元ネタ: No More「Adminでログイン」を呼びかけるMicrosoft (ITmedia)
Deskpot を使うと、「制限ユーザでログイン、一時的に管理者権限。」という態勢を、そこそこ簡単に構築できますが、リンク先の指摘にもある通り、DLL インジェクションによる攻撃を完璧に防ぐことができません。
deskpot.exe に DLL をもぐり込ませて、制限ユーザから管理者権限に不当昇格させることは、おそらく可能です。
Deskpot がマイナーなうちは比較的安全。
Deskpot で管理者ログオン (2006/02/21)
Deskpot/1.0.0 (2006/02/12)
ようやく正式版。
配布ページにも書いてありますが、betaからアップデートする場合は、こちらを参照。
配布ページにも書いてありますが、betaからアップデートする場合は、こちらを参照。
Deskpot のパスワードは暗号化されているけど (2005/11/30)
まずは元ネタ:
Google Talk のプロセスメモリ内にパスワードが平文のままだったという話。
http://www.adrianpv.com/projects/google-talk-cleartext-credentials-in-process-memory.txt
http://internet.watch.impress.co.jp/cda/news/2005/11/29/10010.html
Deskpot で別ユーザ用のデスクトップを作成すると、ログオン時にパスワード入力を求められます。
このパスワードはそのデスクトップが削除されるまで
プロセスメモリをダンプアウトしただけではパスワードはわからないけど、それ以上の強度はたぶん無いよ。
Google Talk のプロセスメモリ内にパスワードが平文のままだったという話。
http://www.adrianpv.com/projects/google-talk-cleartext-credentials-in-process-memory.txt
http://internet.watch.impress.co.jp/cda/news/2005/11/29/10010.html
Deskpot で別ユーザ用のデスクトップを作成すると、ログオン時にパスワード入力を求められます。
このパスワードはそのデスクトップが削除されるまで
deskpot.exe プロセスが保持しています。これは平文でなく Windows Crypt API で暗号化されているのですが、それでどこまで安全なのか、作者はよくわかっていません。プロセスメモリをダンプアウトしただけではパスワードはわからないけど、それ以上の強度はたぶん無いよ。
