如何针对其他应用程序/COM 对象对 Windows 应用程序进行身份验证

Question

我的系统中有 3 个组件：

1. COM 对象 - 为具有 func1()、func2() 的应用程序提供服务
2. App1 - 受信任的应用程序需要使用 com 对象 funcs (1 和 2)
3. App2 - 恶意应用程序，未授权使用 func1()，可以使用 func2() 它是无害的。

COM 对象 如何“验证”App1 并允许其使用 func1() 和 func2()并拒绝从 App2 访问 func1() ？

一种方法是仅允许管理员用户访问 func1()，但这不是一个好的解决方案，因为安全最佳实践：使用最低权限的用户运行。 App1 只需要管理员权限即可访问 COM 对象，App1 中的任何安全漏洞都会为攻击者提供管理员权限。

如何解决这个问题？

Answer 1

一般来说，您应该更准确地定义如何您想要划分（识别）“好”应用程序，以便允许其他“坏”应用程序使用您的 COM 对象。

如果您的 COM 对象是进程内服务器（一个 DLL，将加载到使用它的应用程序的地址空间中），那么您可以制定“快速且肮脏”的解决方案：在 DllMain 内部你可以测试加载你的dll的exe文件的名称。您可以使用 GetModuleFileName 将 NULL 作为第一个参数来执行此操作。如果“错误”的 exe 尝试加载您的 dll，DllMain 可能会返回 FALSE。您可以在任何方法（而不是 DllMain）中执行相同的测试。

解决问题的最佳通用方法（我认为最好的方法）是向 COM 对象添加一个附加方法，您可以使用该方法对调用者进行授权。例如，要使用任何“秘密”函数（例如 func1()），您可以要求调用者先调用另一个 authorize() 函数。调用者向您的 COM 对象提供一些信息作为 authorize() 的输入参数，这些信息可用于验证调用者权限。如果授权成功，authorize() 将返回一个授权令牌 (cookie)，它可以是您稍后可以轻松验证的任何内容。最好的代币应该基于数字签名等加密算法。函数 func1() 可以有一个附加参数 - 从 authorize1() 接收的令牌 (cookie)。通过这种方式，您可以实现您想要的任何类型的授权。这种方式适用于任何类型的 COM 对象（不仅适用于进程内服务器）。

Answer 2

我认为 @quip 指的是支持许可的 IClassFactory2 接口集。请参阅此处：

http://msdn.microsoft。 com/en-us/library/ms680095(v=VS.85).aspx

本文涉及每台计算机许可证（这不是您想要的）和运行时许可证密钥，这听起来像您正在寻找的内容。

要点是，获得授权的 App1 应该调用 CoGetClassObject() 来获取实现 IClassFactory2 的对象，然后调用 IClassFactory2::CreateInstanceLic() 并传入一个密钥，让 COM 服务器知道它已获得授权。这将依次使用适当的标志实例化您的 COM 对象，表明该对象可以完全使用（假设有有效的密钥）。如果传入无效密钥，请初始化 COM 对象以供未经授权的客户端使用。

未经授权的App2将调用标准的CoCreateInstance()，该标准的CoCreateInstance()在幕后调用CoGetClassObject()来获取实现IClassFactory的对象，然后调用IClassFactory::CreateInstance()。此实现应该使用为未经授权的客户端设置的标志来实例化您的 COM 对象。

Answer 3

Windows 安全性是基于用户的，因此我不相信您能够在应用程序级别执行此操作。如果用户可以执行该函数，那么两个程序都可以执行该函数。