如何在 Windows 下自动启动非管理员用户无法关闭的 UI 应用程序？

Question

我开发了一个 C# Windows 窗体应用程序，它作为系统托盘图标在后台运行，并在单击它时执行一些操作。它应该在 Windows 启动并持续运行时启动，并且不允许没有管理员权限的普通用户将其关闭。

最好的方法是什么？我最初打算通过任务计划程序在 LocalSystem 帐户上运行它，但后来我（艰难的方式）了解了 会话 0 隔离（即应用程序将运行，但其 UI 元素不显示）。当我使用登录用户运行它时，即使它运行提升，用户仍然可以通过任务管理器将其关闭（不需要提升）。

有没有办法让 LocalSystem 中的进程访问 UI？我有一个 winlogon 和一个来自 LocalSystem 的 csrss 进程在会话 1 中运行，所以我想它可以完成，我只是不知道如何完成。或者是否有一种更简单的方法来禁止用户通过任务管理器关闭自己的进程？我能想到的唯一的其他选择是创建一个额外的 Windows 服务，如果应用程序正在运行，它会持续轮询，如果有人杀死它，它会立即再次启动它 - 但这看起来非常笨拙（而且，我希望它在应用程序运行时保持死机状态）自行崩溃，以避免单个错误导致进程创建无限循环）。

Answer 1

取决于他们为什么不能关闭它。
自然的方法是创建一个服务，由高权限帐户启动，然后让桌面应用程序显示它正在做什么。

如果他们应该看到某些内容，但不要看到，因为他们没有运行服务监视器应用程序。 （并向服务人员确认消息），向他们发送一封电子邮件，向他们的老板发送一封电子邮件，向自己发送一封电子邮件，然后对他们大喊大叫……

这比尝试重新打开这罐罐头的盖子要容易得多蠕虫。

确保桌面应用程序正在运行的一个好方法是简单地安排它运行每个 X，但如果它已经运行或设置了一些非常错误的 flkag，则立即退出。

不值得编写一个服务来检查它是否仍然存在，因为他们也可以杀死它，除非你想让它成为他们无法杀死的服务。 :(

你试图对此过于严厉。添加某种审计，这样你就可以看到它死掉或被关闭，监视它并处理任何不利的报告。这要容易得多，并且给管理人员一些事情可做...

Answer 2

您可以在用户的​​登录会话中运行管理进程。一种方法是让主进程（系统服务）复制自己的令牌，使用 SetTokenInformation 更改与令牌关联的会话，然后调用 CreateProcessAsUser。 lpStartupInfo 参数可用于将进程与特定的窗口站和桌面关联起来。可能需要首先显式更改窗口站和桌面上的权限。

然而，从安全角度来看，这是一个坏主意，因为 GUI 应用程序很容易受到同一桌面上其他进程发送的恶意消息的影响（“粉碎攻击”）。

在用户自己的上下文中运行该进程但对其应用 ACL 会更安全。这可以使用 CreateProcess 或 CreateProcessAsUser 的 lpProcessAttributes 参数或使用 SetSecurityInfo 函数来完成。我从未尝试过此操作，但理论上它应该阻止用户使用任务管理器关闭进程。

如果您从用户的上下文中创建进程，则该用户将是所有者，因此知识足够丰富的人员可以更改回权限以终止该进程。如果您需要阻止此漏洞，则从特权主进程（可以从用户会话中的现有进程之一复制令牌）使用 CreateProcessAsUser 应该（同样，理论上）意味着该用户不是进程所有者。

另一个潜在的问题：如果您侦听表明用户正在注销（以便退出）的消息，则此类消息可能是伪造的。如果不这样做，那么您需要在用户注销时找到其他退出方式。您可能需要在这里进行实验，我不确定系统会如何反应。