windowsのローカルPCの権限について質問です。


現在、ActiveDirectoryで複数クライアントPCを管理しており、クライアントPCのローカル権限は
「制限付きユーザー」です。
ソフトウェアをインストールする際は、そのPCのユーザーにActiveDirectoryで「Domain user」を追加し、一時的に管理者権限を与えてソフトウェアをインストールしてます。

ちなみにソフトウェアはwiresharkというパケット監視ソフトですが、通常「制限付きユーザー」では
自分のinterfaceを監視できないはずです。
network configuration userにすれば、可能だとは思いますが・・・

ですが、実際に権限を戻して、「制限つきユーザー」でwiresharkを起動すると、自分のインターフェースが見えてしまいます。
この原因を知りたいです。

同じユーザーの権限を管理者にしてインストールしたソフトは権限を戻しても使えてしまうのでしょうか?

ちょっと・・言ってることがおかしかったらすいません。

回答の条件
  • 1人2回まで
  • 登録:2010/01/27 14:32:42
  • 終了:2010/01/29 12:06:33

ベストアンサー

id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472010/01/28 12:11:12

ポイント100pt

何気なく、手元の PC の制限付きユーザで Wireshark を実行すると、確かにキャプチャできました。

で、変だなぁと思って調べたら、どうやら Wireshark が使う WinPcap 側の問題のようです。

CaptureSetup/CapturePrivileges - The Wireshark Wiki

英語ですが、上記の Windows の章の最初に下記のように書かれています。

The WinPcap driver (called NPF) is loaded by Wireshark when it starts to capture live data. This requires administrator privileges. Once the driver is loaded, every local user can capture from it until it's stopped again.

要約すると、Wireshark がロードする WinPcap ドライバはアドミニストレータ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる、ということになります。

WinPcap のドライバがロードされているかどうかは、その 20 行ほど下の「From the Device Manager」のところで、

you can select View->Show hidden devices, then open Non-Plug and Play Drivers and right click on NetGroup Packet Filter Driver.

と書かれています。デバイスマネージャを開いいて、メニューから「表示」-「非表示デバイスの表示」を選択し、「プラグアンドプレイではないドライバ」の下に「NetGroup Packet Filter Driver」というのがあるはずです。これのプロパティを見ると、WinPcap のドライバが動作しているかどうかが確認出きます。

もともと、Wireshark のインストール時に、NPF サービスを起動させるか、という選択肢があり、これを起動するようにすれば、管理者権限を持たずにキャプチャする事が出きます。このサービスが WinPcap のドライバをロードするのでしょう。

ただ、私の手元ではこのサービスは起動はおろか、登録もしていません。なので、今のところ、「だれが WinPcap ドライバをロードしたか」は不明です。なんとなく、VMware Player 関連のサービスがトリガになっているような気がしますが、その他にもあるかもしれません。

ということで、

  • 制限付きユーザが Wireshark でキャプチャ出来る現象自体は、WinPcap ドライバがロードされているせい。
  • WinPcap ドライバのロードには管理者権限が必要。
  • 本来は Wireshark が起動しないとロードされないハズだが、他の誰かがロードしているかもしれない。

といったところが、現時点で分かっていることです。

なお、WinPcap の開発側もこの問題(一度ロードされてしまうと全てのローカルユーザがキャプチャ出来る現象)は認識していて、将来的には直すつもりはあるようです。

WinPcap Frequently Asked Questions

id:sifty77

大変詳しい説明ありがとうございます!

>WinPcap ドライバはアドミニストレタ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる

なるほど、そういう事だったんですね。

WinPcap のドライバがたしかにロードされてました。

実際にwiresharkをアンインストール後、再度インストールした際に

WinPcapを入れるかどうかと、NPF サービスを起動させるかどうかの選択肢が

あったんですが・・

これ・・入れた覚えはないんですよね。

再インストール後は無事に制限付きユーザーでは監視できないようになりました。

>VMware Player 関連のサービスがトリガになっている

今導入しているソフトウェアをもう一度見直して見ます。

ありがとうございました!

2010/01/29 10:47:24

その他の回答(1件)

id:johnny_shaman No.1

Johnny Shaman回答回数33ベストアンサー獲得回数12010/01/27 21:47:46

ポイント60pt

 ここで指す、自分のインターフェースというのは、IPconfigとかで取得出来る程度の情報でしょうか?

 だとすれば、結果取得は可能なはずです。

 その程度は権限が無いと、自分のPCのIPアドレスすら知り得無いと思います。

 う~ん まぁ、 つまり、自分のPCのIPアドレスとMACアドレス位は、知ることだけなら出来ると思いますが…?


 それとも、パケットの逐一が監視出来てしまうというのであれば、そのソフトウェアがセキュリティ権限を飛び越えているとしか思えません。

 Windows自身も、脆弱性の塊なわけでして、おまけにパケット監視ソフトは、ハッキングなどでも使われるような常道ツール。

 むしろ、そのくらいの権限、破って当たり前のような顔をする可能性のあるソフトウェアだと思えます。


 もし、コメントなどで詳細教えていただければ、もう少しよく分かるかもしれません。


 

id:sifty77

>IPconfigとかで取得出来る程度の情報でしょうか?

たしかにその程度の情報です。

>コメントなどで詳細教えていただければ、もう少しよく分かるかもしれません

ありがとうございます!解決しました。

下記の方がお答え頂いた内容で解決できました。

2010/01/29 10:34:15
id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472010/01/28 12:11:12ここでベストアンサー

ポイント100pt

何気なく、手元の PC の制限付きユーザで Wireshark を実行すると、確かにキャプチャできました。

で、変だなぁと思って調べたら、どうやら Wireshark が使う WinPcap 側の問題のようです。

CaptureSetup/CapturePrivileges - The Wireshark Wiki

英語ですが、上記の Windows の章の最初に下記のように書かれています。

The WinPcap driver (called NPF) is loaded by Wireshark when it starts to capture live data. This requires administrator privileges. Once the driver is loaded, every local user can capture from it until it's stopped again.

要約すると、Wireshark がロードする WinPcap ドライバはアドミニストレータ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる、ということになります。

WinPcap のドライバがロードされているかどうかは、その 20 行ほど下の「From the Device Manager」のところで、

you can select View->Show hidden devices, then open Non-Plug and Play Drivers and right click on NetGroup Packet Filter Driver.

と書かれています。デバイスマネージャを開いいて、メニューから「表示」-「非表示デバイスの表示」を選択し、「プラグアンドプレイではないドライバ」の下に「NetGroup Packet Filter Driver」というのがあるはずです。これのプロパティを見ると、WinPcap のドライバが動作しているかどうかが確認出きます。

もともと、Wireshark のインストール時に、NPF サービスを起動させるか、という選択肢があり、これを起動するようにすれば、管理者権限を持たずにキャプチャする事が出きます。このサービスが WinPcap のドライバをロードするのでしょう。

ただ、私の手元ではこのサービスは起動はおろか、登録もしていません。なので、今のところ、「だれが WinPcap ドライバをロードしたか」は不明です。なんとなく、VMware Player 関連のサービスがトリガになっているような気がしますが、その他にもあるかもしれません。

ということで、

  • 制限付きユーザが Wireshark でキャプチャ出来る現象自体は、WinPcap ドライバがロードされているせい。
  • WinPcap ドライバのロードには管理者権限が必要。
  • 本来は Wireshark が起動しないとロードされないハズだが、他の誰かがロードしているかもしれない。

といったところが、現時点で分かっていることです。

なお、WinPcap の開発側もこの問題(一度ロードされてしまうと全てのローカルユーザがキャプチャ出来る現象)は認識していて、将来的には直すつもりはあるようです。

WinPcap Frequently Asked Questions

id:sifty77

大変詳しい説明ありがとうございます!

>WinPcap ドライバはアドミニストレタ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる

なるほど、そういう事だったんですね。

WinPcap のドライバがたしかにロードされてました。

実際にwiresharkをアンインストール後、再度インストールした際に

WinPcapを入れるかどうかと、NPF サービスを起動させるかどうかの選択肢が

あったんですが・・

これ・・入れた覚えはないんですよね。

再インストール後は無事に制限付きユーザーでは監視できないようになりました。

>VMware Player 関連のサービスがトリガになっている

今導入しているソフトウェアをもう一度見直して見ます。

ありがとうございました!

2010/01/29 10:47:24
  • id:JULY
    その後、WinPcap もアンインストールして、Wireshark の 1.2.6 を入れてみたところ、インストール途中に出てくる「NPF サービスを起動するか?」というチェックボックスを外すと、WinPcap のドライバが勝手にロードされることは無くなりました。なので、VMware はシロです。

    まぁ、インストーラのデフォルトが NPF を起動することになっているのと、WinPcap のインストーラにバグがあって、残っている設定情報の判定に誤りがあったらしく、Ver 4.1 beta2 で修正されているので、その辺が関係していた可能性はあります。

    # http://www.winpcap.org/misc/changelog.htm の Ver4.1 beta2 のところに
    #「Fixed a bug in the installer causing a mis-detection of a previous WinPcap installation.」
    # とあります。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません