パスワードを知らなくてもWindowsの「実行」

13

私が働いている大学のラジオ局にデジタルメディアシステムを設置しています。私たちはプログラマー（読み取り、DJ、コーダーではない）に音楽へのアクセスを許可しようとしていますが、音楽をフラッシュドライブにコピーしたり、インターネット経由で転送したりすることはできません。

Windowsシステム（クライアントマシンの場合はWindows XP、メディアサーバーの場合はWindows Server 2008）で実行しています。私の考えはこれです。

デジタルメディアにまったくアクセスできないユーザー（ProgramUser）を作成します。
プログラマーが何も知らず、パスワードを知らないデジタルメディアへの読み取り専用アクセス権を持つユーザー（MediaUser）を作成します。
ユーザーにProgramUserとしてWindowsにログインさせ、メディアへのアクセスを一切許可しないようにします。
MediaUserとして再生アプリケーション（Traktor）を実行します。これにより、プログラマはメディアを再生できますが、コピーや変更はできません。

これは完璧な解決策のように思えますが、1つの落とし穴があります。再生アプリケーションまたはマシンがクラッシュした場合、プログラマーが妥当な時間内に再び実行できるようになるのはプログラマーだけです（私たちは15 kWのFMラジオ局なので、ダウンタイムは非常に重要です）。したがって、私のジレンマ...

パスワードを知らないユーザーとして再生アプリケーションを起動する機能をプログラマに提供するにはどうすればよいですか？

windows-xp runas

— Peter Mortensen
ソース

32

sudo.bat

@echo off
runas /user:Administrator /savecred %1

驚くべきことに、再起動後や電源障害が発生した後でもパスワードを再入力することはありません

— ジョニー
ソース

2

正解は+1。私の神はセキュリティホール

— デイブチェイニー

真剣に、これはセキュリティホールとして知られていないのですか？なぜこれが開いているのですか？！

— -Marm0t

2

アカウントのパスワードがCredentials Managerに保存されている場合にのみ機能することはかなり確信しています。したがって、OSXや資格情報を保存して再利用できる他のシステム上にある以上に、実際にはセキュリティホールではありません。

— マークヘンダーソン

1回目はパスワードを知る必要があり、パスワードが変更されると機能しなくなります。

— ivan_pozdeev

1

...それらをフラッシュドライブにコピーしたり、インターネット経由で転送したりすることはできません

これらのマシンでUSBフラッシュドライブ、インターネットアクセスなどを無効にします。

— Duncan Smart
ソース

0

この問題を回避するには、いくつかの方法をオフハンドで考えることができます。最初の（そしてさらに難しい）ことは、Traktorを起動する小さなWindowsサービスを作成することです。したがって、ProgramUserは新しいTraktorインスタンスをサービスに要求でき、サービスはMediaUserとして実行されているため、TraktorはMediaUserとして起動されます。

別の可能性として、はるかに簡単に、ログインするたびにTraktorを起動するスタートアップショートカットを設定することができます。Windowsショートカットを使用すると、ショートカットプロパティで適切なユーザーの資格情報を設定できます。コンピューターがクラッシュした場合、プログラマーはログインするだけで、MediaUserとして実行されている新しいTraktorがあります！

うまくいけば、これらのソリューションのいずれかがあなたのために働くでしょう！

— マイク
ソース

私と他の管理者はソフトウェアエンジニアなので、これは問題になりません。また、ミキシングボードでGPIO入力を監視する別のサービスも実行しているため、既に行っています。これは素晴らしいアイデアです、ありがとう！

0

DJのMediaUserのプロセスを開始するプログラムを作成できます。これは、ProgramUserとして実行されるように実行できます。

MediaUserのパスワード/資格情報をプログラムにコンパイルする必要があるため、パスワードを知ることができますが、エンドユーザーはこれを意識する必要はありません。「Restart Tracktor」というボタンまたはプログラムがあれば、すべての作業を実行できます。

プロセスのC＃の例を次に示します。唯一の変更は、資格情報をハードコーディングして、DJがそれらを認識しないようにすることです。

— リード・コプシー
ソース

これは基本的に私が提案しようとしていたことですが、それはあいまいさによるセキュリティであるという警告があります。エンドユーザーがprocmonまたはprocexpのコピーを見つけて実行できる場合、パスワードを問題なく取得できます。

— ライアンボルガー

@Ryan：この状況でprocmonまたはprocexpからパスワードを取得するにはどうすればよいですか？プロセスが実行されているユーザー名は取得できますが、資格情報を取得できるとは思いませんでした。私はその回転を理解しています。ハードコードされたパスワードを使用して実行可能ファイルを設計すると、それが実行されますが、それ以外では、この情報をどのように取得しますか？

0

Steel RunAsをご覧ください。SysAdminでのキャリアで、他の選択肢が考えられないときにいくつかのスクリプトに使用しました。それは間違いなく便利です。保存された資格情報を暗号化する実行可能ファイルを生成します。リンケージ

— ニック・ジャック
ソース

0

理想的な状況は、Traktorを変更して、個別のGUIでサービスとして実行することです。これにより、最高のセキュリティオプションが提供されます。Traktorは正しい資格情報を持つユーザーとして実行されるため、誰もそれを知る必要がなく、パスワードを再入力する必要もありません。実際、サービススナップインでクラッシュした場合、自動的に再起動させることができます。

Traktorを駆動するためのGUIは、ユーザーが自分で実行する独自のアプリケーションとして記述され、メッセージをTraktorサービスに（TCP / IP、RPC、共有メモリ、またはその他の形式のIPC経由で）送信して、ユーザーが望んでいます。クロスネットワークプロトコル（TCP / IPなど）を使用してGUIを機能させた場合、ユーザーはワークステーションにログインでき、traktorサービスはより信頼性の高いサーバーで実行できます。よければ、代わりにTraktorを駆動するWebアプリケーションを作成し（つまり、Webサーバーがメッセージをサービスに送信する）、ユーザーが自宅からステーションを実行できます。

ログインする必要なく、サーバーでtraktorサービスが開始されます。

— Peter Mortensen
ソース

興味深いアイデアですが、Traktorは非常にプロプライエタリであり、実際にはAPIがありません。唯一の統合ポイントは、MIDI、キーの送信、およびVSTプラグインです。カスタムUIを備えたサービスベースの再生エンジンとしてのTraktorのアイデアは、チャート作成やプレイリスト作成などを処理する、より堅牢なカスタムUIを検討する上で魅力的です。