2

我正在尝试使用 Windows API 创建一个双工命名管道CreateNamedPipe,用于我的 shell 扩展和我的主桌面应用程序之间的 IPC。

您可以为 Vista 及更高版本传递一个标志,以防止远程连接 ( PIPE_REJECT_REMOTE_CLIENTS)。据我了解,这意味着管道只能在同一台机器上连接。有人知道如何在早期版本的 Windows 中获得相同的功能吗?我尝试SECURITY_ATTRIBUTES使用以下代码创建一个对象,但我不完全确定它是否正常工作:

static bool GetLocalMachineOnlySecurityAttributes (SECURITY_ATTRIBUTES& sa)
{
    PSID plocalsid = NULL;
    SID_IDENTIFIER_AUTHORITY SIDAuthWorld = SECURITY_LOCAL_SID_AUTHORITY;
    if(!::AllocateAndInitializeSid (&SIDAuthWorld, 1, SECURITY_LOCAL_RID, 0, 0, 0, 0, 0, 0, 0, &plocalsid))
        return false;

    EXPLICIT_ACCESS ea = {0};
    ea.grfAccessPermissions = SPECIFIC_RIGHTS_ALL | STANDARD_RIGHTS_ALL;
    ea.grfAccessMode = SET_ACCESS;
    ea.grfInheritance = NO_INHERITANCE;
    ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
    ea.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
    ea.Trustee.ptstrName  = reinterpret_cast<LPWSTR>(plocalsid);

    PACL acl = NULL;
    if(!::SetEntriesInAcl (1, &ea, NULL, &acl))
        return false;

    //PSECURITY_DESCRIPTOR sd = reinterpret_cast<PSECURITY_DESCRIPTOR>(::LocalAlloc(LPTR, SECURITY_DESCRIPTOR_MIN_LENGTH));
    static SECURITY_DESCRIPTOR sd = {0};
    if(!::InitializeSecurityDescriptor (&sd, SECURITY_DESCRIPTOR_REVISION))
        return false;
    if(!::SetSecurityDescriptorDacl(&sd, TRUE, acl, FALSE))
        return false;

    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.lpSecurityDescriptor = &sd;
    sa.bInheritHandle = FALSE;
    return true;
}

如果有人可以告诉我我是否在做正确的事情,或者我可以在某个地方寻找明确的解释SECURITY_ATTRIBUTES,我将不胜感激。

4

1 回答 1

3

您确实可以通过为管道创建适当的自由访问控制列表 (DACL) 来阻止远程连接。

您的代码正在尝试但未能做到这一点,第一个原因是在这一行:

if(!::SetEntriesInAcl (1, &ea, NULL, &acl))

SetEntriesInAcl 返回一个 DWORD 代码,而不是 BOOL:成功时返回的代码是ERROR_SUCCESS,其值为 0L,因此您的函数始终在此时退出,使 SECURITY_ATTRIBUTES 结构为空。

您的代码还会泄漏内存,因为它无法释放由某些 API 创建的缓冲区,包括SetEntriesInAcl. 我建议您使用MSDN 中的示例作为指南,以确保您完成所有必要的清理工作。

更多地转向代码策略,您目前正尝试使用单个访问控制条目 (ACE) 来解决您的问题,该条目允许本地安全组的所有访问。由于 DACL 的工作方式,这不是正确的方法……您应该拒绝远程访问 - 即将它列入黑名单 - 而不是尝试将本地访问列入白名单。这至少有两个原因:

  • 使用单个 ACE,可以访问管道的每个人都拥有完全相同的访问权限:您失去了更密切地控制管道安全性的任何能力。至少,您通常希望确保只有预期的管道服务器可以创建管道的新实例,并限制更改管道安全性的能力。
  • 访问令牌被授予本地组成员身份的确切情况没有很好的记录,我怀疑该组的组成员身份与您的要求不完全一致。CreateNamedPipe 的文档明确指出,要在早期平台上获得与 PIPE_REJECT_REMOTE_CLIENTS 相同的结果,您应该拒绝访问 NETWORK。

因此,需要修改您的代码,以便构建包含以下 ACE 的 DACL:

  1. 知名安全标识符组 NETWORK USERS 的“拒绝”ACE,拒绝所有访问
  2. 一个“允许”ACE,它允许作为管道服务器的应用程序创建管道实例
  3. 一个“允许”ACE,它允许作为管道客户端的应用程序读取和写入管道

其中第一个是阻止远程访问管道的原因,因为远程访问协议(包括基于 SMB 的远程命名管道协议)创建的所有登录令牌都自动包含 NETWORK USERS 组的组成员身份(众所周知的 SID S-1-5-2)。此拒绝 ACE 必须位于 DACL 中的允许 ACE 之前。

你没有说你的哪个应用程序是管道服务器,哪个是客户端。也许没关系,如果两者都在交互式用户会话中运行:在这种情况下,您可能只能使用一个允许 ACE,它授予对用户会话 SID 的所有访问权限。

如果没有您的安全要求的更多详细信息,就很难规定您应该如何设置服务器和客户端 ACE。然而,几乎可以肯定的是,您将希望限制访问权限 FILE_CREATE_PIPE_INSTANCE 以便只有管道服务器拥有它。

于 2012-06-14T12:41:20.633 回答