내부 회사 사용자 용 셀프 서비스 비밀번호 재설정 도구를 C# Winform으로 작성했습니다.셀프 서비스 실행 Windows 로그인 화면에서 C# Winform
이 응용 프로그램은 HTTPS 및 클라이언트 인증서 기반 인증을 사용하여 임의의 6 자리 코드를 생성하고 모바일 장치로 보내거나 사용자가 설정 한 3 가지 보안 질문을 검색하기 위해 다른 사용자 지정 Asp.net 웹 서비스를 사용합니다 셀프 서비스에 등록했습니다.
코드/답변이 웹 서비스로 다시 전송되면 확인되면 사용자 AD 계정의 잠금이 해제되고 비밀번호가 서버 측으로 재설정됩니다.
나는이 어떤 SSPR 도구의 모든 매우 일반적이고 생각하는 모든 작업을 미세 다른 사용자의 컴퓨터에서 액세스 할 경우, 그러나 ... 때문에 사용자가 캔트 자신의 컴퓨터에 액세스하는 것을되는 문제의 성격의
암호를 재설정해야 할 때이 응용 프로그램을 Windows 로그인 화면에서 시작할 수 있는지 묻는 질문을 받았습니다.
필자는 Windows 7 로그인 화면에 새로운 "타일"을 추가하고 클릭 할 때 내 앱을 시작하는 POC 맞춤 자격 정보 제공자를 작성했지만 도움이되지 않지만 실제로는 좋지 않을 수 있다고 생각합니다.
어디에서 시작 되었기 때문에 앱은 이미 긴장하고있는 로컬 SYSTEM 사용자의 컨텍스트에서 실행됩니다!
다른 "유료"SSPR 도구를 보면 액면 가격으로 로그인 화면에서 외부 앱을 실행하고있는 것처럼 보입니다.
winlogin 화면에서 SYSTEM으로 실행중인 앱이 있습니까?
그렇지 않은 경우 취약점을 설치하기 위해 따라야 할 권장 사항이 있습니까?
- 내가 위험을 줄이기 위해 할 수있는 아무것도 거기에 (내 프로그램을 처음 실행할 때 가장/디 고도의 어떤 종류는?) 당신이 중 하나에 그것을 얻을 수있는 Windows 자격 증명 공급자에
기본 로그온 UI는 SYSTEM으로 실행되므로 완전히 우스운 일이 아닙니다. 사실, 보안 로그온 화면에 UI를 표시하려면 SYSTEM으로 실행해야합니다. (나는 확실하지 않다.) 어떤 경우에도 최소한의 권한으로 실행되는 서브 프로세스에서 네트워크 공격을 가장 취약하게하는 것은 나쁜 생각이 아닐 수도있다. –
이 질문의 대답은 이것이 정말 나쁜 생각이지만 구체적으로 들어 가지 않는다고 말합니다. http://stackoverflow.com/questions/13292060/adding-a-button-to-the-windows-7-logon- screen 거기에 제안 된 경로를 따라 내려 가서 일반 도메인 사용자를 설정하고 해당 사용자의 셸을 내 응용 프로그램으로 바꿔야한다는 유혹에 빠져 있습니다. 내 앱을 시작해야하는 타일을 클릭했을 때 일반 사용자와 자동으로 로그온하지만 시스템이 아닌 표준 도메인 사용자의 컨텍스트에서 자격 증명 제공자를 수정할 수 있어야합니다. – prwilliams1982
그룹 정책을 사용하여 원래 타일을 숨기면 CP 샘플은 각 공급자에 대해 새 타일을 만듭니다. 당신은 원래의 마이크로 소프트 타일 guid가 필요합니다 – n981x