У меня есть собственное приложение Windows, которое запускает другой процесс. Возможно ли от материнского процесса ограничить права ребенка? Я думаю по линии песочницы. Точные требования еще не закончены, но потенциально я хотел бы ограничить:Ограничение прав процесса
- Доступа к файловой системе
- Доступ к реестру
- доступ к подключенному оборудованию (веб-камере, принтеры и т.д.)
Я думаю, что я мог бы создать пользователя с определенными правами и начать процесс с использованием этого пользователя, но это не очень хорошее решение в этом случае, поскольку я могу потенциально в конечном итоге получить большое количество различных процессов каждый с их собственным набором необходимых прав доступа. Есть идеи?
Спасибо за подсказку! Песочница Chromium может быть не подходящей для этого проекта, но использование описанных ниже механизмов (ограниченный токен, объект задания, рабочий объект и уровни целостности) звучит очень многообещающе! –