Как я могу получить IEnumMoniker.Next для возврата моникеров при работе от имени администратора?

Question

Как я могу получить IEnumMoniker.Next для возврата моникеров при работе от имени администратора?

Этот код отлично работал в течение многих лет внутри служебной программы. Недавно мы обновили программу для обеспечения контроля учетных записей, но обнаружили, что этот код работает, только когда НЕ работает от имени администратора; код внутри цикла while никогда не выполняется при запуске от имени администратора, но тот же код возвращает список имен моникеров при выполнении без выравнивания.

using System;
using System.Runtime.InteropServices;
using System.Runtime.InteropServices.ComTypes;

namespace ROTExplorer
{
    class Program
    {
    [DllImport("ole32.dll")]
    static extern int GetRunningObjectTable(uint reserved, out IRunningObjectTable rot);

    [DllImport("Ole32.Dll")]
    static extern int CreateBindCtx(int reserved, out IBindCtx bindCtx);

    static void Main(string[] args)
    {
        FindEntryInROT();
        Console.WriteLine("Press any key to continue.");
        Console.ReadKey();
    }

    private static string FindEntryInROT()
    {
        IRunningObjectTable rot = null;
        IBindCtx bindCtx = null;
        IEnumMoniker enumMoniker = null;
        IMoniker[] monikers = new IMoniker[1];
        string displayName = null;
        try
        {
            GetRunningObjectTable(0, out rot);
            CreateBindCtx(0, out bindCtx);
            rot.EnumRunning(out enumMoniker);
            IntPtr fetched = IntPtr.Zero;
            while (enumMoniker.Next(1, monikers, fetched) == 0)
            {
                string tempName;
                monikers[0].GetDisplayName(bindCtx, null, out tempName);
                Marshal.ReleaseComObject(monikers[0]);
                monikers[0] = null;
                try
                {
                    Console.WriteLine(tempName);
                }
                catch
                {
                    Console.WriteLine("Bad string");
                }
            }
        }
        catch (Exception ex)
        {
            Console.WriteLine("Failure while examining ROT: " + ex.Message);
        }
        finally
        {
            ReleaseCOMObject(monikers[0]);
            ReleaseCOMObject(enumMoniker);
            ReleaseCOMObject(bindCtx);
            ReleaseCOMObject(rot);
        }
        Console.WriteLine(displayName);
        return displayName;
    }

    private static void ReleaseCOMObject(object comObject)
    {
        if (comObject != null)
        {
            Marshal.ReleaseComObject(comObject);
            comObject = null;
        }
    }

}

Я пробовал это на 2 машинах. Может кто-то еще, пожалуйста, попробуйте это и подтвердите, что этот код возвращает список имен только тогда, когда НЕ работает от имени администратора.

Кто-нибудь имеет какие-либо мысли о том, почему IEnumMoniker не возвращает никаких имен, когда работает в процессе с повышенными правами, но возвращает список, когда он не запущен от имени администратора?

3

c# uac running-object-table

Источник

user1803823 02 апр '19 в 03:19

1 ответ

Другие вопросы по тегам c# uac running-object-table

user1803823 24 апр '19 в 22:19 2019-04-24 22:19 · Answer 1 · 2019-04-24 22:19

Я открыл билет с Microsoft. Он обострился, и я наконец получил ответ: он работает как задумано. Вот соответствующий разговор:

Поддержка Microsoft:

Служба SCM/RPCSS - это то место, где находится таблица запущенных объектов. Когда таблица перечисляется, служба выполняет несколько проверок. Одна из этих проверок специально предназначена для сопоставления уровня повышения клиентского токена с уровнем повышения записи токена. Если он не совпадает, то запись не будет возвращена. Поведение, которое вы видите, является дизайном.

Мне:

Можете ли вы отправить мне ссылку, где это задокументировано? Наличие "повышенных" привилегий должно дать пользователю доступ к большему количеству объектов, а не к меньшим. То, что вы описываете, похоже на то, чтобы просто войти как другой пользователь.

Поддержка Microsoft:

Это не задокументировано напрямую.
В некотором смысле, ваше последнее утверждение верно. Администратор имеет два токена безопасности: один для нормальной работы и один для повышенных. Они никогда не используются одновременно. https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works Когда администратор входит в систему, создаются два отдельных токена доступа для пользователь: стандартный токен доступа пользователя и токен доступа администратора. Стандартный токен доступа пользователя содержит ту же информацию, специфичную для пользователя, что и токен доступа администратора, но административные привилегии Windows и SID удалены. Я полагаю, что причина всего этого связана с безопасностью, но я не могу объяснить это очень хорошо.

Мне:

Токен администратора имеет доступ к файлам стандартного пользователя; почему COM-объекты пользователя обрабатываются иначе, чем файловые объекты пользователя?

Поддержка Microsoft:

Потому что это дизайнерское решение, принятое группой продуктов. У меня нет дополнительной информации о том, почему они так сделали.

Мне:

Это действительно звучит как ошибка или неправильный дизайн. Есть ли способ поставить это на радаре группы продуктов?

Поддержка Microsoft:

К сожалению, нет никаких рычагов для получения каких-либо изменений в этой области.