在允许的进程之间传递一个Windows安全令牌

前端之家收集整理的这篇文章主要介绍了在允许的进程之间传递一个Windows安全令牌前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
想象一下,我有一个现有的进程作为特定用户Windows下运行.该进程可以允许其当前令牌(具有OpenThreadToken和DuplicateTokenEx等),将其传递到同一台计算机上的另一进程(可能通过网络套接字或其他IPC),然后期望该进程能够用它来调用CreateProcessAsUser?

从我阅读的文档(http://msdn.microsoft.com/en-us/library/ms682429%28VS.85%29.aspx)中,我没有看到没有禁止这一点的内容,但是也许这个令牌只能由创建它的线程或进程使用.

(为什么?我想要有一个Web请求来到IIS,经过身份验证,IIS会排除远程用户的模拟,然后将模拟令牌传递到另一个服务器进程(在同一台机器上),以便服务器进程可以在远程用户的上下文中执行一些安全检查)

是的,这是可能的.您可以使用DuplicateHandle获取对目标进程有效的句柄(将新的句柄值发送到目标进程,以便它知道). 但是,目标进程必须具有相应使用令牌的权限.例如. SE_IMPERSONATE模拟用户和SE_ASSIGN_PRIMARY以供CPAU使用.当然有一些例外,您可以在MSDN中阅读ImpersonateLoggedOnUser和CPAU.

猜你在找的Windows相关文章