我们有一个通过ClickOnce部署的应用程序。 当我们从URL安装它时,这个应用程序有安全区域“Internet区域”。
正如我在标题中提到的,我想find一种方法来知道授予从“Internet区域”运行的应用程序的权限列表。
在IE设置上,在“安全”选项卡下,“Internet”的默认设置为“中高”。 如果你点击这个页面上的“自定义级别…”button,它会给你详细的说明在这个级别可以做什么和不可以做什么。
除安全区域设置外,在Internet区域中运行的应用程序应具有“低”的完整性级别。 这提供了额外的硬化水平。 例如,具有低完整性级别的应用程序不能写入文件夹位置,除非文件夹位置也具有低完整性级别。
低完整性级别的IE窗口只能对Temporary Internet Files \ Low文件夹,历史logging,Cookies,collections夹和HKEY_CURRENT_USER \ Software \ LowRegistry项进行写入访问。 这样可以防止IE写入文件系统或registry中的其他任何地方 – 所以不需要将按键logging器安静地安装到Startup文件夹中。 而且由于桌面以中等的完整性运行,它们不能发送消息 – 阻止破碎式的攻击。
Process Explorer可以查看进程完整性级别。
可以使用ICACLS.exe查看文件夹完整性级别。 完整性级别也可以在应用程序二进制文件中指定,尽pipe这可能只适用于信息亭scheme。
更多信息:
强制完整性控制
https://blogs.technet.com/b/steriley/archive/2006/07/21/442870.aspx