WindowsのローカルシステムのみのACL

Question

2つのプロセス間の通信に名前付きパイプを使用していて、Windowsのローカルシステム上の任意のユーザーにアクセスを制限します。

私は、CreateNamedPipeに渡されたSECURITY_ATTRIBUTESで使用するためのビルドとACLを作成しています。

私はこのコードをMicrosoftに基づいています。

SID_IDENTIFIER_AUTHORITY siaLocal = SECURITY_LOCAL_SID_AUTHORITY; 
if(!AllocateAndInitializeSid(&siaLocal, SECURITY_LOCAL_RID, 
    0, 0, 0, 0, 0, 0, 0, 0, 
    &pSidLocal)) 
{ 
    break; 
} 

次に、AddAccessAllowedAceでそのsidを使用します。

これはすべて正常に完了し、名前付きパイプを作成できますが、クライアントプロセスがCreateFileを使用して接続しようとすると、アクセスが拒否されて失敗します。

ローカルマシンのすべてのユーザーがアクセスできるSIDを使用してACLを作成するにはどうすればよいですか。

Answer 1

これはRTFMと厳密な型指定の完全なcの間のクロスです。

AllocateAndInitializeSidの2番目のパラメータは、実際には最初のサブオーソリティではないサブオーソリティの数です。

そうにコードを変更することで：

SID_IDENTIFIER_AUTHORITY siaLocal = SECURITY_LOCAL_SID_AUTHORITY; 
if(!AllocateAndInitializeSid(&siaLocal, 1, 
    SECURITY_LOCAL_RID, 
    0, 0, 0, 0, 0, 0, 0, 
    &pSidLocal)) 
{ 
    break; 
} 

私が望む結果を得ることができます。

私は別のアカウントでこれをテストしました。彼らは接続できます。権限をSECURITY_NT_AUTHORITYに変更し、サブの権限をSECURITY_AUTHENTICATED_USER_RIDに変更しました。このACLが実際に許可するかどうかをテストします。

Answer 2

あなたはACLを必要としません。 CreateNamedPipeを呼び出すとき、パラメータの1つはPIPE_ACCEPT_REMOTE_CLIENTS（デフォルト）またはPIPE_REJECT_REMOTE_CLIENTSのフラグ値をとります。

MSDN

編集：これはかなり新しい機能であるので、あなたは新しいWS2008サーバが、何のために開発している場合、それは動作しません。この場合、同じページに代替回答があります。AddAccessDeniedAceを使用してネットワークACEへのパイプへのアクセスを拒否します。