ОС DC - Windows Server 2008 R2 Std.
Клиентская ОС - Windows XP, Windows 7
Я реализовал политику безопасности через сервер сетевой политики и включил службы автонастройки проводной сети автоматически. При включении проводных служб автонастройки, если я поставлю отметку «Разрешить службе взаимодействовать с рабочим столом», это работает правильно в некоторых портативных компьютерах Window7.
Но в Интернете он предупреждает меня о том, что «Интерактивные службы могут отображать пользовательский интерфейс и получать данные, вводимые пользователем. Если вы разрешите службе взаимодействовать с рабочим столом, любая информация, отображаемая службой на рабочем столе, также будет отображаться на интерактивном пользователе. рабочий стол. Затем злоумышленник может взять под свой контроль службу или атаковать ее с интерактивного рабочего стола."
Не могли бы вы привести мне пример того, как злоумышленник может взять под контроль службу или атаковать ее с интерактивного рабочего стола?
Microsoft представила изоляцию сеанса 0 в 2008 / Vista. С изоляцией нулевого сеанса все службы Windows теперь работают в сеансе 0, а все сеансы с участием человека - в сеансе 1 и выше.
Поэтому настоятельно не рекомендуется разрабатывать службу Windows, которая требует взаимодействия с рабочим столом. По-прежнему технически возможно разработать сервис, взаимодействующий с рабочим столом, но это категорически не рекомендуется. Это неправильно.
Когда служба Windows должна взаимодействовать с рабочим столом, интерактивно вошедший на рабочий стол человека переключается на просмотр рабочего стола сеанса 0, чтобы диалоговое окно или что-то еще, что требует внимания, привлекает внимание.
Теперь у нас есть очень привилегированная учетная запись, обычно Local System, которая отображает диалоговое окно для стандартного пользователя. Это диалоговое окно работает в контексте локальной системы. Вы даете этому стандартному пользователю возможность использовать что-то в этом диалоговом окне и заставить его что-то делать в контексте безопасности локальной системы. Вот где опасность.
Главное здесь - это механизмы пересылки сообщений Windows, которые позволяют любому процессу отправлять любое сообщение в любое окно в рамках его собственного сеанса. Это, очевидно, представляет угрозу безопасности, если одно из окон принадлежит процессу с повышенными правами. Этот класс атак получил название "сокрушительные атаки" и он подробно обсуждался в сфере безопасности пару лет назад.
Поскольку основную причину невозможно исправить - большая часть, если не все программное обеспечение, написанное для Windows, полагается на эту функцию, было решено, что единственный способ справиться с этой проблемой - это сегментация - все, что выполняется в одном сеансе пользователя, должно быть работать в едином контексте безопасности. Руководства по дизайну сервисов отражали это с конца 90-х годов и препятствовали запуску кода графического интерфейса пользователя в контексте сервиса. Это стало обязательным в Windows Vista, где вы просто не могу позволить сервису больше взаимодействовать с рабочим столом пользователя.
Конечно, это также справедливо для Windows 7, и, установив флажок «Разрешить службе взаимодействовать с рабочим столом», вы разрешаете службе взаимодействовать с виртуальный рабочий стол, который не видит пользователь. Если исправит ваш сервис - хорошо, пусть будет. Но убедитесь, что у вас нет компьютеров с Windows XP, так как это действительно может создать вышеупомянутую угрозу безопасности.