Моя история заключается в том, что я разрабатываю новое приложение, которое должно взаимодействовать с сервисом Windows. После долгих исследований я пришел к выводу, что Named Pipes являются рекомендуемым методом (Как отправить строку из одного экземпляра моей программы Delphi другому?) кажется, что я не могу использовать SendMessage или Named Pipes в Win7 из-за проблем с безопасностью... сообщения никогда не попадают за пределы службы в приложение.
Я использую компоненты Russell Libby с именем Pipe, которые работают без сучка и затыкания между обычными настольными приложениями, но служба Windows, похоже, бросает ключ в решение. Дальнейшие исследования говорят мне, что может быть возможно открыть защиту с обеих сторон, чтобы они могли общаться, однако мой уровень знаний на этом минимален в лучшем случае, и я не смог сделать головы или хвосты возможных вызовов API.
Основываясь на компоненте Delphi pipe.pas, что нужно сделать, чтобы открыть этого ребенка, чтобы обе стороны могли начать говорить? Я уверен, что следующие две функции из файла pipe.pas идентифицируют атрибуты безопасности, может ли кто-нибудь помочь мне здесь?
Спасибо!
procedure InitializeSecurity(var SA: TSecurityAttributes);
var
sd: PSecurityDescriptor;
begin
// Allocate memory for the security descriptor
sd := AllocMem(SECURITY_DESCRIPTOR_MIN_LENGTH);
// Initialize the new security descriptor
if InitializeSecurityDescriptor(sd, SECURITY_DESCRIPTOR_REVISION) then
begin
// Add a NULL descriptor ACL to the security descriptor
if SetSecurityDescriptorDacl(sd, True, nil, False) then
begin
// Set up the security attributes structure
SA.nLength := SizeOf(TSecurityAttributes);
SA.lpSecurityDescriptor := sd;
SA.bInheritHandle := True;
end
else
// Failed to init the sec descriptor
RaiseWindowsError;
end
else
// Failed to init the sec descriptor
RaiseWindowsError;
end;
procedure FinalizeSecurity(var SA: TSecurityAttributes);
begin
// Release memory that was assigned to security descriptor
if Assigned(SA.lpSecurityDescriptor) then
begin
// Reource protection
try
// Free memory
FreeMem(SA.lpSecurityDescriptor);
finally
// Clear pointer
SA.lpSecurityDescriptor := nil;
end;
end;
end;
Windows Vista, Seven и 2008 обеспечивают более безопасное использование именованных каналов, см., например, http://blogs.technet.com/b/nettracer/archive/2010/07/23/why-does-anonymous-pipe-access-fail-on-windows-vista-2008-windows-7-or-windows-2008-r2.aspx
Я попытался реализовать это:
function GetUserSid(var SID: PSID; var Token: THandle): boolean;
var TokenUserSize: DWORD;
TokenUserP: PSIDAndAttributes;
begin
result := false;
if not OpenThreadToken(GetCurrentThread, TOKEN_QUERY, True, Token) then
if (GetLastError <> ERROR_NO_TOKEN) or
not OpenProcessToken(GetCurrentProcess, TOKEN_QUERY, Token) then
Exit;
TokenUserP := nil;
TokenUserSize := 0;
try
if not GetTokenInformation(Token, TokenUser, nil, 0, TokenUserSize) and
(GetLastError <> ERROR_INSUFFICIENT_BUFFER) then
Exit;
TokenUserP := AllocMem(TokenUserSize);
if not GetTokenInformation(Token, TokenUser, TokenUserP,
TokenUserSize, TokenUserSize) then
Exit;
SID := TokenUserP^.Sid;
result := true;
finally
FreeMem(TokenUserP);
end;
end;
function ConvertSidToStringSidA(aSID: PSID; var aStr: PAnsiChar): BOOL; stdcall; external advapi32;
function ConvertStringSecurityDescriptorToSecurityDescriptorA(
StringSecurityDescriptor: PAnsiChar; StringSDRevision: DWORD;
SecurityDescriptor: pointer; SecurityDescriptorSize: Pointer): BOOL; stdcall; external advapi32;
const
SDDL_REVISION_1 = 1;
procedure InitializeSecurity(var SA: TSecurityAttributes; var SD; Client: boolean);
var OK: boolean;
Token: THandle;
pSidOwner: PSID;
pSid: PAnsiChar;
SACL: AnsiString;
begin
fillchar(SD,SECURITY_DESCRIPTOR_MIN_LENGTH,0);
// Initialize the new security descriptor
OK := false;
if InitializeSecurityDescriptor(@SD, SECURITY_DESCRIPTOR_REVISION) then begin
if Client or (OSVersionInfo.dwMajorVersion<6) then
// before Vista: add a NULL descriptor ACL to the security descriptor
OK := SetSecurityDescriptorDacl(@SD, true, nil, false)
else begin
// since Vista: need to specify special ACL
if GetUserSid(pSidOwner,Token) then
try
if ConvertSidToStringSidA(pSidOwner,pSid) then
try
SACL := 'D:(A;;GA;;;'+pSID+')(A;;GWGR;;;AN)(A;;GWGR;;;WD)S:(ML;;NW;;;S-1-16-0)';
OK := ConvertStringSecurityDescriptorToSecurityDescriptorA(
pointer(SACL),SDDL_REVISION_1,@SD,nil);
finally
LocalFree(PtrUInt(pSid));
end;
finally
FreeSid(pSidOwner);
CloseHandle(Token);
end;
end;
end;
if OK then begin
// Set up the security attributes structure
SA.nLength := sizeof(TSecurityAttributes);
SA.bInheritHandle := true;
SA.lpSecurityDescriptor := @SD;
end else
fillchar(SA,sizeof(SA),0); // mark error: no security
end;
Кажется, что он работает на стороне сервера (т.е. атрибуты безопасности создаются, как ожидалось), и вам придется писать код на стороне клиента, не забывая добавлять имя канала в SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\NullSessionPipes, как и ожидалось.
Когда мы перенесли наш продукт с Win 2K на Win7, мы запустили работу Named Pipes. После 2 недель общения с MS (и $275) мы обнаружили, что это вызвано настройками файла "Использовать общие папки". Отмена этой функции позволила нам продолжить работу с каналами.
Кажется, я помню, что RemObjects имеет именованный канал клиент/серверный элемент управления в своем пакете. Если вы не используете бюджет, я настоятельно рекомендую вам посмотреть на готовые компоненты для таких вещей. Это требует много времени и хитрости, чтобы получить право.
В качестве альтернативы, Justin Smyth имеет статью о именованных каналах прямо сейчас. Посмотрите его блог на эту тему здесь: http://smythconsulting.blogspot.com/2011/07/smartmediaplayer-pipes-part4.html
Удачи!
У меня была такая же проблема, и я просто решил ее. Для меня причина, по которой это не сработало, состояла в том, что реализация Russels TPipe имела проверку идентификатора потоков непосредственно перед созданием трубы: if not(Sync.SyncBaseTID = FNotifyThread) then..
Оказалось, что я создал TPipeServer в неправильном месте в моем сервисе. (Я переопределил DoStart и т.д. Вместо использования события OnStart... не делайте этого!)
Я создаю экземпляр TPipeServer в том же потоке, который я позже активирую.