Welcher User Ist Aktiv? vor der Anmeldung
#1
geschrieben 25. Mai 2005 - 09:47
der Titel/Betreff klingt sicherlich etwas seltsam ..., aber
wenn ich Windows, ich spreche mal nur von XP oder 2K, im Bootmanager auswähle, kommt man, wenn alles klar geht, bis zum Anmeldebildschirm eines Users.
Welchen Status hat denn dieses Windows zu diesem Zeitpunkt oder welcher "User" ist zu diesem Zeitpunkt aktiv?
Diese Frage klingt vielleicht etwas philosophisch, hat aber auch einen handfesten Hintergrund:
Ich gehe ins Internet über eine Router mit DSL. Der Router wird jedesmal mit dem PC ein- oder ausgeschaltet. Die I-Verbindung wird automatisch mit dem Anschalten des Routers aktiviert.
Nun interessiert mich natürlich, wie "gefährdet bzw. offen" ist mein Rechner, bzw. das entsprechende BSystem zu dem besagten Zeitpunkt,
also vor dem Zeitpunkt einer expliziten Useranmeldung
Ich hoffe es ist klar geworden ...
Anzeige
#2
geschrieben 25. Mai 2005 - 10:04
#3
geschrieben 25. Mai 2005 - 10:09
#4
geschrieben 25. Mai 2005 - 12:36
Zitat
So etwas habe ich vermutet, daß evtl. ein solcher User per default angemeldet sein könnte.
Zitat
und Treiber. Das ist mir soweit schon klar.
Zitat
Klingt plausibel. Aber wie kann ich das überprüfen, wenn ich noch gar nicht angelogged bin. Wie könnte denn so eine Einstellung am Router lauten?
#5
geschrieben 25. Mai 2005 - 12:56
#6
geschrieben 25. Mai 2005 - 13:49
Zitat
Wie sagt man bei uns: Geld und Angst hab' ich noch nie gehabt.
Ich hab' auch nach ungefähr 10 Jahren I-Net mir vor längerer Ziet mal n paar Viren eingeheimst. Damals waren halt die Programme noch nicht so gut..
Sonst hab' ich jeden Angriff von außen (falls überhaupt einer stattgefunden hat)
gut überstanden.
Warum ich hier ein wenig nachfrage liegt halt daran, daß ich einige Dinge ben genau wissen will.
#7 _PelzigesWaldtier_
geschrieben 26. Mai 2005 - 22:50
ich gehe ganz stark davon aus, dass es der Benutzer SYSTEM ist. Nach ein wenig googlen habe ich folgende Mail gefunden:
Zitat
screen (logonui.exe in your \winnt\system32\ folder) runs as the
'system' user. This process gets started whenever the user logon
screen gets shown, this is either after booting up Windows XP or
when switching users.
Windows XP 'logon screen' runs as system account
http://cert.uni-stuttgart.de/archive/vuln-...2/msg00239.html
Gruesse,
PelzigesWaldtier
#8
geschrieben 27. Mai 2005 - 07:26
Zitat (PelzigesWaldtier: 26.05.2005, 23:50)
ich gehe ganz stark davon aus, dass es der Benutzer SYSTEM ist. Nach ein wenig googlen habe ich folgende Mail gefunden:
Windows XP 'logon screen' runs as system account
http://cert.uni-stuttgart.de/archive/vuln-...2/msg00239.html
Gruesse,
PelzigesWaldtier
<{POST_SNAPBACK}>
wow --- interessant. Hab' ich so noch nie gelesen.
Werd' versuchen, das mal ein wenig weiterzuverfolgen.
In diesem Zusammenhang muß ich noch herausbekommen welche Rechte der Benutzer SYSTEM hat.
Ich würde mal sagen, sie sind noch umfangreicher wie die des Administrators.
#9
geschrieben 27. Mai 2005 - 09:09
kannst du ja machen, wenn du nicht möchtest das div. programme von SYSTEM gestartet werden.
#10
geschrieben 27. Mai 2005 - 09:20
Zitat (WinlinMax: 27.05.2005, 10:09)
kannst du ja machen, wenn du nicht möchtest das div. programme von SYSTEM gestartet werden.
<{POST_SNAPBACK}>
Benutzer SYSTEM Rechte entziehen halte ich schon für etwas "gefährlich" weil man die Auswirkungen wohl nicht vollständig beurteilen kann.
#11
geschrieben 27. Mai 2005 - 09:24
#12
geschrieben 27. Mai 2005 - 14:25
Zitat
SYSTEM, NETWORK SERVICE und LOCAL SERVICE, wobei sich das auch unterscheiden kann, je nach dem was für Dienste laufen. Lässt man z.B. einen Dienst sich als Administrator anmelden, so wäre vor dem User Logon auch der User Administrator aktiv. Wenn ich das mal bei mir teste, so laufen vor der Useranmeldung folgende Processe:
PID Name User ================================================ 0 System Idle Process SYSTEM 4 System SYSTEM 888 smss.exe SYSTEM 1272 csrss.exe SYSTEM 1296 winlogon.exe SYSTEM 1340 services.exe SYSTEM 1352 lsass.exe SYSTEM 1504 svchost.exe SYSTEM 1564 svchost.exe NETWORK SERVICE 1904 svchost.exe SYSTEM 1968 svchost.exe NETWORK SERVICE 2012 svchost.exe LOCAL SERVICE 856 spoolsv.exe SYSTEM 1676 userinit.exe SYSTEM 1696 wscript.exe SYSTEM 2892 wmiprvse.exe NETWORK SERVICE
(Die letzten Beiden sind sonst nicht vorhanden, wurden aber für den Script kurzzeitig gebraucht)
Zitat
Solange kein angreifbarer Process läuft, ist das System genauso "gefährdet" wie sonst auch. Nagut, wenn ein Benutzer angemelded ist, ist das System erfahrungsgemäß gefährdeter, da man nie so genau weiss, was der Benutzer so alles macht
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#13
geschrieben 28. Mai 2005 - 05:56
danke für alle Antworten.
Noch eine Frage an DK2000:
wie(mit welchem Tool) hast Du denn die Prozessliste "vor dem Userlogon" bei Dir erstellt?
#14
geschrieben 29. Mai 2005 - 02:37
Zitat
Unter Windows Xp Pro kann man sowas mit einem VBScript machen, den man als System Startup Script (über gpedit.msc eingebunden) starten lässt:
strComputer = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\cimv2") Set colProcesses = objWMIService.ExecQuery("select * from win32_process") Set objFS = CreateObject("Scripting.FileSystemObject") Set objOutputfile = objFS.CreateTextFile("c:\process.txt", True) objOutputfile.WriteLine "PID" & VbTab & "Name" & VbTab & VbTab & "User" objOutputfile.WriteLine "=====================================" _ & "===========" WScript.Sleep 30000 For Each objProcess in colProcesses If objProcess.GetOwner ( User ) = 0 Then objOutputfile.WriteLine objProcess.ProcessID & VbTab _ & objProcess.Caption & VbTab & VbTab & User Else objOutputfile.WriteLine "Problem " & Rtn & _ " getting the owner for process " _ & objProcess.Caption End If Next objOutputfile.Close
Man muss natürlich beim Login Screen eine Weile warten, bis auch wirklich alle Dienste gestartet sind. Der Script verzögert die Ausgabe um 30sek. Die Zeit reicht bei mir massig. Das Ergebnis wird in c:\process.txt gespeichert.
Das ganze kann man sicherlich auch schöner gestalten, erfüllt aber auch so vollkommen seinen Zweck.
Dieser Beitrag wurde von DK2000 bearbeitet: 29. Mai 2005 - 17:20
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#15
geschrieben 29. Mai 2005 - 16:43
- ← Winxp: Läd Nichtmehr ?
- Windows XP & Windows Media Center Edition
- Gleiches Problem Nach Neuinstall Von Xp? →