UAC における restricted token を実際に比較してみる
UAC によって制限される access token
上記で書いたように high integrity level と medium integrity level は CreateRestrictedToken を使って制限された access token を作り出すことにより、今までと同じ DACL を用いた access control を行っている。
ところが、low integrity level の場合は medium integrity level と access token を比較しても差異が見つからない。ではどうやって制限を行っているのか?
Integrity level を ACE として folder へ設定可能
Vista なら 'icacls.exe' を使おう!
上記で軽く書いたのだが、low integrity level では DACL による判定は一切無効化されていて、SACL に記述された integrity label のみで判定を行っているのが真相のようだ。
これらのことは下記で説明されている。
Understanding and Working in Protected Mode Internet Explorer
上記の資料と似たようなものは下記にもあるが、どれもこの重要な点が説明されていない。
保護モードの Internet Explorer の理解と機能
TopTen.chm の「Internet Explorer Protected Mode」
# なんとかならないもんですかねぇ。。。
[訂正]日本語の方には説明がありました。ただ非常にわかりにくいですが。