Windows 如何将网络共享访问权限授予低强制级别进程？

是否有任何方法将网络共享的访问权限授予低强制级别流程（UAC）

进一步解释： 为了迁移一些第三方库安全问题，我们正在考虑将Integrity Mode设置为isolating process（隔离进程）设置为Low（低），但我们确实需要让进程从指定的单个文件系统共享（UNC路径，可能在单独的计算机上）自由读/写

有人知道有什么办法吗

---

谢谢

是，默认情况下此选项可用。进程的完整性只影响本地安全，而不影响远程安全。这可以通过创建低完整性版本的记事本来证明-

将C:\windows\system32\notepad.exe复制到一个位置，即。 C:\test\lownote.exe

运行icacls C:\test\lownote.exe/setintegritylevel Low

低声下气

与Process Explorer确认(http://live.sysinternals.com/procexp.exe)它以低完整性运行。注意：您可以在硬盘上打开文件，但不能保存到它们， 除用户配置文件浏览到网络的低完整性部分外， 使用UNC共享的路径-您可以很好地打开/保存文件

也就是说，在使用低完整性进程写入网络共享时，您可能会遇到拒绝访问的消息。通过在运行应用程序的计算机上使用procmon并过滤以包括结果为“拒绝访问”和进程名称为-进程名称，可以找到此原因

无法使用的是驱动器映射…当尝试读取HKCU[驱动器号位置]时，您将看到抛出“拒绝访问”

根据MSDN文件：

但是，您可以在低完整性进程和高完整性进程之间使用其他类型的通信。您可以使用的通信类型包括：

• 剪贴板（复制和粘贴）
• 远程过程调用（RPC）
• 插座
• 窗口消息，表明已显式执行更高完整性进程 允许通过调用从较低完整性进程接收 ChangeWindowMessageFilter
• 共享内存，其中完整性更高 进程显式降低共享内存上的强制标签 第（重要）节这特别危险，并且 更高的完整性过程必须仔细验证所有 写入共享部分。）
• COM接口，其中启动 激活权限由更高的完整性以编程方式设置 允许从低完整性客户端进行绑定的过程
• 命名管道， 创建者在管道上明确设置强制标签，以允许访问较低完整性的流程

---

ref

是默认情况下此选项可用。进程的完整性只影响本地安全，而不影响远程安全。这可以通过创建低完整性版本的记事本来证明-

将C:\windows\system32\notepad.exe复制到一个位置，即。 C:\test\lownote.exe

运行icacls C:\test\lownote.exe/setintegritylevel Low

低声下气

与Process Explorer确认(http://live.sysinternals.com/procexp.exe)它以低完整性运行。注意：您可以在硬盘上打开文件，但不能保存到它们， 除用户配置文件浏览到网络的低完整性部分外， 使用UNC共享的路径-您可以很好地打开/保存文件

也就是说，在使用低完整性进程写入网络共享时，您可能会遇到拒绝访问的消息。通过在运行应用程序的计算机上使用procmon并过滤以包括结果为“拒绝访问”和进程名称为-进程名称，可以找到此原因

无法使用的是驱动器映射…当尝试读取HKCU[驱动器号位置]时，您将看到抛出“拒绝访问”

根据MSDN文件：

但是，您可以在低完整性进程和高完整性进程之间使用其他类型的通信。您可以使用的通信类型包括：

• 剪贴板（复制和粘贴）
• 远程过程调用（RPC）
• 插座
• 窗口消息，表明已显式执行更高完整性进程 允许通过调用从较低完整性进程接收 ChangeWindowMessageFilter
• 共享内存，其中完整性更高 进程显式降低共享内存上的强制标签 第（重要）节这特别危险，并且 更高的完整性过程必须仔细验证所有 写入共享部分。）
• COM接口，其中启动 激活权限由更高的完整性以编程方式设置 允许从低完整性客户端进行绑定的过程
• 命名管道， 创建者在管道上明确设置强制标签，以允许访问较低完整性的流程

参考号