Добавление фильтра с использованием дескриптора безопасности в функции FwpmFilterAdd WFP
Я хочу запретить кому-либо удалять мой зарегистрированный фильтр, кроме моей учетной записи. Интересно, это возможно, если я установлю дескриптор безопасности в функции FwpmFilterAdd. И не могли бы вы показать мне исходный код примера, который добавляет фильтр, использующий дескриптор безопасности для моей цели?
Я прочитал "Задержка удаления фильтра" и "Принудительное удаление фильтра" в WFP msdn. Есть ли какой-либо метод, запрещающий кому-либо принудительно удалять фильтры? Заранее спасибо.
1 ответ
Во-первых, просто для контекста, это ссылки на пример кода, на который вы ссылались:
Приведенные там примеры просто иллюстрируют, как использовать API FwpmFilterSetSecurityInfoByKey0 и FwpmFilterGetSecurityInfoByKey0. Однако практическая цель конкретного сценария, выбранного для этих образцов, весьма сомнительна. Зачем кому-то хотеть установить явные списки ACL для фильтра WFP, чтобы отключить доступ DELETE к миру, а также отключить WRITE_DAC и WRITE_OWNER? Для практических целей локальные администраторы всегда могут вернуть себе право собственности на объект, а затем перезаписать дескриптор безопасности (что и делает пример "принудительное удаление фильтра"). Не администраторы не могут вступать во владение объектами других учетных записей и не могут удалять фильтры WPF даже с дескриптором безопасности по умолчанию, который будет передан фильтру путем передачи NULL в качестве третьего параметра в FwpmFilterAdd.
Чтобы ответить на ваш вопрос, нет, вам не нужно защищать его дальше. Вы не получите больше безопасности, используя технику "Hindering Filter Deletion". Лучшее, что делает техника - это добавление небольшого слоя запутывания. DACL по умолчанию, который вы получаете для фильтра WFP, - это DACL от BFE, описанный здесь. По умолчанию DACL только локальные администраторы имеют право УДАЛИТЬ. А локальные администраторы могут по своему усмотрению делать с системой все что угодно, поэтому от администраторов не требуется никакой защиты.