我想向 Windows 服务的安全描述符添加一个新的 DACL 条目过程.sc sdset
允许设置服务上执行启动/停止/暂停等操作的权限,但我想设置进程本身的权限(创建线程、终止、复制句柄等)。
我如何才能通过命令行实现永久效果?
为了玩一玩,我可以使用 ProcessExplorer,但它的效果只持续到服务重新启动,并且它没有脚本。
我还可以修改服务内部的安全描述符(使用SetSecurityInfo
winapi)。但我认为这是在服务注册时设置的“静态”配置,而不是在服务运行时设置的“动态”配置。
有任何想法吗?
答案1
我不知道有什么方法可以告诉 Windows,您希望您的服务进程或任何其他进程始终被赋予非标准安全描述符。此功能没有明显的合理用途,而且 Microsoft 通常会尽量避免添加无用的功能。
也许您遇到了一些极端情况(尽管我无法想象它可能是什么)但如果是这样,您将需要在初始化期间从进程本身对进程安全描述符进行必要的更改。