Segurança, serviços e ambiente de trabalho interactivo no Windows

Traduções de Artigos Traduções de Artigos
Artigo: 327618 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Introdução

Serviços no Microsoft Windows são geralmente aplicações da consola que foram concebidas para ser executada automaticamente. Por conseguinte, o serviços não tem normalmente uma interface de utilizador. No entanto, o serviço poderá necessitar de interacção com o utilizador em alguns casos.

Mais Informação

importante Recomendamos vivamente que serviços não executados como serviços interactivos se os serviços executarem num contexto segurança elevados, tais como SYSTEM.

Para a interface de utilizador do Windows, o ambiente de trabalho é o limite de segurança. Qualquer aplicação que está em execução no ambiente de trabalho interactivo pode interagir com qualquer janela que está no ambiente de trabalho interactivo, mesmo se a janela não for apresentada no ambiente de trabalho. Este comportamento é verdadeiro para todas as aplicações, independentemente do contexto de segurança da aplicação que cria a janela e independentemente do contexto de segurança da aplicação que está a ser executada no ambiente de trabalho. O sistema de mensagens do Windows não permite que uma aplicação para determinar a origem de uma mensagem de janela.

Por estas funcionalidades de estrutura, qualquer serviço que abre uma janela no ambiente de trabalho interactivo está a expor próprio para aplicações que são executadas pelo utilizador com sessão iniciada. Se o serviço tenta utilizar mensagens de janela para controlar a funcionalidade, o utilizador com sessão iniciada pode interromper essa funcionalidade utilizando mensagens mal intencionadas.

Recomendamos que avalie relativamente a problemas de segurança qualquer serviço que é executado como SYSTEM, que suporta o ambiente de trabalho interactivo utilizando chamadas à função OpenWindowStation e para a função GetThreadDesktop e que cria uma interface de utilizador.

No Microsoft Windows NT 4.0 e no Microsoft Windows 2000, restrições de segurança não são impostas totalmente para aceder ao ambiente de trabalho predefinido de uma estação interactivo. Quando uma aplicação tenta desenhar uma interface de utilizador, a segurança a estação não é consultada para o direito de acesso WINSTA_READSCREEN . Se o identificador de segurança de início de sessão (SID) não tiver este acesso para a estação, um processo que está a ser executado nesse SID não deverá conseguir aceder o conteúdo do ecrã.

No Microsoft Windows XP, esta restrição é imposta correctamente. Quando um processo que está a ser executado um início de sessão que SID tenta desenhar no ecrã, o subsistema GDI verifica se o token de início de sessão tem o direito de acesso WINSTA_READSCREEN . Se o token de início de sessão não tem acesso, a operação de desenho não está concluída. Este comportamento provoca falhas de desenho. Pode ver estas falhas quando executa aplicações GUI, graphical user interface utilizando um token que obteve a propriedade LogonUser . A propriedade LogonUser é o nome de utilizador para o utilizador actualmente com sessão iniciado.

Recomendamos que a utilização de escritor do serviço de uma tecnologia de cliente/servidor, tais como chamada de procedimento remoto (RPC), de sockets, denominado encaminhamentos (pipes) ou COM para interagir com o utilizador com sessão iniciada a partir de um serviço. Além disso, recomendamos que utilize a função MessageBox em conjunto com o sinalizador MB_SERVICE_NOTIFICATION para apresentar mensagens de estado simples.

Propriedades

Artigo: 327618 - Última revisão: 3 de novembro de 2005 - Revisão: 2.1
A informação contida neste artigo aplica-se a:
  • Microsoft Platform Software Development Kit-January 2000 Edition
Palavras-chave: 
kbmt kbdevsecurity kbshell kbui kbgdi kbinfo KB327618 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 327618

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com