mit extra Vorkehrungen verbunden. Der Code f\u00fcr den anonymen Zugriff auf eine Pipe finden wir als\u00a0KB Artikel http:\/\/support.microsoft.com\/kb\/813414\/en-us<\/a>. \u00dcber die Qualit\u00e4t dieses Beispiels m\u00f6chte ich mich hier allerdings nicht auslassen.<\/p>\n Dieses Sample ist nett f\u00fcr alle die XP und Windows 2003 Server nutzen. Und interessanter Weise funktioniert es auch auf Windows Vista<\/em>, Windows 7<\/em> oder Windows Server 2008<\/em>. Aber nur weil dieses Beispiel die Pipe nur lesend benutzt.<\/p>\n Dieses Programm ber\u00fccksichtigt nicht die neuen Sicherheitsfunktionen von Vista<\/em>, Windows 7 <\/em>oder Windows Server 2008<\/em>. Es klappt genau dann nicht, wenn der Server eben auf einem Vista<\/em>, Windows 7<\/em>, oder Server 2008\u00a0<\/em>l\u00e4uft UND die Pipe f\u00fcr Lesen und Schreiben ge\u00f6ffnet wird.\u00a0 ERROR_ACCESS_DENIED (5) ist das was der Client dann bekommt, wenn die Pipe lesend und schreibend ge\u00f6ffnet werden soll.<\/p>\n Was ist das Problem \u2753<\/p>\n Das Problem liegt in einem Sicherheitsmechanismus, der sogenannten Windows Integrity<\/em>. \u00a0<\/p>\n Kurzbeschreibung:<\/strong> \u00dcbrigens passiert das gleiche, wenn man ein Addin f\u00fcr den IE8 <\/em>auf Vista (und sp\u00e4ter hat). Der IE8 <\/em>l\u00e4uft im gesch\u00fctzten Modus und damit im Integrity Level Low<\/em>. Normale Programme laufen im Integrity Level Medium<\/em>. Ich will das jetzt hier nicht \u00fcber die Ma\u00dfen ausdehnen. Ich kann nur anraten, die entsprechenden Artikel wirklich einmal zu lesen.<\/p>\n Jetzt zur\u00fcck zu dem was NICHT in diesen entsprechenden Artikeln und Forumbeitr\u00e4gen steht.<\/p>\n 1. Anonymen Zugriff wird automatisch der Integrity Level Untrusted <\/em>zugewiesen. Die Doku zeigt in dem Beispiel nur die Vorgehensweise f\u00fcr den Integrity Level low<\/em>. 2. Ich arbeite mit SDDL <\/em>String und auch dort in den Headern ist Low das niedrigste f\u00fcr das es im Netz und auch in der Doku (http:\/\/msdn.microsoft.com\/en-us\/library\/bb625963.aspx<\/a>) findet. Dort steht ziemlich weit unten ein Beispiel, um ein Objekt einem „Low“-Integrity-Prozess zug\u00e4nglich zu machen. Und dort finden wir folgende SDDL Definition:<\/p>\n 3. Anonymer Zugriff ist also Integrity Level Untrusted<\/em> (ich wei\u00df ich wiederhole mich). Alles das hat mich in die Irre gef\u00fchrt und 2 Tage Arbeit gekostet.<\/p>\n Als mir klar war, dass ich eine Regel f\u00fcr den Untrusted Intergity Level <\/em>ben\u00f6tige, war die L\u00f6sung gefunden. Ich habe das oben beschriebene Sample etwas modifiziert, dass man genau dieses Problem des anonymen Zugriffs auf eine Pipe testen kann. Das Beispiel kann man hier herunterladen.<\/a> Ich bitte dennoch dies nur als Sample zu betrachten und nicht als Beispiel Software, die meinem Anspruch an C\/C++ Code gen\u00fcgt \ud83d\ude42<\/p>\n PS: Eine entsprechende Diskussion \u00fcber das Problem findet sich in nntp:\/\/microsoft.public.de.vc<\/a> Mein Problem war ein Service, der eine Pipe als Interface zur Verf\u00fcgung stellt, auf die von beliebigen PCs zugegriffen werden soll. Insbesondere eben auch von PCs au\u00dferhalb der Dom\u00e4ne in der der Service l\u00e4uft der die Named Pipe zur Verf\u00fcgung stellt. Die Clients melden sich \u00fcber VPN an dem entsprechenden Server an, geh\u00f6ren aber eben … \u201eWindows Integrity Control: Schreibzugriff auf eine Named Pipe eines Services \u00fcber anonymen Zugriff auf Vista, Windows 2008 Server und Windows 7\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[30,3,17,2],"tags":[94,358,186,187],"class_list":["post-552","post","type-post","status-publish","format-standard","hentry","category-c","category-programmieren","category-vista-2","category-windows-api","tag-security","tag-vista","tag-windows-7","tag-windows-server-2008"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/552","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/comments?post=552"}],"version-history":[{"count":1,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/552\/revisions"}],"predecessor-version":[{"id":567,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/posts\/552\/revisions\/567"}],"wp:attachment":[{"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/media?parent=552"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/categories?post=552"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.m-ri.de\/index.php\/wp-json\/wp\/v2\/tags?post=552"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nIch rate jedem die Literatur der nachfolgenden beiden Links:<\/p>\n\n
\nhttp:\/\/msdn.microsoft.com\/en-us\/library\/bb625963.aspx<\/a><\/li>\n
\nhttp:\/\/weblogs.asp.net\/kennykerr\/archive\/2006\/09\/29\/windows-vista-for-developers-_1320_-part-4-_1320_-user-account-control.aspx<\/a><\/li>\n<\/ul>\n
\nProzessen oder auch anderen Systemobjekten wird ein Inegrity-Level zugeordnet.
\nGreift nun ein Prozess auf ein Systemobjekt zu, dann werden nicht nur die allgemeinen Rechte gepr\u00fcft (z.B. Rechte f\u00fcr Anonymen Zugriff, oder die entsprechenden Gruppenrechte), sondern auch der Integrity Level <\/em>dieses Prozesses wird mit dem der Ressource verglichen.
\nLiegt nun der Integrity Level <\/em>des Clients niedriger als der Intergrity Level <\/em>des Objektes, dann greift eine neue Policy, die dann festlegt was passiert. In den meisten F\u00e4llen bedeutet dies, dass der Lesezugriff zugelassen wird, aber der Schreibzugriff untersagt wird.<\/p>\n
\nM\u00f6chte nun das IE8 <\/em>Addin eine Pipe oder einen Shared Memory Block eines Services oder eines „normalen“ anderen Programmes, schreibend \u00f6ffnen, dann\u00a0passiert das gleiche. Der Zugriff wird reduziert auf nur lesen.
\nUnd dieses Thema wird haupts\u00e4chlich in der Doku und im Netz diskutiert (und zum Teil, gel\u00f6st).<\/p>\n
\nMein Fehler war es, die ganze Zeit SECURITY_MANDATORY_LOW_RID<\/em> zu verwenden. Aber ich sagte es schon: Der\u00a0 Anonyme Zugriff erfolgt im Integrity Level Untrusted<\/em>.<\/p>\n#define LOW_INTEGRITY_SDDL_SACL_W L\"S:(ML;;NW;;;LW)\"<\/pre>\n
\nUnd nun wird es spa\u00dfig. Es gibt auch gar keinen SDDL <\/em>Sid f\u00fcr untrusted, es gibt nur die folgenden Definitionen in den Headern:<\/p>\n\/\/ Integrity Labels\r\n#define SDDL_ML_LOW\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 TEXT(\"LW\")\r\n#define SDDL_ML_MEDIUM\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 TEXT(\"ME\")\r\n#define SDDL_ML_MEDIUM_PLUS\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 TEXT(\"MP\")\r\n#define SDDL_ML_HIGH\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 TEXT(\"HI\")\r\n#define SDDL_ML_SYSTEM\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 TEXT(\"SI\")<\/pre>\n
\nBauen wir uns einen eigenen SID<\/em>! Aus der Doku k\u00f6nnen wir die entsprechenden RIDs<\/em> finden und uns nun folgenden SID <\/em>konstruieren: „S-1-16-0“<\/em>.
\nUnd das bringt uns zu dem SDDL <\/em>String f\u00fcr den Level untrusted:<\/p>\n#define UNTRUSTED_INTEGRITY_SDDL_SACL _T(\"S:(ML;;NW;;;S-1-16-0)\")<\/pre>\n
\nIch habe das Sample dazu etwas umgebaut:<\/p>\n\n
\nhttp:\/\/groups.google.de\/group\/microsoft.public.de.vc\/browse_thread\/thread\/3be20505999b8aab<\/a>
\nDanke noch mal explizit an den Regular Andreas Heyer f\u00fcr seinen wertvollen Diskussionsbeitrag.<\/p>\n","protected":false},"excerpt":{"rendered":"