问题标签 [windows-security]

我在一家无法授予我 Windows 7 工作站本地管理员权限的公司担任软件工程师。为了避免一个月以上的 SLA 和教技术支持人员如何安装我工作所需的软件的麻烦，我发现自己通过将工具安装到本地用户目录和需要的用户特定环境变量来获得创意，但我我目前遇到了一个问题，Maven 似乎无法从任何存储库下载任何东西。

从命令行我只是在做：

mvn -U 清洁

在第一行，我看到它挂在这里：

下载：http ://repo.mavan.apache.org/maven2/org/apache/maven/plugins/maven-clean-plugin/2.5/maven-clean-plugin-2.5.pom

构建失败并显示连接超时消息。

我可以将此 url 复制到我的浏览器窗口中并轻松下载 POM 文件。如果我不得不猜测问题可能是什么：

1. 我是一个受限用户，从 Internet 下载了一个 Zip 文件并将其内容复制到我的用户目录中。默认情况下，UAC 将以低信任从 Internet 源查看这些文件夹，并且不允许低信任 mvn.bat 批处理文件从 HTTP 源连接和下载。

2. 公司防病毒软件正在阻止对该批处理文件的网络访问。

我不确定如何处理这两种情况。有没有办法围绕这个限制配置或修补 Maven，或者我将不得不坐下来等待一个多月而无事可做，直到技术支持人员可以为我安装 Maven？

编辑： 我认为我不需要说明这一点，但请只提供一个不会让我被解雇和起诉的答案。入侵操作系统是不可接受的解决方案。

下面是我的代码

基本上，上面的代码会拉取我桌面上所有打开的窗口。在 Visual Studio IDE 中使用 Debug 在本地运行时工作正常，但部署到 IIS 时出现问题。

当在 IIS 中时，AutomationElementCollection 为空，而在 Visual Studio 中运行时，集合中的项目数不为 0。

现在我该如何解决这个问题？任何帮助，将不胜感激 ：）

顺便说一句，我想做的是自动登录 Windows 安全提示。

我正在使用 TFS 启动 PSExec 以运行创建安装程序的 InstallShield 进程。我们的 TFS 构建代理在 NETWORK SERVICE 帐户下运行。

我使用 -u -p 选项运行 PSExec，并且能够运行该命令并成功地从命令提示符针对远程计算机构建安装程序。

但是在 TFS 中，我总是收到 2250 错误代码并且安装程序无法构建。

为了隔离问题，我将 psexec 命令更改为以下...

如果我从命令行运行上述内容，它会复制文件。如果我从 TFS 运行上述内容（在批处理文件中调用上述内容），则会失败并显示 2250。

因此，为了模拟 TFS 正在做什么，我...

1. 使用提升的管理员权限启动命令提示符
2. 发布psexec -i -u "nt authority\network service" cmd.exe
3. 运行包含上述 xcopy 命令的批处理文件

因此，第 2 步使用 NETWORK SERVICE 帐户启动命令提示符。当我从此命令提示符运行步骤 3 时，我收到了相同的 2250 错误。所以这是很好的 b/c 现在 TFS 已经不在了，我更接近真正的问题。

只是为了笑，我将 NETWORK SERVICE 添加到远程框的管理员组。那并没有解决问题。

所以这就是我所在的地方......

1. 如果我使用管理员组中的登录名登录到 TFS 框，打开命令提示符，并使用 -u -p 参数运行 xcopy 命令批处理文件，一切正常。
2. 如果我使用 NETWORK SERVICE 帐户启动 cmd 提示符并运行与步骤 1 中相同的批处理文件，我会收到 2250 拒绝访问。

所以在我看来，这个问题显然与 NETWORK SERVICE 帐户有关。问题是如何让 psexec 使用此帐户运行？

更新

以下对话框显示了管理员组中的 NETWORK_SERVICE 帐户，并且它具有对路径 (c:\temp) 的完全访问权限。

我正在尝试使用 FirewallAPI.dll 中的 COM 对象从 C# 应用程序以编程方式设置 Windows 防火墙规则。该应用程序应该在非管理员组的用户帐户下运行。

我正在努力设置此用户帐户权限以修改防火墙。

我给了这个用户对 HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy 的完全访问权限，它没有帮助。

当我尝试使用 INetFwRule::put_RemoteAddresses 时，我得到拒绝访问异常。如何获取一些信息缺少哪些权利？

我的公司在许多 Windows 移动设备上维护软件。这些设备的用户分散在全国各地。每次我们需要更新软件时，我们都必须亲自开车去见每个用户，然后将新软件安装到设备上。所以我写了一个更新程序。

更新程序与服务器签入并下载新软件，无需任何人开车去任何地方。除了它提示用户询问他们是否要运行该软件并且它只给他们大约 3 秒的时间来决定之外，这一切都运行得很好。

我们的很多用户都不是最精通技术的人，说得客气一点，就是不会点击确定，也没有能力在它闪现时到达那个确定按钮。

是否可以禁用用户访问控制（这就是它在 Windows 桌面版本上的名称）？

我似乎无法找到某个用户是DeployUsersProduction组的成员。这是我到目前为止所拥有的：

据我所知，我的所有配置、spn、db、perms 等都是正确的。我只有一个用户应该返回 Modes.Prod 而不是。

我管理着一台 IIS6 和 II7 服务器。

我所有的应用程序池都在一个自定义帐户下运行，该帐户是 IIS_IUSRS 的成员

网络服务器上的一些网站被黑客入侵，恶意 asp.net 文件被上传到服务器。

这些文件被用作攻击者和操作系统之间执行代码的媒介

我注意到运行应用程序池的用户能够列出我服务器的所有目录，并且实际上是“经过身份验证的用户”的一部分，因此默认情况下具有执行文件/创建文件夹的权限的“用户”组等等

黑客能够使用应用程序池凭据作为经过身份验证的用户进行身份验证，并且由于经过身份验证的用户是用户组的一部分，因此他们能够做他们想做的事

您可以通过使用进程资源管理器查看工作进程安全组轻松地重新创建问题。

我的问题是：

1. 如果我想以自定义用户而不是内置身份池身份运行应用程序池，我应该如何正确保护我的服务器？（我需要的原因是因为我正在使用网站面板管理软件）
2. 我的配置是否有问题，或者是否有可能在每个使用自定义用户作为身份并且网站存在一些安全漏洞的 MS 服务器上，黑客可能会对整个服务器造成严重破坏？

如何将 Windows 安全组设置为 Inno Setup 安装的一部分？

我似乎想不出正确的文字来谷歌找出答案。也许对搜索内容的提示就足够了。

我喜欢这个功能，但在当前的 Windows 版本中，单击“取消阻止”按钮并单击“应用”绝对没有任何作用。这可能会导致问题 - 某些文件无法正常运行。

话虽如此，我还没有找到解决方法。但我相信有一个 cmd 命令可以取消阻止文件。

如何使用批处理脚本或 wsh（jscript 或 vbscript）甚至使用 Powershell 脚本来取消阻止文件？

我想要实现的是当进程在非管理员用户（Windows 登录用户）下以管理员身份运行时来自会话 ID 的实际令牌句柄。

当我调用 WTSQueryUserToken 时出现我的问题，它失败并出现错误 1314，这意味着我需要授予具有 SE_TCB_NAME 权限的调用令牌。

所以我尝试使用以下代码这样做：

但我不完全确定应该准确提供哪个令牌。我已经用%%WHICH_TOKEN_EXACTLLY%%占位符标记了它。对于我的测试，我尝试 AdjustTokenPriviliges 我的进程的令牌（管理员权限），但它也没有帮助。