Ich versuche unter Windows 7 ein Named Pipe zu erzeugten welches mit verminderten Sicherheitsattributen läuft damit der Internet Explorer im Protected Mode darauf zugreifen kann.

Es klappt jedoch nicht.

LastGetError liefert das: "The revision level is unknown".

Wenn ich @FSA durch nil ersetzte wird ein normaler Named Pipe erzeugt, der auch funktioniert.

Hier der Code:

zusammenfalten · markieren

Delphi-Quellcode:

...

uses
   Classes,
   JwaAclApi,
   JwaAccCtrl,
   JwaSddl,
   JwaWinBase,
   Windows,
   JwaWinNT,
   Dialogs,
   SysUtils;

...

implementation

procedure StartServer;
var
  FSA: SECURITY_ATTRIBUTES;
  FSD : JwaWinNT.PSECURITY_DESCRIPTOR;
  sDescriptor: string;
begin

 FHandle := INVALID_HANDLE_VALUE;

 sDescriptor := 'S:(ML;;NW;;;LW)';

 if JwaSddl.ConvertStringSecurityDescriptorToSecurityDescriptor( PChar(sDescriptor),
                                                                  SECURITY_DESCRIPTOR_REVISION,
                                                                  FSD,
                                                                  NIL ) then
 begin
      FSA.lpSecurityDescriptor := @FSD;
      FSA.nLength := sizeof(SECURITY_ATTRIBUTES);
      FSA.bInheritHandle := True;

      FHandle := CreateNamedPipe(PChar(FPipeName), PIPE_ACCESS_DUPLEX,
                                 PIPE_TYPE_MESSAGE or PIPE_READMODE_MESSAGE or PIPE_WAIT,
                                 PIPE_UNLIMITED_INSTANCES, SizeOf(RPIPEMessage), SizeOf(RPIPEMessage),
                                 NMPWAIT_USE_DEFAULT_WAIT, @FSA);

          if FHandle = INVALID_HANDLE_VALUE then
           ShowMessage('error: '+SysErrorMessage(GetLastError));
 end else
 begin
     Showmessage('error #1');
 end;
end;

Guck mal hier.

Du musst erstmal mit dem Besitzer, der Gruppe und der DACL anfangen:

markieren

Code:

O:BAD:(A;;CCDC;;;IU)

Sieh auch:
http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

Zitat von Dezipaitor:

Du musst erstmal mit dem Besitzer, der Gruppe und der DACL anfangen:

markieren

Code:

O:BAD:(A;;CCDC;;;IU)

Sieh auch:
http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

Nicht unbedingt, siehe:

http://msdn.microsoft.com/en-us/library/bb625958.aspx

An example of the SDDL for a mandatory label ACE in a SACL that specifies NO_WRITE_UP policy for low integrity level is the following: SML;;NW;;;LW).

p.s.

Habe eben festgestellt dass wenn ich meine App als Admin starte alles glatt durchgeht. Ist leider keine Lösung.

Zitat von Shark99:

Zitat von Dezipaitor:

Du musst erstmal mit dem Besitzer, der Gruppe und der DACL anfangen:

markieren

Code:

O:BAD:(A;;CCDC;;;IU)

Sieh auch:
http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

Nicht unbedingt, siehe:

http://msdn.microsoft.com/en-us/library/bb625958.aspx

An example of the SDDL for a mandatory label ACE in a SACL that specifies NO_WRITE_UP policy for low integrity level is the following: SML;;NW;;;LW).

Das mag ja sein, aber dies bezieht sich eigentlich auf [S|G]et[Named]SecurityInfo. Da kannst du nur den gewünschten Teil ändern. Aber für das Erstellen eines Objektes musst du etwas mehr tun, da sonst der SD anders aussieht als wenn man nil angeben würde. Das könnte sich auf den Zugriff auswirken. Siehe angehängtes Bild.

Ach übrigens:

Zitat von Shark99:

p.s.

Habe eben festgestellt dass wenn ich meine App als Admin starte alles glatt durchgeht. Ist leider keine Lösung.

Seltsam, dass es mit Admin geht, denn dieser Code: ...

markieren

Delphi-Quellcode:

FSA.lpSecurityDescriptor := @FSD;

... sollte so aussehen:

markieren

Delphi-Quellcode:

FSA.lpSecurityDescriptor := FSD;

Dann klappt es auch mit der Pipe, denn FSD ist doch schon ein Zeiger auf einen SD.


Interessant ist aber auch, dass ein nachträgliches Ändern des Integrity Labels, wie in diesem Kapitel Lowering Resource Integrity (bitte die Suche benutzen) nicht mit NamedPipes funktioniert (Fehler 5 : Zugriff verweigert), jedoch mit Dateien und MemoryMappedFiles (andere habe ich nicht weiter ausprobiert).