06/10/09 08:41:23
◆デフォルト(Taro=Users)
Taro@MakeMeAdmin が作成したオブジェクトのACL(一部):
PC\Administrator:(OI)(CI)F
PC\Taro:(OI)(CI)F ←CREATOR_OWNER = Taro にフルコントロール
NT AUTHORITY\SYSTEM:(OI)(CI)F
◆>>30の設定後
PC\Administrator:(OI)(CI)F
PC\Administrators:(OI)(CI)F ←Users な Taro には権限なし
NT AUTHORITY\SYSTEM:(OI)(CI)F
>>303 で提起されたのは、仮にデフォルト状態で上記のようなオブジェクトが作成された場合でも、
システムファイルを書き換えたりすることはできないのでは、ということ。
>>30 のソースは分からないけど、
Aaron Margosis' WebLog : MakeMeAdmin -- temporary admin for your Limited User account
URLリンク(blogs.msdn.com) の、
3. Objects created while running with elevated privilege に、
似たようなことが書かれてる。でもそれは、「MakeMeAdmin を使ってアプリをインストールすると、
インストールしたオブジェクトへのフルコントロールが残ってイヤなので、以下のようにして変更……」
くらい。システムファイルを書き換えられる恐れ云々ってのは書かれてない(と思う)。
まぁ、このオブジェクト自体が書き換えられることはあり得るだろうけど( >>305 の Firefox など)。
>>312
>>215
あと、それは別に Windows に限った話じゃない。マルウェアは
たいてい root 権限を取ろうとする。