问题标签 [windows-security]

无论我设置什么权限，我都会从 CreateProcessAsUserW 收到错误 1314，根据 MSDN，我应该添加SE_INCREASE_QUOTA_NAME和SE_ASSIGNPRIMARYTOKEN_NAME。

只是为了确保，我在组策略控制台中验证了权限确实被添加了。

我使用以下标志从目标用户检索令牌：

使用CreateProcessWithToken / CreateProcessWithLogon是有问题的，因为 CreateProcessWithToken 会启动一个新作业，这会扰乱目标进程的初始化，并且 CreateProcessWithLogon 需要密码，在运行时是未知的。

我们的 VB6 遗留应用程序调用 RegSetValueEx 来设置注册表值。可以使用 regedit 轻松设置此注册表值。但是，当我们的应用程序尝试设置它时，RegSetValueEx 返回 5 - Access Is Denied。

我们使用相同的代码写入其他注册表项，一切正常。此外，用户是本地管理员。

密钥是使用 KEY_ALL_ACCESS 打开的，但我尝试使用（KEY_READ 或 KEY_WRITE），但也没有用。

因此，我有一个 Web 应用程序，在 IIS 上发布和部署，我的 Web 应用程序的某些页面可以完美运行，而其他页面大多是带有报告的页面导致问题。

1）所以我点击报告的链接，报告生成了耶！

2）所以蓝色打印按钮使用iTextSharp转换为pdf并打印，基本上是读取reportviewer中的数据，转换为pdf，并打开打印目录，下图是从我的本地机器上截取的。

3）当我点击服务器上的打印按钮时，我得到了这个

4）在我提供凭据后，我收到此错误页面

该错误谈到了关闭自定义错误=关闭我也在我的 web.config 文件中这样做了，但结果仍然相同。当我从我的应用程序将数据插入数据库时​​，也会弹出同样的错误。

我请求帮助，因为我尝试了大多数选项，从文件夹安全性到身份模拟，因为数据在另一台服务器上。基本身份验证，因为网上的一篇文章说身份模拟与基本身份验证相得益彰。 编辑

在 customError 模式关闭后，这就是它背后的错误。所以现在更多的在线研究

我尝试创建一个名为 NetWork Service 的用户，并将完全控制权授予文件夹，并且文件将继承文件夹的权限。我去了 iis 下的虚拟目录并提供了目录浏览权限，但它仍然无法访问 output.pdf，有人建议为什么不将位置更改为 App_Data 文件夹我也这样做了，但它仍然拒绝我访问，我知道是否不是数据库错误，因为我可以在报告中看到数据，这不是 .dll 问题，因为项目中引用了 itextsharp.dll，嗯，这绝对是文件夹的身份验证/安全问题，任何其他建议将不胜感激。

问题：如何让 Windows 检测到适合在“受信任的根证书颁发机构”中安装的证书？

背景：我正在构建一个内部站点，并希望用户能够下载服务器的根证书并将其作为“受信任的根证书颁发机构”安装在他们的 Windows 证书信任库中。当用户打开证书文件时，他们会进入常规的证书检查屏幕。

然后用户可以单击“安装证书”，然后选择“根据证书类型自动选择证书存储”。

不可避免地，选择此选项会将证书安装到“中间证书颁发机构”而不是“受信任的根证书颁发机构”

根证书在 OpenSSL 中作为自签名根证书生成。openssl x509 报告：

如果出于安全原因，Windows 禁止以这种自动方式将证书安装为受信任的根证书颁发机构，我不会感到惊讶，但我根本无法在 Microsoft 或 MSDN 站点上找到任何解释其“自动选择”的文档作品。任何澄清将不胜感激。

IIS 7.0+ 使用所谓的虚拟帐户的概念来识别应用程序池 ( IIS AppPool\apppoolname)。这些帐户是否具有配置文件并且可以为它们设置本地环境变量？如何？

我们有一个带有需要更新 GUI 的工作线程的 Windows 应用程序。我们使用 BeginInvoke 异步执行此操作。我们的问题，在下面的示例中演示，是 Principal 被传播到我们想要避免的 GUI 线程，因为在我们的实际应用程序中，我们执行的服务器请求由于错误的身份而失败。它是一种避免这种传播的方法吗？

我正在使用 USBHIDDRIVER 访问连接到我们本地工作站的秤。当我在 Visual Studio 2012 Debug 中运行 WCF 时，一切正常。但是一旦我尝试在 IIS 中运行该服务，它似乎就无法识别 USBHIDDRIVER。我在 WCF 中有一个测试服务，它工作正常，所以 WCF 正在工作。

有关如何解决此问题的任何信息都将非常有帮助。我的问题是 WCF 是在我部署到 IIS 服务器时编译的，所以我很难尝试进行故障排除。

以下是有关 USBHIDDRIVER 的其他信息：http: //www.florian-leitner.de/index.php/projects/usb-hid-driver-library/

我们有一个 Web 应用程序，它由 Internet 上的 IIS Web 服务器和 IIS 通过 VPN 链接访问的数据库服务器组成。

我们遇到的问题是我们需要将连接字符串存储在某个地方（显然不能在数据库中）。

我注意到可以使用 aspnet_regiis 加密 web.config 连接字符串：

https://msdn.microsoft.com/en-us/library/dx0f3cf2%28v=vs.85%29.aspx

任何人都可以评论这是多么强大。我们不希望数据库被互联网入侵。

我关心的一件事是 aspnet_regiis 用于解密和加密并安装在机器本身上。因此，如果机器被入侵并且这个 exe 文件在那里，那么发现密码就不会那么难了。

因此，假设不推荐这种保护密码的方法，我还有什么其他选择。

请注意，如果相关，IIS 将在 IIS APPPOOL\DefaultAppPool 帐户的上下文中运行。

谢谢。

我想使用 Windows 窗体应用程序（特别是 Web 浏览器控件）访问 asp.net 报表服务器。

我已经能够加载页面（通过按钮单击），但是，Web 浏览器仍然提示我输入报表服务器的用户名和密码。

如何自动设置报表服务器的用户名和密码，以便在加载 Web 浏览器时，Windows 安全不提示用户输入用户名和密码？

我们将软件的一个组件作为 MSI 发送给已激活 AppLocker 的客户。安装失败，AppLocker 启动。据我了解，问题是：

• AppLocker 默认规则仅允许管理员安装 MSI 文件
• 按照设计，Windows 安装程序首先运行无特权的 MSI 文件，然后才切换到提升的特权

所以安装程序对于 AppLocker 来说“迟到了”。什么有效（仅尝试了1-3）：

1. 以管理员身份打开命令提示符并运行 MSI 文件
2. 创建 AppLocker 规则，允许普通用户从指定目录安装 MSI
3. 让 setup.exe 运行 MSI 并以管理员身份运行 setup.exe
4. 破解 Windows 为 MSI 文件创建“运行方式”上下文菜单条目
5. 将 MSI 包装成一个自解压的 EXE

所有这些要么需要在客户方面进行更改 (2, 4)，要么不像安装应该那样容易 (1, 3)，要么是软件包的两倍 (5)。（其他客户需要 MSI 进行部署。）

有没有一种简单的方法可以让 MSI 与 AppLocker 一起工作？