C++ での特権の有効化と無効化
アクセス トークンで特権を有効にすると、プロセスは以前は実行できなかったシステム レベルのアクションを実行できます。 アプリケーションでは、特に次の強力な特権に対して、特権がアカウントの種類に適していることを十分に確認する必要があります。
| 特権定数 | 文字列値 | 表示名 |
|---|---|---|
| SE_ASSIGNPRIMARYTOKEN_NAME | SeAssignPrimaryTokenPrivilege | プロセス レベル トークンを置き換える |
| SE_BACKUP_NAME | SeBackupPrivilege | ファイルとディレクトリのバックアップ |
| SE_DEBUG_NAME | SeDebugPrivilege | プログラムのデバッグ |
| SE_INCREASE_QUOTA_NAME | SeIncreaseQuotaPrivilege | プロセスのメモリ クォータの増加 |
| SE_TCB_NAME | SeTcbPrivilege | オペレーティング システムの一部として機能 |
これらの潜在的に危険な特権のいずれかを有効にする前に、コード内の関数または操作に実際に特権が必要であることを確認します。 たとえば、オペレーティング システムで SeTcbPrivilege を実際に必要とする関数はごくわずかです。 使用可能なすべての特権の一覧については、「 特権定数」を参照してください。
次の例は、 アクセス トークンの特権を有効または無効にする方法を示しています。 この例では 、LookupPrivilegeValue 関数を呼び出して、ローカル システムが特権を識別するために使用するローカル 一意識別子 (LUID) を取得します。 次に、 AdjustTokenPrivileges 関数を呼び出します。この関数は、 bEnablePrivilege パラメーターの値に依存する特権を有効または無効にします。
#include <windows.h>
#include <stdio.h>
#pragma comment(lib, "advapi32.lib")
BOOL SetPrivilege(
HANDLE hToken, // access token handle
LPCTSTR lpszPrivilege, // name of privilege to enable/disable
BOOL bEnablePrivilege // to enable or disable privilege
)
{
TOKEN_PRIVILEGES tp;
LUID luid;
if ( !LookupPrivilegeValue(
NULL, // lookup privilege on local system
lpszPrivilege, // privilege to lookup
&luid ) ) // receives LUID of privilege
{
printf("LookupPrivilegeValue error: %u\n", GetLastError() );
return FALSE;
}
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = luid;
if (bEnablePrivilege)
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
else
tp.Privileges[0].Attributes = 0;
// Enable the privilege or disable all privileges.
if ( !AdjustTokenPrivileges(
hToken,
FALSE,
&tp,
sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES) NULL,
(PDWORD) NULL) )
{
printf("AdjustTokenPrivileges error: %u\n", GetLastError() );
return FALSE;
}
if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
{
printf("The token does not have the specified privilege. \n");
return FALSE;
}
return TRUE;
}