ちゃっぴの監禁部屋

ガチガチに締めすぎて動きがとれなくなる。。。

ホーム 連絡をする 同期する ( RSS 2.0 ) Login
投稿数  405  : 記事  5  : コメント  12076  : トラックバック  134

ニュース

記事カテゴリ

書庫

日記カテゴリ

Communities

Personal Information

たいそうな題をつけておいてなんですが、やっていることはたいしたことありません。。。

UAC を利用した場合、TokenIntegrityLevel に [Mandatory Label\Medium Mandatory Level] が設定されるわけですが、その状態だと restricted token を使って [BUILTIN\Administrators] に 'Deny' が設定されるわけです。

ということはつまり、 [BUILTIN\Administrators] に対してはその ACL が無効化されるわけですが、それ以外に関しては無効化されないわけです。

実際に下記のような ACL を設定したものを用意して実験してみました。

Sample1
Account Right
BUILTIN\Administrators フル コントロール
Sample2
Account Right
BUILTIN\Administrators フル コントロール
起動している account フル コントロール

Sample1 の場合、UAC によって [BUILTIN\Administrators] は無効化されるので、対象に対して操作を行おうとすると昇格 dialog が表示されます。

ですが、Sample2 の場合、UAC によって [BUILTIN\Administrators] は無効化されるものの、[起動している account] が無効化されないため、対象に対して操作を行っても昇格 dialog が表示されません。

これらのことから、Explorer は実際に権限がないことを確認してから昇格 dialog を表示していることが読み取れます。

以前、Jitta さんの blog で議論したのですが、
<参考> UAC の動的昇格
やっぱり動的な昇格を行う場合には、実際に拒否されてから行うのが適切だと思います。

投稿日時 : 2007年4月9日 1:11

コメント

# re: UAC の動的昇格 2007/04/09 1:19 何となく Blog by Jitta
re: UAC の動的昇格

# re: Integrity Level 2007/04/09 2:15 .COM -どっとこむ-
re: Integrity Level

# re: UAC の内部でやっていることをぶったぎる - その1 2007/04/09 9:51 シャノン
UACキター!!
ワクテカしながら待ってます。

Post Feedback

タイトル
名前
Url:
コメント