服务是整合在MicrosoftWindows操作系统中的结构。服务与用户的应用程序不同,因为你可以对他们进行配置,不需要一个激活的用户登录,就可以使这些服务在系统启动的时候运行,直到系统关闭。Windows中的服务,负责所有种类的后台活动,但不包括从远程过程调用(RPC)服务到网络位置服务的用户。

  一些服务可能会试图显示一些用户界面对话框,或者与用户的应用程序进行通信。这些服务都将面临与Windows7 的兼容性问题。如果不去讨论与你的应用程序进行通信的必要的安全准备,那么,你的服务将不能在Windows7上工作。

  目标

  在本实验中,你将学会如何:

  · 重新设计和修复一个试图显示UI界面的服务

  · 对服务和应用程序间共享的kernel对象,设置适当的安全和访问级别

  系统需求

  完成本实验,你必须包含以下组件:

  · MicrosoftVisual Studio 2008

  · Windows7

  · WindowsSysinternals进程浏览器

  练习 #1:简洁的服务UI界面

  在这个练习中,你将安装并且运行一个直接向用户展示UI用户界面的服务。你将看到对用户体验十分有效的Windows内置的自动简洁窗口(交互的服务侦测对话框),还有可以修改服务,使其不会直接的展示UI用户界面。

  你还可以修改服务,使其在当前的活动用户下,在一个独立的进程中,使用简洁的UI用户界面。

  任务 1 安装和运行服务

  作为这个任务的一部分,你需要通过使用sc命令行安装服务,并且首先运行它。这个服务将试图展示一个会触发简洁UI用户界面服务的用户对话框。

  1. 使用VisualStudio,打开Session0_Starter解决方案。

  2. 生成当前解决方案(请注意你使用的生成配置-Debug/Release,x86/x64)

  3. 打开管理员命令窗口:

  4. 点击Start.

  5. 指向所有程序。

  6. 指向Accessories.

  7. 右击Command Prompt.

  8. 点击以管理员身份运行。

  9. 使用cd命令,导向包含应用程序的输出目录。例如,如果输出目录是C:\Session0_Starter\Debug,那么就是用下面的目录,导向到相应目录:

  CMD

  C:

  cd C:\Session0_Starter\Debug

  10. 使用下面的命令,创建TimeService服务

  CMD

  sc create TimeService binPath=C:\Session0_Starter\Debug\TimeService.exe

  帮助

  确认你已经将Step9中的目录替换,并且确认在"binPath="后,复制了空格。

  11. 使用组合键+R,并且在Run对话框中输入services.msc来打开MMC服务管理单元。

  12. 定位到TimeService服务,右键点击,并且点击Start。

  13. 随后,你将看到一个类似下图的对话框。

  14. 这个就是交互服务侦测对话框,它将检测试图展示UI用户界面的服务,并且显示这个简洁的对话框。

  15. 点击Remindme in a few minutes解除这个消息,或者点击Showme the message切换到安全Session0桌面去查看服务UI用户界面(一个消息框)。

  16. 返回MMC服务管理单元,定位到TimeService服务,右键点击,然后点击Stop来停止服务。

  使用WTSSendMessage(快速定位)来修改服务

  作为此任务的一部分,你将使用WTSSendMessage方法向用户展示一个消息对话框。它将给用户提供一个交互服务侦测对话框快速定位和替换。

  1. 如果你还没有做这项操作,请根据任务1中的Step1-5安装TimeService服务。

  2. 如果你完成了任务1后还没有做这个,请确认你已经停止了TimeService服务(参考任务1中的Step10)

  3. 使用VisualStudio,打开Session0_Starter解决方案。 4. 在UI\Native解方案文件夹中找到TimeService项目,然后打开TimeService.cpp文件。

  5. 在文件中,找到第一个//TODO注释。找到MessageBox方法调用,并使用下面的代码进行替换:

  C++

  LPWSTR lpszTitle = L"Time Change";

  LPWSTR lpszText = L"Notification: 5 seconds haveelapsed.\r\nWould you like to see more details?";

  DWORD dwSession = WTSGetActiveConsoleSessionId();

  WTSSendMessage(WTS_CURRENT_SERVER_HANDLE, dwSession,lpszTitle,

  static_cast<DWORD>((wcslen(lpszTitle)+ 1) * sizeof(wchar_t)),

  lpszText,static_cast<DWORD>((wcslen(lpszText) + 1) * sizeof(wchar_t)),

  MB_YESNO|MB_ICONINFORMATION,0 /*wait indefinitely*/, &dwResponse, TRUE);

  6. 生成该解决方案。

  7. 重复任务1中的Step6-7 。你应该能看到在你的主桌面,会出现一个对话框询问你,而不是交互服务侦测对话框。

  8. 点击No解除消息。

  9. 停止服务(参看任务1中Step 10)。

  任务 3 使用不同的用户凭证浏览UI用户界面

  作为该任务的一部分,你需要修改服务,以便于让其在当前的活动用户下运行一个新的交互UI用户界面进程,来显示代表服务的用户交互界面。

  1. 重复任务2中的Step1-4操作。

  2. 在TimeService.cpp文件中找到第二个//TODO注释。

  3. 以检索到的活动的SessionID和与其相关的用户权证(参看http://en.wikipedia.org/wiki/Token_(Windows_NT_arc hitecture)用户权证背景)来使用WTSGetActiveConsoleSessionId和WTSQueryUserToken方法。这个是用来创建交互UI用户界面进程的权证。插入下面的代码:

  C++

  BOOL bSuccess = FALSE;

  STARTUPINFO si = {0};

  PROCESS_INFORMATION pi = {0};

  si.cb = sizeof(si);

  DWORD dwSessionID = WTSGetActiveConsoleSessionId();

  HANDLE hToken = NULL;

  if (WTSQueryUserToken(dwSessionID, &hToken) == FALSE)

  {

  gotoCleanup;

  }

  4. 使用DuplicateTokenEx方法来复制权证,以便于它能够创建进程。插入下面的代码:

  C++

  HANDLE hDuplicatedToken = NULL;

  if (DuplicateTokenEx(hToken, MAXIMUM_ALLOWED, NULL,SecurityIdentification, TokenPrimary, &hDuplicatedToken) == FALSE)

  {

  gotoCleanup;

  }

  5. 使用CreateEnvironmentBlock方法为交互进程创建一个环境块。插入下面的代码:

  C++

  LPVOID lpEnvironment = NULL;

  if (CreateEnvironmentBlock(&lpEnvironment,hDuplicated Token, FALSE) == FALSE)

  {

  gotoCleanup;

  }

  6. 通过检索服务执行的完整路径,来获取客户端应用程序的完整路径(使用GetModuleFileName),除去文件名称(使用PathRemoveFileSpec),然后连结客户端应用程序名称。插入下面的代码: C++ WCHAR lpszClientPath[MAX_PATH]; if (GetModuleFileName(NULL, lpszClientPath, MAX_PATH) == 0) { gotoCleanup; } PathRemoveFileSpec(lpszClientPath); wcscat_s(lpszClientPath,sizeof(lpszClientPath)/siz eof(WCHAR), L"\\TimeServiceClient.exe"); 7. 使用CreateProcessAsUser方法,在目标用户中创建一个进程:

  C++

  if (CreateProcessAsUser(hDuplicatedToken, lpszClientPath,NULL, NULL, NULL, FALSE,

  NORMAL_PRIORITY_CLASS| CREATE_NEW_CONSOLE | CREATE_UNICODE_ENVIRONMENT,

  lpEnvironment,NULL, &si, &pi) == FALSE)

  {

  gotoCleanup;

  }

  CloseHandle(pi.hProcess);

  CloseHandle(pi.hThread);

  bSuccess = TRUE;

  8. 请确认在这项工作期间,你有代码去分配空余资源。插入下面的代码:

  C++

  Cleanup:

  if (!bSuccess)

  {

  ShowMessage(L"Anerror occurred while creating fancy client UI", L"Error");

  }

  if (hToken != NULL)

  CloseHandle(hToken);

  if (hDuplicatedToken != NULL)

  CloseHandle(hDuplicatedToken);

  if (lpEnvironment != NULL)

  DestroyEnvironmentBlock(lpEnvironment);

  9. 生成解决方案。

  10. 重复任务1中的Step6-7操作。除了交互服务侦测对话框,你应该看到在你的主桌面将出现一个对话框询问你问题。点击Yes,客户端应用程序将启动,并且及时展现给你。

  11. 关闭客户端应用程序并且停止进程(参考任务1中的Step10)。

  注意

  为了达到这个练习的目的,我们简化了示例代码,并且在我们设计和完成这个项目的时候,没有遵照所有的安全代码标准。请在另外用户下创建进程并且使用该进程与后台服务通信之前,仔细考虑可能引起的安全问题。

  练习 #2: 对共享对象进行安全验证

  在这个练习中,你需要安装和运行一个服务来创建一个标准应用程序的共享kernel对象(事件)。你将会看到,标准应用程序是不能访问这个事件的,因为它没有驻存在同一个Session的命名空间中,并且没有设置相应的访问控制权限。

  任务 1 安装和运行服务

  作为该任务的一部分,你将使用sc命令行安装一个服务,然后首先运行它。你将看到,当它去试图使用服务所创建的事件时,服务的客户端将收到"AccessDenied"的错误信息。

  1. 激活用户账户控制(UAC)。在开始菜单,点击查询,然后输入"UserAccount Control"。并在查询结果中选择"ChangeUser Account Control settings"。然后确认滑块不是设置在Nevernotify上的。

  2. 使用VisualStudio,打开Session0_Starter解决方案。

  3. 生成当前的解决方案(确认你使用的生成配置-Debug/Release, x86/x64)。

  4. 打开一个管理员命令行窗口,点击Start,指向 AllPrograms,然后指向Accessories,再右键点击Command Prompt。点击Run as administrator。

  5. 使用cd命令,定位到包含应用程序的输出目录。例如,如果输出目录是C:\Session0_Starter\Debug,那么就是用下面的命令指向相应的目录:

  CMD

  C:

  cd C:\Session0_Starter\Debug

  6. 使用下面的命令,创建AlertService服务注意:确认你已经使用Step4 中的路径,替换了服务的路径,并且请确认在"binPath="后,你复制了空格。

  CMD

  sc create AlertService binPath=C:\Session0_Starter\Debug\AlertService.exe

  7. 使用快捷键+R,并且在运行对话框中输入services.msc进入MMC服务管理单元。

  8. 定位到AlertService服务,右键点击,并且点击Start。

  9. 打开一个标准的命令行窗口。从开始菜单中,指向AllPrograms,点击Accessories,然后点击CommandPrompt(注意:不要使用管理员方式运行命令行窗口)。

  10. 在标准命令行窗口中重复Step5 。

  11. 使用下面的命令运行AlertService客户端应用程序,这个服务将尝试去打开服务创建的事件,并且用它同步(WaitForSingleObject)。 CMD AlertServiceClient 12. 注意到客户端在打开事件时失败,错误为2,此错误表示没有找到相应的事件。

  13. 返回到MMC服务管理单元,定位到AlertService服务,右键点击,然后点击Stop来停止该服务。

  任务 2 修改服务,以便能够在全局命名空间中创建对象

  作为该任务的一部分,你需要将对象的名称进行更改,使其包含全局命名空间的前缀。

  1. 如果你还不能做这项操作,请根据任务1中的Step1-5,安装AlertService服务。

  2. 如果你在完成了任务1的前提下,还不能做这项操作,请确认AlertService服务已经停止(查看任务1中的Step10)。

  3. 使用Visual Studio, 打开Session0_Starter 解决方案。

  4. 在Security\Native解决方案的文件夹中,定位到AlertService项目,然后打开AlertService.cpp文件。

  5. 在该文件中,找到标记为"STEP1"的//TODO注释,然后使用下面的代码将CreateEvent的调用替换:

  C++

  g_hAlertEvent = CreateEvent(NULL, FALSE, FALSE,L"Global\\AlertServiceEvent");

  6. 在Security\Native解决方案的文件夹中,定位到AlertServiceClient项目,然后打开AlertServiceClient.cpp文件。

  7. 在该文件中,找到标记为"STEP1"的//TODO注释,然后使用下面的代码将OpenEvent的调用替换:

  C++

  HANDLE hEvent = OpenEvent(SYNCHRONIZE, FALSE,L"Global\\AlertServiceEvent");

  8. 生成该解决方案。

  9. 重复任务1中的Step7-13 。注意现在客户端还是不能访问事件(这次是因为安全设置,而不是因为命名空间的问题)。

  10. 从WindowsSysinternals中运行进程浏览器(如果你没有,请从http://technet.microsoft.com/en-us/sysinternals/0e 18b180-9b7a-4c49-8120-c47c5a693683.aspx下载工具)。

  11. 在进程列表中选择AlertService服务(如果这个服务没有出现在出现列表中,从File菜单中,点击Showprocesses from all users使用管理员权限重启进程浏览器)。

  12. 确认对话框下方的窗口是可见的,并且能够显示进程句柄(使用快捷键CTRL+H,或者从View菜单中打开该窗口)。

  13. 在句柄列表中,找到\BaseNamedObjects\AlertServiceEvent事件,右击该事件,并且点击Properties。

  14. 在Properties对话框中,选择Security标签。请注意能够访问该事件的安全的组,只有SYSTEM和Administrators组。

  任务 3 修改服务,以便于为对象提供安全属性(DACL和SACL)

  作为该任务的其中一部分,你将修改服务,以便于能够为事件对象设置适当的访问控制权限(DACL和SACL),使其客户端能对其访问。

  1. 重复任务2中的Step1-4操作。

  2. 在文件中,找到标记为"STEP2"的//TODO注释。

  3. 使用WTSGetActiveConsoleSessionId和WTSQueryUserToken方法,找到当前活动的SessionID和与其相关联的用户权证。插入下面的代码:

  C++

  DWORD dwSessionID = WTSGetActiveConsoleSessionId();

  HANDLE hToken = NULL;

  if (WTSQueryUserToken(dwSessionID, &hToken) == FALSE)

  {

  gotoCleanup;

  }

  4. 使用GetTokenInformation方法检索用户账号的SID(安全标识)。请注意,此时需要两个通行证 一个用于判断TOKEN_USER结构,另外一个则实际的填充它。插入下面的代码:

  C++

  DWORD dwLength;

  TOKEN_USER* account = NULL;

  if (GetTokenInformation(hToken, TokenUser, NULL, 0,&dwLength) == FALSE &&

  GetLastError()!= ERROR_INSUFFICIENT_BUFFER)

  {

  gotoCleanup;

  }

  account = (TOKEN_USER*)new BYTE[dwLength];

  if (GetTokenInformation(hToken, TokenUser, (LPVOID)account,dwLength, &dwLength) == FALSE)

  {

  gotoCleanup;

  } 5. 使用ConvertSidToStringSid方法,将用户账号的SID转换成字符串形式,然后根据它再去构建一个SDDL字符串,用来表示服务以后创建的事件的安全说明。插入下面的代码:

  C++

  LPWSTR lpszSid = NULL;

  if (ConvertSidToStringSid(account->User.Sid,&lpszSid) == FALSE)

  {

  gotoCleanup;

  }

  WCHAR sddl[1000];

  wsprintf(sddl,L"O:SYG:BAD:(A;;GA;;;SY)(A;;GA;;;%s) S:(ML;;NW;;;ME)", lpszSid);

  6. 使用ConvertStringSecurityDescriptorToSecurityDescripto r方法,将SDDL安全说明字符串,转换成安全说明形式。插入下面的代码:

  C++

  PSECURITY_DESCRIPTOR sd = NULL;

  if (ConvertStringSecurityDescriptorToSecurityDescript or(sddl,SDDL_REVISION_1, &sd, NULL) == FALSE)

  {

  gotoCleanup;

  }

  7. 将step 6 中创建的安全说明,序列化为一个SECURITY_ATTRIBUTES结构,并且使用下面的代码创建事件:

  C++

  SECURITY_ATTRIBUTES sa;

  sa.bInheritHandle = FALSE;

  sa.lpSecurityDescriptor = sd;

  sa.nLength = sizeof(sa);

  g_hAlertEvent = CreateEvent(&sa, FALSE, FALSE,L"Global\\AlertServiceEvent");

  if (g_hAlertEvent == NULL)

  {

  gotoCleanup;

  }

  8. 定位到标记为"STEP3"的//TODO注释,并且插入下面的代码,来释放序列化事件所需要的资源:

  C++

  Cleanup:

  if(hToken != NULL)

  CloseHandle(hToken);

  if(account != NULL)

  delete[]account;

  if(lpszSid != NULL)

  LocalFree(lpszSid);

  if(sd != NULL)

  LocalFree(sd);

  if(g_hAlertEvent == NULL)

  CloseHandle(g_hAlertEvent);

  9. 生成该解决方案。

  10. 重复任务1中的Step7-13 。请注意目前客户端已经可以成功打开事件,并且可以接收到从AlertService服务发出的消息了。

  11. 重复任务2中的Step9-13 。请注意,现在事件是允许当前的活动用户进行访问的,这也就是为什么AlertService客户端即使没有当前系统的管理员权限,也是能够打开事件的原因所在。

  当心

  示例中所使用的安全说明字符串(SDDL),并不是最好的表现形式。在你的应用程序中,确认你已经为服务和应用程序共享的资源设置了最高的安全级别,并且进行了威胁分析和模型来确保你不是创建了一个安全漏洞。

  练习 #3:为文件对象进行加密

  在这个练习中,你需要安装和运行一个服务来创建一个用户可以访问的日志文件。但是,用户是不能对这个文件进行编写或者删除的,除非服务对其进行了安全属性的设置,包括允许用户访问文件的整合级别。

  任务 1 安装和运行服务

  作为当前任务的其中一部分,你需要使用installutil命令安装一个服务,然后首先运行这个服务。当你试图去删除服务所创建的文件时,将看到用户会收到一个"AccessDenied"的错误。

  1. 使用Visual Studio,打开Session0_Starter 解决方案。

  2. 生成当前的解决方案(请注意你所使用的生成配置- Debug/Release, x86/x64)。

  3. 要打开管理员命令窗口,点击Start,指向AllPrograms,找到Accessories,然后右键点击CommandPrompt,选中Runas administrator。 4. 使用cd命令导航到部署应用程序的输出目录。例如,如果输出目录是C:\Session0_Starter\Debug,那么就是用下面的命令,导航到指定的目录中:

  CMD

  C:

  cd C:\Session0_Starter\Debug

  5. 使用下面的命令创建一个LoggingService服务(确认你已经使用step4 中的路径,替换了服务的路径,并且在"binPath="之后,复制了空格)。

  CMD

  installutil LogService.exe

  6. 使用快捷键 +R,在运行对话框中输入services.msc打开MMC服务管理单元。

  7. 定位到LoggingService服务,右键点击,然后单击Start。

  8. 如果打开一个标准命令行窗口,点击Start,指向AllPrograms,选择Accessories,点击CommandPrompt(注意:不要使用管理员权限运行命令行窗口)。

  9. 返回MMC服务管理单元,定位到LoggingService服务,右键点击,然后选择Stop来停止服务。

  10. 打开一个WindowsExplorer窗口(从我的电脑进入,或者直接打开),然后指向到C:\root目录。找到LogService.txt文件。

  11. 尝试使用WindowsExplorer去删除文件(右键点击文件,然后选择Delete,或者点击Del键)。那么这个尝试将由于拒绝访问错误而失败,因为我们没有授权用户去写或者删除该文件。

  任务 2 修改日志文件的整合级别

  作为该任务的其中一部分,你需要修改服务所创建的日志文件的整合级别。这样,用户就能够对日志文件进行写操作,甚至可以删除它。

  1. 如果你还是不能做这项操作,那么请参照任务1中的step1-5安装LoggingService服务。

  2. 如果你已经完成了任务1还是不能做这项操作,请确认LoggingService服务已经停止(参看任务1中的step10)。

  3. 使用Visual Studio,打开Session0_Starter 解决方案。

  4. 在Security\Managed解决方案文件夹中,找到LogService项目,然后打开LoggingService.cs文件。

  5. 在文件中,找到标记为?的//TODO注释,然后添加下面的代码:

  C++

  IntegrityLevelHelper.SetFileIntegrityLevel(@"C:\Lo gService.txt",IntegrityLevel.Medium);

  6. 生成解决方案。

  7. 这次,由于日志文件已经不再受系统整合级别的保护,所以用户可以删除该日志文件了。

  摘要

  在这个实验中,你已经诊断了由Session0隔离机制所造成的两个问题,为这些问题设计了一些修复应用程序,并且实现了这些修复。你也已经使用了快速修复策略,比如使用WTSSendMessage方法在服务中向交互用户发送消息,与具有良好设计的解决方案一样,比如为共享的kernel对象或者文件配置访问控制,并且在当前的活动用户下,在服务中执行进程的UI用户界面。