성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Reordering on an Alpha processor ;...
[정성태] 공유 감사합니다. ^^ 참고로, WPF에서 WindowsF...
[Tom Lee] 답변 감사합니다. 나름의 해결책 연구해보고 여기에도 공유해봅니다...
[정성태] 아래의 글을 보면, MoveWindow 하면 될 듯한데요. ^^...
[Tom Lee] 안녕하세요 올려주신 글 참고하여 WPF 어플리케이션 안에 Uni...
[정성태] A graphical depiction of the steps ...
[정성태] 질문을 주셔서 출판사 측에 문의를 했습니다. 약 한 달 정도 후...
[Thorondor
] @정성태 개인 블로그인데도 거의 커뮤니티 급 인 것 같아요. 요...
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>UAC - 관리자 권한 없이 UIPI 제약을 없애는 방법</h1> <p> UIPI(User Interface Privilege Isolation)는,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > What is User Interface Privilege Isolation (UIPI) on Vista ; <a target='tab' href='https://learn.microsoft.com/en-us/archive/blogs/vishalsi/what-is-user-interface-privilege-isolation-uipi-on-vista'>https://learn.microsoft.com/en-us/archive/blogs/vishalsi/what-is-user-interface-privilege-isolation-uipi-on-vista</a> 보안 데스크톱에서 활성화되지 않은 UAC 창이 안전할까? ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/441#uipi'>https://www.sysnet.pe.kr/2/0/441#uipi</a> </pre> <br /> 쉽게 말해서, 낮은 권한의(관리자 권한이 없는) 프로그램에서 높은 권한의(관리자 권한으로 승격된) 프로그램 UI를 제어할 수 없게 만드는 역할을 합니다. 보안상 타당한 이유입니다. 이것에 대한 좋은 사례로 이전에 소개한,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > (WACOM도 지원하는) Tablet 공통 디바이스 드라이버 - OpenTabletDriver ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12632'>https://www.sysnet.pe.kr/2/0/12632</a> </pre> <br /> OpenTabletDriver 프로그램이 (일반 권한으로) 실행됐을 때, "관리자 권한"의 프로그램에 입력 포커스가 갔을 때 태블릿 입력이 안 되는 문제가 발생합니다. 이런 제약을 벗어나려면 OpenTabletDriver 프로그램도 "관리자 권한"으로 실행하면 됩니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 하지만, 이렇게 관리자 권한을 취득하는 것이 바람직하지는 않습니다. 실제로 마이크로소프트 역시 UIPI로 인한 제약을 벗어나기 위한 방법으로 관리자 권한 이외의 해결책을 gpedit.msc를 이용해 제시하고 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > User Account Control: Only elevate UIAccess applications that are installed in secure locations ; <a target='tab' href='https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations'>https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations</a> </pre> <br /> 기본적으로 "User Account Control: Only elevate UIAccess applications that are installed in secure locations" 옵션이 "Enabled"이기 때문에 저 방식을 따르면 UIPI 제약을 벗어날 수 있는데요.<br /> <br /> 이를 위해 우선 해당 응용 프로그램이 "manifest" 파일을 갖도록 설정해야 합니다. 이에 대해서는 전에 설명한 적이 있는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 비주얼 스튜디오에서 관리자 권한을 요구하는 C# 콘솔 프로그램 제작 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/11318'>https://www.sysnet.pe.kr/2/0/11318</a> </pre> <br /> 위의 글에 따라 "Application Manifest File"을 추가한 다음 uiAccess 값만 true로 바꿉니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <?xml version="1.0" encoding="utf-8"?> <assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1"> <assemblyIdentity version="1.0.0.0" name="MyApplication.app"/> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2"> <security> <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3"> <requestedExecutionLevel level="asInvoker" <span style='color: blue; font-weight: bold'>uiAccess="true"</span> /> </requestedPrivileges> </security> </trustInfo> <compatibility xmlns="urn:schemas-microsoft-com:compatibility.v1"> <application> </application> </compatibility> </assembly> </pre> <br /> 저렇게 설정하고 빌드하면 이제 exe 파일을 실행할 때마다 다음과 같은 오류가 발생합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > A referral was returned from the server. Access is denied. </pre> <br /> 왜냐하면 UIPI 제약을 벗어나겠다고 명시했으면서 정작 필요한 자격을 갖추지 않았기 때문에 "Access is denied"가 발생하는 것입니다. 바로 그 자격이란 인증서로 서명해 주는 것입니다. 이를 위해 다음의 글에 설명했던 방법에 따라 코드 서명 용 인증서를 생성하고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > PowerShell - New-SelfSignedCertificate를 사용해 CA 인증서 생성 및 인증서 서명 방법 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/12588'>https://www.sysnet.pe.kr/2/0/12588</a> </pre> <br /> 다음과 같이 <a target='tab' href='https://www.sysnet.pe.kr/2/0/10875'>signtool.exe</a>를 이용해 서명을 하면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > signtool sign /fd SHA256 /v /sm /n "CASigned" [...].exe </pre> <br /> 이후 실행해도 오류가 발생하지 않습니다. 하지만, 오류만 발생하지 않을 뿐 여전히 UIPI 제약을 벗어난 것은 아닙니다. 마지막 단계가 아직 남아 있기 때문인데요, 바로 해당 EXE 파일을 윈도우 시스템이 정한 디렉터리 하위에 위치를 시켜야 한다는 점입니다.<br /> <br /> <ul> <li>\Program Files\ including subdirectories</li> <li>\Windows\system32\</li> <li>\Program Files (x86)\ including subdirectories for 64-bit versions of Windows</li> </ul> <br /> 가령 "C:\Program Files\Test"라는 디렉터리를 만들고 여러분의 EXE 파일을 복사해 넣으면 이제부터 해당 프로그램은 "일반 권한"으로 실행돼도 "관리자 권한"의 프로그램과 UI 상호작용을 할 수 있습니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 유의할 점이 있다면, 위에서도 언급했지만 이 기능은 사용자가 "Computer Configuration" / "Windows Settings" / "Security Settings" / "Local Policies" / "Security Options"에 설정한 "User Account Control: Only elevate UIAccess applications that are installed in secure locations" 옵션을 활성화시켰기 때문에 가능한 것입니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='uiaccess_enable_without_admin_rights_1.png' src='/SysWebRes/bbs/uiaccess_enable_without_admin_rights_1.png' /><br /> <br /> 따라서 만약 저 옵션을 "Disabled"로 바꾼다면 남은 해답은 오직 "관리자 권한"으로 실행하는 것뿐입니다.<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
7036
(왼쪽의 숫자를 입력해야 합니다.)