現在オフラインです。再接続するためにインターネットの接続を待っています

お使いのブラウザーはサポートされていません

このサイトを利用するには、ブラウザーを更新する必要があります。

Internet Explorer を最新バージョンに更新する

Windows のセキュリティ、サービス、およびインタラクティブ デスクトップについて

この記事は、以前は次の ID で公開されていました: JP327618
はじめに
Microsoft Windows のサービスは、一般には、ユーザー インターフェイスを持たず無人で実行されるように設計されているコンソール アプリケーションです。しかし、状況によってはユーザーの操作が必要となる場合もあります。
詳細
重要 : 高いレベルのセキュリティ コンテキスト (SYSTEM など) で実行されるサービスは、対話型のサービスとして実行しないことをマイクロソフトでは推奨しています。

Windows ユーザー インターフェイスでは、デスクトップがセキュリティの境界です。インタラクティブ デスクトップ上で実行されているアプリケーションは、インタラクティブ デスクトップ上にあるウィンドウであれば、デスクトップに表示されていないウィンドウとでも対話的な処理を実行できます。この動作は、ウィンドウを作成したアプリケーションのセキュリティ コンテキストやデスクトップ上で実行されているアプリケーションのセキュリティ コンテキストに関係なく、すべてのアプリケーションに当てはまります。Windows メッセージ システムでは、アプリケーション側でウィンドウ メッセージの発信元を判定することはできません。

これらの設計上の特徴から、インタラクティブ デスクトップ上にウィンドウを開いたサービスは、ログオンしたユーザーが実行するアプリケーションに対して公開されます。サービスで機能を制御するウィンドウ メッセージが使用される場合は、ログオンしたユーザーが悪質なメッセージを使用して機能を妨害することも可能です。

SYSTEM として実行され、OpenWindowStation 関数と GetThreadDesktop 関数の呼び出しによってインタラクティブ デスクトップをサポートし、ユーザー インターフェイスを作成するサービスでは、セキュリティの問題を評価することが最も重要です。

Microsoft Windows NT 4.0 と Microsoft Windows 2000 では、対話型のウィンドウ ステーションのデフォルト デスクトップにアクセスする場合のセキュリティ制限は完全には強制されていません。アプリケーションでユーザー インターフェイスを描画しようとすると、ウィンドウ ステーションのセキュリティは WINSTA_READSCREEN アクセス権に対して照会されません。ログオンのセキュリティ識別子 (SID) にウィンドウ ステーションへのアクセス権がない場合、その SID で実行されているプロセスは画面の内容にアクセスできません。

Microsoft Windows XP では、この制限が正常に適用されます。ログオン SID で実行されているプロセスが画面を描画しようとすると、GDI サブシステムは、ログオン トークンに WINSTA_READSCREEN アクセス権があるかどうかを確認します。ログオン トークンにアクセス権がない場合は、描画操作は完了しません。この動作により、描画は不完全になります。LogonUser プロパティが取得しているトークンを使用して GUI アプリケーションを実行すると、この問題を確認できます。LogonUser プロパティは、現在ログオンしているユーザーの名前です。

サービスの開発者は、サービスとログオン ユーザーとの対話に、リモート プロシージャ コール (RPC)、ソケット、名前付きパイプ、COM などのクライアント/サーバー テクノロジを使用することをマイクロソフトでは推奨しています。また、MessageBox 関数のフラグとして MB_SERVICE_NOTIFICATION を使用して簡単な状態メッセージを表示することを推奨しています。
プロパティ

文書番号:327618 - 最終更新日: 04/21/2006 06:56:09 - リビジョン: 2.1

  • Microsoft Platform SDK January 2000 Edition
  • kbdevsecurity kbshell kbui kbgdi kbinfo KB327618
フィードバック
ript> >/body>cation.protocol) + "//c.microsoft.com/ms.js'><\/script>");