Discussion :

[Antoine_935]

Salut à toutes et à tous

Je suis actuellement en train de mettre au point un petit serveur web sans trop de prétentions.
Vous savez comme moi que le secteur du service web est bien (trop) souvent la cible d'attaques. C'est pourquoi je voudrais rendre ce serveur le plus sécurisé possible.

Est-il donc possible de destituer un processus de ses droits d'écriture (hormis certains fichiers si possible), ainsi que des droits de lecture, hormis sur un dossier et ses sous dossiers ?

Je travaille en Python, donc j'ai accès à priori à une grande partie de la mfc.

[Médinoc]

Être aussi précis, c'est possible en .Net, mais pas en WinNT normal.

Par contre, tu as un truc un peu hybride, les jetons d'accès restreints, qu'on peut obtenir avec CreateRestrictedToken(). C'est ce qui est utilisé par l'option "protéger mon ordinateur" de "exécuter en tant que" sous XP, une version batarde de ça est utilisée par Windows Vista.

[Médinoc]

Tiens, pour voir les effets sur un token, tu peux utiliser ce code:

Code C :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
#include <windows.h>
#include <tchar.h>
#include <errno.h>
 
static void DisplayErrorMessage(DWORD err)
{
	LPTSTR szError;
	DWORD len = FormatMessage(
	 FORMAT_MESSAGE_FROM_SYSTEM|FORMAT_MESSAGE_IGNORE_INSERTS|FORMAT_MESSAGE_ALLOCATE_BUFFER,
	 NULL, err, 0, (LPTSTR)&szError, 0, NULL
	 );
	if(szError != NULL)
	{
		size_t nLength = _tcslen(szError);
		LPSTR szConsoleA = malloc(nLength+1);
		if(szConsoleA != NULL)
		{
			CharToOem(szError, szConsoleA);
			puts(szConsoleA);
 
			/*MessageBox(NULL, szError, _T("Test de message d'erreur"), MB_OK | MB_ICONERROR);*/
 
			free(szConsoleA);
		}
		else
			printf("(error %lu)\n", err);
		LocalFree(szError); 
	}
	else
		printf("(error %lu)\n", err);
}
 
static ULONGLONG DeserializeBE(BYTE const *data, size_t size)
{
	ULONGLONG ret = 0;
	size_t i;
	for(i=0 ; i<size ; i++)
	{
		ULONGLONG theByte = data[i];
		ret <<= 8;
		ret |= theByte;
	}
	return ret;
}
 
//Tant qu'on y est, j'ajoute ce lien:
//http://blogs.msdn.com/oldnewthing/archive/2004/03/15/89753.aspx
static void DisplaySid(PSID pvSid)
{
	SID const * pcSid = pvSid;
	size_t i;
	printf("S-%u-%llu", pcSid->Revision, DeserializeBE(pcSid->IdentifierAuthority.Value, 6));
	for(i=0 ; i<pcSid->SubAuthorityCount ; i++)
	{
		printf("-%lu", pcSid->SubAuthority[i]);
	}
}
 
static void DisplaySidAndUserName(PSID pSid)
{
	TCHAR szName[80] = _T("");
	TCHAR szDomainName[80] = _T("");
	DWORD cchName = ARRAYSIZE(szName);
	DWORD cchDomainName = ARRAYSIZE(szDomainName);
	SID_NAME_USE eUse;
 
	//Display the SID itself
	printf(" SID=\"");
	DisplaySid(pSid);
	putchar('\"');
 
	//Lookup and display the user name.
	if( LookupAccountSid(NULL, pSid, szName, &cchName, szDomainName, &cchDomainName, &eUse) )
	{
		//Résultat du test: Contrairement à ce que je croyais, sous Visual 2005,
		//wprintf() n'écrit pas correctement sur la console, alors que WriteConsoleW() marche.
 
		_tprintf(_T(" name=\"%s\\%s\""), szDomainName, szName);
		//DWORD nWritten;
		//WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), _T(" \""), 2, &nWritten, NULL);
		//if(cchDomainName!=0)
		//{
		//	WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), szDomainName, cchDomainName, &nWritten, NULL);
		//	WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), _T("\\"), 1, &nWritten, NULL);
		//}
		//WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), szName, cchName, &nWritten, NULL);
		//WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), _T("\""), 1, &nWritten, NULL);
	}
	else
	{
		printf(" nameFailed=\"%lu\"", GetLastError());
	}
}
 
static void ReadTokenSids(HANDLE hToken, BOOL bRestricted, LPVOID pInfo, DWORD size)
{
	DWORD size2 = 0;
	if( !GetTokenInformation(hToken, (bRestricted ? TokenRestrictedSids : TokenGroups), pInfo, size, &size2) )
	{
		DWORD err = GetLastError();
		puts("Get SIDs failed");
		DisplayErrorMessage(err);
		return;
	}
 
	{
		TOKEN_GROUPS * pGroups = pInfo;
		size_t i;
		for(i=0 ; i<pGroups->GroupCount ; i++)
		{
			printf("<Group");
			DisplaySidAndUserName(pGroups->Groups[i].Sid);
			printf(" attributes=\"0x%08X\"", pGroups->Groups[i].Attributes);
			printf(" />\n");
		}
	}
}
 
static void ReadTokenSidsAlloc(HANDLE hToken, BOOL bRestricted)
{
	DWORD size = 0;
	GetTokenInformation(hToken, (bRestricted ? TokenRestrictedSids : TokenGroups), NULL, 0, &size);
	if( size==0 )
	{
		DWORD err = GetLastError();
		puts("Get size failed");
		DisplayErrorMessage(err);
		return;
	}
	{
		LPBYTE pInfo = malloc(size);
		if(pInfo==NULL)
			perror("malloc");
		else
			ReadTokenSids(hToken, bRestricted, pInfo, size);
		free(pInfo);	
	}
}
 
static void ReadTokenUser(HANDLE hToken, LPVOID pInfo, DWORD size)
{
	DWORD size2 = 0;
	if( !GetTokenInformation(hToken, TokenUser, pInfo, size, &size2) )
	{
		DWORD err = GetLastError();
		puts("Get SIDs failed");
		DisplayErrorMessage(err);
		return;
	}
 
	{
		TOKEN_USER * pUser = pInfo;
		printf("<User");
		DisplaySidAndUserName(pUser->User.Sid);
		//printf(" - %08X", pUser->User.Attributes); "There are currently no attributes defined for user SIDs"
		printf(" />\n");
	}
}
 
static void ReadTokenUserAlloc(HANDLE hToken)
{
	DWORD size = 0;
	GetTokenInformation(hToken, TokenUser, NULL, 0, &size);
	if( size==0 )
	{
		DWORD err = GetLastError();
		puts("Get size failed");
		DisplayErrorMessage(err);
		return;
	}
	{
		LPBYTE pInfo = malloc(size);
		if(pInfo==NULL)
			perror("malloc");
		else
			ReadTokenUser(hToken, pInfo, size);
		free(pInfo);	
	}
}
 
 
static void PlayWithToken(HANDLE hToken)
{
	BOOL bRestrict = IsTokenRestricted(hToken);
 
	printf("<Token restricted=\"%d\">\n", bRestrict); 
	ReadTokenUserAlloc(hToken);
	puts("<GroupSIDs>");
	ReadTokenSidsAlloc(hToken, FALSE);
	puts("</GroupSIDs>");
	if(bRestrict)
	{
		puts("<RestrictedSIDs>");
		ReadTokenSidsAlloc(hToken, TRUE);
		puts("</RestrictedSIDs>");
	}
	puts("</Token>");
}
 
void TestToken(void)
{
	printf("\n<!-- Test : %s -->\n", __FUNCTION__);
	printf("<%s>\n", __FUNCTION__);
	{
		HANDLE hToken; 
		if( ! OpenProcessToken(GetCurrentProcess(), TOKEN_READ, &hToken) )
		{
			DWORD err = GetLastError();
			puts("Token open failed.");
			DisplayErrorMessage(err);
			return;
		}
		PlayWithToken(hToken);
		CloseHandle(hToken);
	}
	printf("</%s>\n", __FUNCTION__);
}

Crée-toi un programme console qui appelle TestToken().
Selon que tu exécutes ce programme avec ou sans l'option "protéger mon ordinateur" de "exécuter en tant que", tu auras des résultats très différents.

[Antoine_935]

Merci pour ces infos précieuses Je vais jeter un oeuil à tout ça !

[bacelar]

La solution habituelle, utilisé par IIS et ASP.NET, c'est de faire tourner le programme en service avec un compte qui n'a que les droit nécessaire et rien d'autre.