Qual mecanismo de segurança impede o acesso de gravação a determinadas pastas no Windows?

Navegue suas respostas
5

Existem determinadas pastas no Windows 2012 R2 \ 8.1 nas quais o conteúdo não é gravável. Um exemplo é o Program Files \ WindowsApps (que armazena aplicativos baixados da Windows Store). Obviamente, isso ocorre por design - para evitar que as pessoas modifiquem códigos que não devem ser acessados pelo usuário final - mas qual é o mecanismo específico que impede isso? Como exercício, eu tentei vários meios para evitá-lo - mas mesmo tendo tomado posse do diretório, dado a permissão de controle total do meu usuário e garantido que nenhum sinalizador somente de leitura fosse definido - ainda recebo permissão para tentar gravar um novo arquivo esta área. Eu até tentei fazer isso a partir de um prompt de comando rodando como 'System' (via sysinternals psexec) mas eu recebo o mesmo erro.

Eu pensei por um tempo que isso pode ter algo a ver com os níveis de integridade e controle de acesso obrigatórios - mas não parece ser porque meu processo está em um nível de integridade alto - e embora o controle de acesso obrigatório esteja ativado neste diretório - está definido para baixo. Acesso efetivo diz que tenho controle total. Seja o que for, é um controle de nível do sistema operacional, porque montando o sistema de arquivos no Linux, os arquivos são perfeitamente graváveis.

O motivo da pergunta é que estou escrevendo uma apresentação sobre a segurança dos aplicativos da Windows Store e sei que alguém vai me perguntar o que está impedindo os usuários finais de acessá-los e modificá-los. Quaisquer indicações para documentação específica sobre este ponto do MS seria ótimo se alguém já viu uma coisa dessas (eu olhei extensivamente, mas não consigo encontrar nada). Desculpas se esta pergunta parece um pouco relacionada com o cliente - mas eu vejo que já foi perguntado sobre SuperUser algumas vezes e ninguém parece saber a resposta. Muito obrigado por qualquer ajuda.

    
por Marion McCune 10.06.2014 / 12:04

1 resposta

4

Esta é uma nova política de segurança que a MS implementou para impedir a modificação de arquivos principais para determinados aplicativos.

Pense nisso como o sandbox da Apple no iOS. Está lá para o seguinte:

  • Parar de modificar arquivos (alterar configurações / opções / valores)
  • DRM (parte do armazenamento do Windows usa DRM e esta é a pasta que contém os arquivos conf)
  • SHA / MD5 (para garantir que os arquivos de verificação sejam os mesmos que eles também são armazenados nesta pasta para os aplicativos)

Vou tentar descobrir o trabalho dos desenvolvedores que recebi, que recebi de uma conferência de desenvolvimento da Microsoft quando o 8.1 foi lançado.

Embora isso tenha sido bloqueado em 8.1, em 8 você é capaz de se apropriar + controlar adicionando a pasta a ser de propriedade de Administrators e então dando ao seu usuário controle total.

Curiosamente, se você usar uma unidade que não seja o Windows 8, poderá modificar esses arquivos para o conteúdo do seu coração, embora isso possa falhar na verificação do SHA / MD5 e corromper tudo o que possa estar nessa pasta.

    
por 10.06.2014 / 12:54

Tags

Contas de serviço LastLogonTimestamp Modifique o IIS web.config usando o PowerShell