UAC

あれれ？：れれ：マニフェストファイルの uiAccess

はなおかじった — Wed, 27 Feb 2008 23:07:00 GMT

hikenさんからのメール

Aアプリは、UACのボタン選択も可能です。しかし、UACの窓が閉じ、システムの復元の窓が開きますと、マウスイベントができなくなります。なぜか、キーボードイベントのAlt+F4は受け付け、むりやりシステムの復元の窓を閉じることはできます。

あれれ？てっきり昇格ダイアログのボタンが押せないだと思っていたら、押せる？！画面が暗くなったり、IME バーが出てきたりするので、UI があるところでしか動かない、別のコンテキストで動いているのだと思っていたのですが、押せてしまうの？！

それって、まずくないですか？

hikenさんは、たまたま「システムの復元」を行いました。でも、マルウェアが、自分自身を昇格させることができる、そんな想像をしてしまいましたよ？？

それで、元々の質問。これに答えてなかった。

マニフェストのuiAccess="true"と署名が必要なのでしょうか？と言う問いは、「yes」であり、「no」です。社本さんのコメントにあるように、マイクロソフトへの申請が必要です（なのだそうです）。

社本さんのコメントにある、UIPI（ユーザーインターフェイス特権の分離）について、調べてみてください。私も、この辺で、少しだけ取り上げています。元にしている文書は、ダウンロードセンターからダウンロードしてください。日本語では、アプリケーション互換性解説書に、記述があります。確認してください。ダウンロードページが見つからなかったのでリンクは張りませんが、『アプリケーション開発者向け Windows Vista 対応アプリケーションの互換性』（ファイル名 Windows_Vista_application_compatibility_paper.doc）という文書があります。これも、目を通しておかれることを勧めます。

最後に、昇格ダイアログのボタンを押せるというのは重大な脆弱性だと思うので、是非、マイクロソフトに連絡してください。窓口は、脆弱性に関する情報をお寄せくださいのページで良いと思います。

れれ：マニフェストファイルの uiAccess

はなおかじった — Tue, 26 Feb 2008 22:21:00 GMT

マニフェストファイルの uiAccessから、直メールをいただきました。

申し訳ありませんが、ブログや静的ページに対していただいた質問は、公開させていただきます。これは、ブログにしても静的ページにしても、公開しておくことで誰かの役に立つだろうと考えているからです。各ページへのリファラを見ると、検索サイトからのリファラが多くあります。このことから、実際に役に立っていると考えています。

hikenさんも、書かれているとおり、探し物していてこのページにたどり着かれたとのことです。ここで私が調べたことを、hikenさんにメールで送ると、hikenさんの役にしか立ちません。しかし、元のページはすずさんからいただいたコメントをもとに社本さんやすずさんの協力もあってなりたっている情報です。お二人にも情報の還元はしなければならないと考えます。そして、私一人じゃ手に負えないから...

hikenさんからのメール

私もUIアクセサビリティ"の為のAというソフトウエアを書いているところです。探しまわってたどり着きました。

SendInputで、マウスやキーボードのイベントを作っております。
たとえば、システムの復元を選択した場合、UACの窓が開きますね。Aアプリは、UACのボタン選択も可能です。しかし、UACの窓が閉じ、システムの復元の窓が開きますと、マウスイベントができなくなります。なぜか、キーボードイベントのAlt+F4は受け付け、むりやりシステムの復元の窓を閉じることはできます。マウスイベントをどのようにかして実現したいのですが、マニフェストのiAccess="true"と署名が必要なのでしょうか？

Loginのための登録がわかりませんでした。

私は、このオペレーションを自動化することには反対します。理由は、いくつかあります。

まず、このオペレーションは、開発者が「この先は昇格が必要」と提示するものです。これは、バグや脆弱性によって、乗っ取りを掛けられる対象となりえます。安全のためには、ここは OS などが「このプロセスは、このようなことをしようとしている。これは、君が意図した動作かい？」と尋ねるようになるべきだと考えています。現在のところ、昇格は runas コマンド（および verb）によってなされています。求められるべき姿となるためには、実行中の部分部分で昇格を求める（あるいは、昇格を学習する）必要があろうかと考えます。

そして、今のところ、ユーザーによるアクションによってしか、このプロンプトは表示されません。これが、うっとうしがられている最大の理由かと思います。しかし、よく考えてみてください。ユーザーによるアクションによってこのプロンプトが表示されるということは、コンピュータが安全に使えている証拠でもあります。勝手にこのプロンプトが出るということは、何らかのプロセスが昇格が必要な何かを起動させようとしている、ということです。（閑話：なんか、キーボー丼反応が鈍い。←こんな風になる）過去のエントリに、署名を偽装してマルウェアを起動させる方法を上げています。このように、攻撃可能点が存在しているので、それを広げる方法については（調べておかなくちゃいけないんだけど）調べたくないし、調べたとしても、それを誰かに教えることはしたくありません。

そんなわけで、この、「昇格プロンプトの［続行］ボタンをクリックするタスクを自動化すること」について、ご意見を伺いたいと思います。

Vista UAC：GUEST って

はなおかじった — Wed, 14 Nov 2007 22:30:00 GMT

不具合の問い合わせがきた。

「昇格動作の必要な××ですが、GUEST アカウントで実行すると、画面が暗くなったまま固まってしまいます」

Gusts グループならテストしたよ？ってことで、無効化されている GUEST アカウントを有効にし、やってみる。再現する。

でもこれ、昇格プロンプトが表示されずに固まっているから、アプリケーションの問題じゃないのでは？

試しにコントロールパネルから、いくつか実行してみる。再現する。うん。アプリケーションは悪くない。

でもなぁ。納得してくれないだろうなぁ。サポートに問い合わせてみるか？でも、インシデント番号、家に置いてきてるよ。そうだ、コンシェルジェだ。「GUEST アカウントで昇格プロンプトの表示に制限があるという情報の文書の所在」を聞けばいいや。

・

やっぱりなかった。ついでに検索中に見つけた TechNET の DNS ポイズンらしきサイトの報告もしておく。

う～ん、どうしよう？バグか、仕様か、判断つかない。やっぱ、使うべか．．．．．．

VC++ まにふぇすとめも

はなおかじった — Sat, 10 Nov 2007 21:09:00 GMT

この先使うかどうかわからないけど、嵌ったのでメモ。

VC++ 7.1 でマネージドでない C++ プロジェクトを作る。これを Vista で動かすことも視野に入れ、manifest ファイルを埋め込みたい。

ところが、プロジェクト作成時にマニフェストを作る設定にしても、作るだけで埋め込んでくれない。

以前、「mt.exe で埋め込む」ことを教えていただいたが、このツールは「差し替え」はしてくれるけど、ないところに埋め込むことはできないようだ？ああ！方法 : マニフェストを C/C++ アプリケーションに埋め込む（MSDN ライブラリ）に書いてある。「-outputresource」って奴ですか？なんすか、これ？「mt.exe /?」だと出てこないんですけど？VS.NET 2003 の MSDN にも載っていないのですが？．．．．．やられたorz

ええ、まぁ、そうやってもいい。Windows XP ビジュアルスタイルの使用（MSDN > Windows デベロッパーセンター > Windows 技術資料）のように、リソースにおまじないを書いてインクルードしちゃってもいい。そういうことでした。

ええ、メモしておこうと、これを書きながら調べ直して判明したことです。なので、投げやり.....

マニフェストファイルの uiAccess

はなおかじった — Tue, 22 May 2007 23:22:00 GMT

せっかくなので、エントリに昇格。

re: Windows Vista における、マニフェストを使用したアプリケーションのマーキング：すずさんのコメントより：

マニフェストは丁度はまっていた部分だったので本記事は大変参考になりました。ところで、まさに"UIアクセサビリティ"の為のソフトウエアを書いているところなのですが、
uiAccess="true"
とすると「サーバーから紹介が返ってきました」(Err:8235)というエラーになってしまいます。コードに対する署名が必要とか、そういう理由なのでしょうか。ご存知でしたら教えてください。

困りました。全く調べていません。（ぉ

こんな時は、検索！！

まず、「サーバーから紹介が返ってきました」の、「紹介」が誤変換だと思ったので（失礼しました）、「Err:8235」だけで検索。わからん。

じゃぁ、「8235」だけで検索。Win32API のエラーコードっぽい。

じゃぁ、「サーバーから紹介が返ってきました」で検索。→Google による検索結果

先頭2つが support.microsoft.com サイトのものだと思いますが（検索結果は時間によって変わるからね）、これによると、サーバへ何かの識別名を解決する依頼を行ったところ、サーバがエラーを返してきたようです。

「[XADM] セットアップを実行中、エラーメッセージ "Active Directory スキーマを更新するアクセス許可がない" が表示される」こちらか、「管理者がセットデータを生成しようとすると、エラーメッセージ」こちらの原因と、すずさんの環境を比べ、同じようなことがないか確認してみてください。

たとえば、Active Directory 環境で、ドメインに所属するコンピュータに、ローカルアカウントでログオンしていることが考えられます。この場合、現在のアカウントの権限をドメインサーバへ照会し、サーバに登録されていないため、エラーが返ってくると思います。（その後、ローカルコンピュータをサーバとして問い合わせに行くと思うけど）

ようやく終わるか：自動昇格なんていらない

はなおかじった — Tue, 08 May 2007 22:48:00 GMT

結局、力関係は「埋め込みマニフェスト＞インストーラ判定＞外付けマニフェスト」ということでした。

"asInvorker" であれ "requireAdministrator" であれ、埋め込まれていれば、インストーラ判定による自動昇格よりも優先して処理されます。

そういうわけで、マニフェストを埋め込みましょう。埋め込むマニフェストには、"requestedExecutionLevel" 要素を追加しましょう。

大阪#8 補足

はなおかじった — Mon, 30 Apr 2007 20:41:00 GMT

説明し忘れていたところの補足。

まず、デモでグダッたところ。NTFS 上でコンパイルし、NTFS 上のみで行き来した .NET 製実行ファイルは、仮想化されません。SaveFiledialog で、Program Files や、Windows 以下に書き込もうとすると、SaveFileDialog が警告メッセージを出します。ZIP 圧縮したあとに解凍したものも、警告が出ます。

が、一旦 FAT （USB メモリなど）にコピーすると、そのための情報が落ちる？ここ、検証必要ですね。

仮想化されると、エクスプローラからは見えません。よって、ログなどをアプリケーションがあるディレクトリに書き込んでいる場合は注意が必要です。.NET アプリであれば昇格しなければ書き込めないし、マニフェストがない（昇格情報がついていない）Win32 アプリの場合は、仮想化されてしまうのでログを見ることが出来ません。

昇格するためのコードは、実はエバンジェリストの松崎さんのところにあるコードと同じです（http://blogs.msdn.com/tsmatsuz/archive/2007/01/25/windows-vista-uac-part-2.aspx）。松崎さんが、自分自身を昇格して実行しているのに対し、昇格して実行する部分を外に出すことで、昇格が必要な機能だけ実行しています。

private void DoElevation(string command, string argument) {
    ProcessStartInfo info = new ProcessStartInfo(command, argument);
    info.CreateNoWindow = false;
    info.WorkingDirectory = System.IO.Path.GetDirectoryName(Application.ExecutablePath);
    info.Verb = "runas"; /* ここ */
    try {
        Process.Start(info);
    } catch (Win32Exception ex) {
        if (ex.NativeErrorCode != 1223 /* ユーザによる取り消し */) {
            throw;
        }
    }
}

この様に、verb に runas を指定することで、昇格ダイアログが表示されるようになります。XP で実行すると、「別のユーザとして実行」になります。

証明書の偽装については、cmd.exe のコマンドラインオプションを調べてください（コマンドプロンプト上で cmd /?）。

「昨日書き換えました」というスライドについて、説明しておきます。

ここ、最初は「開発者が情報を提供しなければならない」として、「ヘルプやインフォチップで情報を提供する」と書いていました。しかし、よく考えてみると、他人をだまそうと考えている人が正確なことを書くわけがありません。では、どうしよう？ちょっと待てよ？アクセスを禁止できると言うことは、システムは、アプリケーションが何をしようとしているかわかるわけじゃないか。それなら、システム側が「このアプリケーションは、c:/Windows/System32/comctl32.dll を書き換えようとしています。許可しますか？」と聞くことが出来るんじゃないか？・・・そう考えて、書き換えました。

「この機能は昇格が必要」という、シールドアイコンについては、開発者が追加するとしても、触られるとまずいところを触るのをカットするのは、実はシステムの役目何じゃないか？もっとも、互換性の問題が大きいこと、しょっちゅう昇格ダイアログを表示しなければならなくなることが、そうなっていない原因だとは思いますが。

反応が遅くなりましたが、コード署名について

はなおかじった — Thu, 19 Apr 2007 21:35:00 GMT

以前のエントリで、「昇格には署名が必要になります」ということについて、シャノンさんから
これはまぢで？
いよいよ強硬策に出てきましたね…MS。
Authenticode署名なんて個人じゃ取得できねぇってのに。
と、コメントをいただいていました。

まぢです。

「昇格する」ということは、「コンピュータの管理に関わる動作をする」ということです。ここで署名が必要なのは、「連絡先が明らかである必要がある」ということです。

つまり、「オレオレ証明書」であっても、そのアプリケーションが第三者によって改変されていないことが保証でき、作成者に連絡ができる証明書が添付されているなら、ホビープログラマが配布するアプリケーションが「オレオレ証明書」であってもかまわないのです。

そういえば、わんくま内で Thawte かどこかの証明ネットワークを作ろうって話があったよね？手を挙げるの忘れてた。ごめん、今挙げる。見てたら連絡ちょうだい（ぉぃ

邪魔だ！自動昇格

はなおかじった — Thu, 19 Apr 2007 21:32:00 GMT

検証中の自部署製アプリケーションを実行するときに、他部署製のアプリケーションが絡んでくる。その他部署製のアプリケーションのファイル名が "**setup**.exe" だった。そして、Win32 アプリケーション。自動昇格の対象。

邪魔だよ、自動昇格。

他のアプリにマニフェストが付いていなかったから、たぶんこれも付いていないだろう。asInvoker で、外部マニフェストを作成する。

あんさん何やってんねん。
このアプリ動かすんやったら、管理権限要りまっせ。

な、なんでやねん！！マニフェストでの指定より、インストーラ検出機能の方が強いってか！？

Vista: 仮想化

はなおかじった — Fri, 13 Apr 2007 22:40:00 GMT

どうも、仮想化について、えらい思い違いをしていた。

まず、.NET アプリケーションが出力するものは仮想化されない。CLR の環境がそうするのか、あるいはデフォルトでマニフェストがくっつくのか？

とにかく、%ProgramFiles% や、%WINDIR% への書き込みはできない。これは、単にファイルが作れないだけでなく、SaveFileDialog で選択できない。この辺、28日にデモでお見せできます。

しかし、ピュアな Win32 アプリケーションなら、マニフェストが付いていなければ・・・おかしいなぁ？SxS のマニフェストが付いていると思うんだけどなぁ？

そうだよな。マニフェストじゃなくて、マニフェスト中の昇格情報だろうな。

とにかく、ピュアな Win32 なら、書き込みができる。

そして、仮想化される。ここで、.NET なアプリケーションでやろうとしていたのが間違いだった、と。

もう一つ。

仮想化されたファイルは、そのアプリケーションを動かしたアカウントなら見れると思っていた。

ところが、そのアカウントで起動させている explorer にはマニフェストが付いている。したがって、explorer の入出力は仮想化されない。

つまり、アプリケーションが %ProgramFiles% というか、実行ファイルがあるのと同じディレクトリにログをはいていたとする。そしてこのログは、notepad で見る仕様だったとする。

そうすると、notepad にもマニフェストが付いているので、こいつでは見られないということになる！！

当然、.NET アプリケーションからも見えない。

ピュアな Win32 アプリケーションで、マニフェストが付いていないものなら見える・・・のだろう。

スクリーンショットを張る。

右上の保存ファイル選択ダイアログには、「保守情報.csv」というファイルがある。しかし、explorer にはそれがない。

なお、保存ファイル選択ダイアログから explorer 上の %ProgramFiles% へドラッグすると、同じ名前のファイルがあるというエラーになった。また、notepad へドラッグすると、ファイルにアクセスできないというエラーになった。

UAC

あれれ？：れれ：マニフェスト ファイルの uiAccess

れれ：マニフェスト ファイルの uiAccess