ちゃっぴの監禁部屋

ガチガチに締めすぎて動きがとれなくなる。。。
ホーム 連絡をする 同期する ( RSS 2.0 ) Login
投稿数  405  : 記事  5  : コメント  12114  : トラックバック  134

ニュース

記事カテゴリ

書庫

日記カテゴリ

Communities

Personal Information

%Windows% に対し cacls.exe を打ってみる

表題の結果。

c:\Windows NT SERVICE\TrustedInstaller:F
           NT SERVICE\TrustedInstaller:(CI)(IO)F
           NT AUTHORITY\SYSTEM:C
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Administrators:C
           BUILTIN\Administrators:(OI)(CI)(IO)F
           BUILTIN\Users:R
           BUILTIN\Users:(OI)(CI)(IO)(特殊なアクセス:)
                                     GENERIC_READ
                                     GENERIC_EXECUTE

           CREATOR OWNER:(OI)(CI)(IO)F

「NT SERVICE\TrustedInstaller」って何よ?
調査が必要ですね。

投稿日時 : 2007年4月11日 2:10

コメント

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/11 11:16 とっちゃん
>NT SERVICE\TrustedInstaller
WindowsInstaller Service 専用アカウントですw
べらぼうな強権をもってますが、間違ってもいじらないようにww
#再フォーマットを余儀なくされますのでwww


# re: %Windows% に対し cacls.exe を打ってみる 2007/04/11 22:36 ちゃっぴ
> WindowsInstaller Service 専用アカウントですw
> べらぼうな強権をもってますが、間違ってもいじらないようにww

と言われるといじりたくなる。。。

> #再フォーマットを余儀なくされますのでwww

なんですかね。回避方法をいろいろ模索してみます。

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/11 22:53 ちゃっぴ
見直してみると %Windows% なんじゃこれ。

%WINDIR% の誤りです。はい。

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/11 23:00 とっちゃん
おそらく、ローカルなビルトインアカウントでは、最強の(に近い)権力者じゃないかとw
#Administorator でもさわれるか分からんところまで「自由に」触れますからw
もっとも、アカウントを弄れるかどうかもわからんのですがねwww


# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 1:02 ちゃっぴ
> おそらく、ローカルなビルトインアカウントでは、最強の(に近い)権力者じゃないかとw
> #Administorator でもさわれるか分からんところまで「自由に」触れますからw
> もっとも、アカウントを弄れるかどうかもわからんのですがねwww

個人的には、SeTakeOwnershipPrivilege (ファイルとその他のオブジェクトの所有権の取得) が有効な user であれば大差はないと思っています。

所有権が取得できれば、ACL を好き勝手に弄れるわけで、そこからいくらでも変更可能じゃないかと。

そういう意味では Windows Vista でも Administrators group に所属する user は最強ということには変わりないような気がします。
# こちらも要検証

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 9:42 シャノン
> #Administorator でもさわれるか分からんところまで「自由に」触れますからw

というか、LocalSystemの上を行くんじゃねぇ?

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 12:31 とっちゃん
所有権については、そもそもそれを受け取れる権利がないフォルダもあるのでw
#XP 時代から Administrators グループがアクセスできない場所はありますw

実のところ、Administtorators グループって完全な意味での全権は持ってないですしw
#XP まではこれをもっていたのは LocalSystem のみ

Vista では、LocalSystem にも不要なところへはアクセスできないようにしたので、その代りに TrustedInstaller が追加されていますからねw

まぁ、Ring0 で動く世界はまた別ですけどwww

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 12:54 ちゃっぴ
> 所有権については、そもそもそれを受け取れる権利がないフォルダもあるのでw

そうなんですか?

> #XP 時代から Administrators グループがアクセスできない場所はありますw

代表的なところでは、HKLM\ SECURITY とかですが、
これ所有権取得して access できます。

まあ、いざとなれば PsExec のような program を install しちゃえば、
Windows Service を使って LOCAL SYSTEM でも動かせるわけでして。。。

やり方によってはいくらでも方法がありそうな気がします。


# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 13:42 シャノン
> 所有権については、そもそもそれを受け取れる権利がないフォルダもあるのでw

SeTakeOwnershipPrivilege を持っていても?
それとも、VistaのAdministrators は持ってない?

#未だに晴れない「アカウントの特権を変更(付与/剥奪)する権利」というものはどこかにあるのだろうか、という疑問があるのだけど…。

# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 14:08 とっちゃん
XP/Vista で確認してみました。
#対象は System Volume Information フォルダ(そのままじゃ見えないところw)

アクセス許可の参照と変更はできますね(それ以外は権限なし)。
所有権はローカルな Administrators になってましたが、所有権の取得権限ははずされてますね。
#もちろん、変更可能だからデフォルトでは...と思います
#SYSTEM だとばかり思ってたんですがちがってました...orz

ちゃんと確認すべきだった...orz


# re: %Windows% に対し cacls.exe を打ってみる 2007/04/12 14:16 とっちゃん
追記。
Vista の Windows ディレクトリは所有権とれませんね。<Administrators グループメンバ
TrustedInstaller が所有者で、変更不可ですし、アクセス権も変更できないみたいです。

かなりがっちり固めてあるっぽいです<Vista


# re: %Windows% に対し cacls.exe を打ってみる 2007/04/13 3:26 ちゃっぴ
続 %WINDIR% の ACL
http://blogs.wankuma.com/tyappi/archive/2007/04/13/71251.aspx

# re: %Windows% に対し cacls.exe を打ってみる 2009/01/04 1:53 aetos
んーと、古いエントリですがコメント。
ドメイン部が NT Service になっていますね。
これは、Vista から導入されたサービスアカウントです。
サービス プロセスを実行するユーザーアカウントだと粒度が粗すぎるってんで、サービス単位に ACE を持てるようになりました。
で、TrustedInstaller ってのは、Windows Modules Installer っていうサービスですね。

# Service security identifier 2009/01/10 14:25 ちゃっぴの監禁部屋
Service security identifier

Post Feedback

タイトル
名前
Url:
コメント