解决两个难懂的安全性问题

核心提示：经常讨论一些您发现的少量错误并让人们知道它们是很有益的，在本月的专栏中，解决两个难懂的安全性问题，我想讨论两个主题：交互式服务调用 _alloca()安全性、服务和交互式桌面与 Unix 守护程序类似，服务是 Microsoft Windows NT 的中枢，如果您的服务代码具有以下任何属性，请提高警惕：作为 Loca

经常讨论一些您发现的少量错误并让人们知道它们是很有益的。在本月的专栏中，我想讨论两个主题：

交互式服务

调用 _alloca()

安全性、服务和交互式桌面

与 Unix 守护程序类似，服务是 Microsoft Windows NT 的中枢，可以向操作系统和用户提供重要功能而无需用户的参与。创建服务时，有一些问题需要注意。

Microsoft Windows 中的服务通常是控制台应用程序，它们的运行无需用户参与，也没有用户界面。但在某些实例中，服务可能需要与用户进行交互。运行在较高安全环境中的服务（如 SYSTEM）不应作为交互式服务运行。在 Windows 用户界面中，桌面是安全边界，在交互式桌面上运行的任何应用程序可以与交互式桌面上的任何窗口交互，即使窗口并不可见。无论创建窗口的应用程序的安全环境和应用程序的安全环境如何，都是这样。

由于这些设计特点，任何在交互式桌面上打开窗口的服务都会向登录用户所执行的应用程序公开。如果服务试图使用窗口消息控制其功能，则登录用户可以通过使用恶意消息来干扰该功能。

将服务作为 SYSTEM 运行的做法（即，服务通过调用 OpenWindowStation 和 GetThreadDesktop 来支持交互式桌面）十分不可取。请注意，Windows 将来的版本可能会完全取消对交互式服务的支持。

我们建议服务编写人员使用客户端/服务器技术（例如 RPC、套接字、命名管道或 COM）实现与来自某个服务的登录用户的交互，使用带 MB_SERVICE_NOTIFICATION 的 MessageBox 显示简单的状态。如果您的服务代码具有以下任何属性，请提高警惕：

作为 LocalSystem 运行，并且服务在安全配置管理器中进行了标记（“登录为”->“允许服务与桌面交互”），或注册表项 -> HKLMCCSServicesMyServiceType & 0x0100 == 0x0100）