人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

windowsのローカルPCの権限について質問です。

現在、ActiveDirectoryで複数クライアントPCを管理しており、クライアントPCのローカル権限は
「制限付きユーザー」です。
ソフトウェアをインストールする際は、そのPCのユーザーにActiveDirectoryで「Domain user」を追加し、一時的に管理者権限を与えてソフトウェアをインストールしてます。

ちなみにソフトウェアはwiresharkというパケット監視ソフトですが、通常「制限付きユーザー」では
自分のinterfaceを監視できないはずです。
network configuration userにすれば、可能だとは思いますが・・・

ですが、実際に権限を戻して、「制限つきユーザー」でwiresharkを起動すると、自分のインターフェースが見えてしまいます。
この原因を知りたいです。

同じユーザーの権限を管理者にしてインストールしたソフトは権限を戻しても使えてしまうのでしょうか?

ちょっと・・言ってることがおかしかったらすいません。

●質問者: masa
●カテゴリ:コンピュータ インターネット
✍キーワード:Interface network pc USER Windows
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● Johnny Shaman
●60ポイント

ここで指す、自分のインターフェースというのは、IPconfigとかで取得出来る程度の情報でしょうか?

だとすれば、結果取得は可能なはずです。

その程度は権限が無いと、自分のPCのIPアドレスすら知り得無いと思います。

う?ん まぁ、 つまり、自分のPCのIPアドレスとMACアドレス位は、知ることだけなら出来ると思いますが…?


それとも、パケットの逐一が監視出来てしまうというのであれば、そのソフトウェアがセキュリティ権限を飛び越えているとしか思えません。

Windows自身も、脆弱性の塊なわけでして、おまけにパケット監視ソフトは、ハッキングなどでも使われるような常道ツール。

むしろ、そのくらいの権限、破って当たり前のような顔をする可能性のあるソフトウェアだと思えます。


もし、コメントなどで詳細教えていただければ、もう少しよく分かるかもしれません。


◎質問者からの返答

>IPconfigとかで取得出来る程度の情報でしょうか?

たしかにその程度の情報です。

>コメントなどで詳細教えていただければ、もう少しよく分かるかもしれません

ありがとうございます!解決しました。

下記の方がお答え頂いた内容で解決できました。


2 ● JULY
●100ポイント ベストアンサー

何気なく、手元の PC の制限付きユーザで Wireshark を実行すると、確かにキャプチャできました。

で、変だなぁと思って調べたら、どうやら Wireshark が使う WinPcap 側の問題のようです。

CaptureSetup/CapturePrivileges - The Wireshark Wiki

英語ですが、上記の Windows の章の最初に下記のように書かれています。

The WinPcap driver (called NPF) is loaded by Wireshark when it starts to capture live data. This requires administrator privileges. Once the driver is loaded, every local user can capture from it until it's stopped again.

要約すると、Wireshark がロードする WinPcap ドライバはアドミニストレータ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる、ということになります。

WinPcap のドライバがロードされているかどうかは、その 20 行ほど下の「From the Device Manager」のところで、

you can select View->Show hidden devices, then open Non-Plug and Play Drivers and right click on NetGroup Packet Filter Driver.

と書かれています。デバイスマネージャを開いいて、メニューから「表示」?「非表示デバイスの表示」を選択し、「プラグアンドプレイではないドライバ」の下に「NetGroup Packet Filter Driver」というのがあるはずです。これのプロパティを見ると、WinPcap のドライバが動作しているかどうかが確認出きます。

もともと、Wireshark のインストール時に、NPF サービスを起動させるか、という選択肢があり、これを起動するようにすれば、管理者権限を持たずにキャプチャする事が出きます。このサービスが WinPcap のドライバをロードするのでしょう。

ただ、私の手元ではこのサービスは起動はおろか、登録もしていません。なので、今のところ、「だれが WinPcap ドライバをロードしたか」は不明です。なんとなく、VMware Player 関連のサービスがトリガになっているような気がしますが、その他にもあるかもしれません。

ということで、

といったところが、現時点で分かっていることです。

なお、WinPcap の開発側もこの問題(一度ロードされてしまうと全てのローカルユーザがキャプチャ出来る現象)は認識していて、将来的には直すつもりはあるようです。

WinPcap Frequently Asked Questions

◎質問者からの返答

大変詳しい説明ありがとうございます!

>WinPcap ドライバはアドミニストレタ権限が必要だが、一度ロードされてしまえば全てのローカルユーザがキャプチャできる

なるほど、そういう事だったんですね。

WinPcap のドライバがたしかにロードされてました。

実際にwiresharkをアンインストール後、再度インストールした際に

WinPcapを入れるかどうかと、NPF サービスを起動させるかどうかの選択肢が

あったんですが・・

これ・・入れた覚えはないんですよね。

再インストール後は無事に制限付きユーザーでは監視できないようになりました。

>VMware Player 関連のサービスがトリガになっている

今導入しているソフトウェアをもう一度見直して見ます。

ありがとうございました!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ