[-milon-]

Grüß Gott,

der Titel/Betreff klingt sicherlich etwas seltsam ..., aber

wenn ich Windows, ich spreche mal nur von XP oder 2K, im Bootmanager auswähle, kommt man, wenn alles klar geht, bis zum Anmeldebildschirm eines Users.

Welchen Status hat denn dieses Windows zu diesem Zeitpunkt oder welcher "User" ist zu diesem Zeitpunkt aktiv?

Diese Frage klingt vielleicht etwas philosophisch, hat aber auch einen handfesten Hintergrund:
Ich gehe ins Internet über eine Router mit DSL. Der Router wird jedesmal mit dem PC ein- oder ausgeschaltet. Die I-Verbindung wird automatisch mit dem Anschalten des Routers aktiviert.
Nun interessiert mich natürlich, wie "gefährdet bzw. offen" ist mein Rechner, bzw. das entsprechende BSystem zu dem besagten Zeitpunkt,
also vor dem Zeitpunkt einer expliziten Useranmeldung

Ich hoffe es ist klar geworden ...

[axx]

Die Frage habe ich mir auch schon gestellt, habe aber noch keine sichere Antwort gefunden. Meines Wissens ist kein User angemeldet, auch nicht SYSTEM. Es werden lediglich die Dienste gestartet. "Wie gefährdet bzw. offen" dein Rechner ist, hängt davon ab, welche Dienste angeboten werden und wie sie konfiguriert sind. Anwendungsprogramme können zu diesem Zeitpunkt nicht ausgeführt werden.

[Postal]

Kommt drauf an was Du aktiv hast. Wenn Du ne Remotdesktopverbindung aktiv hast und den Port im Router frei gibst für Deine IP dann kommt man auch aus dem NEtz auf Deinem Rechner drauf

[-milon-]

Grüß Gott,

Zitat

Meines Wissens ist kein User angemeldet, auch nicht SYSTEM.

So etwas habe ich vermutet, daß evtl. ein solcher User per default angemeldet sein könnte.

Zitat

Es werden lediglich die Dienste gestartet.

und Treiber. Das ist mir soweit schon klar.

Zitat

Wenn Du ne Remotdesktopverbindung aktiv hast und den Port im Router frei gibst für Deine IP dann kommt man auch aus dem NEtz auf Deinem Rechner drauf

Klingt plausibel. Aber wie kann ich das überprüfen, wenn ich noch gar nicht angelogged bin. Wie könnte denn so eine Einstellung am Router lauten?

[nesquik87]

Macht ihm doch keine Angst... Es ist kein User eingeloggt und hinter nem Router bist du so gut wie unverwundbar.

[-milon-]

Grüß Gott,

Zitat

Macht ihm doch keine Angst...

Wie sagt man bei uns: Geld und Angst hab' ich noch nie gehabt.
Ich hab' auch nach ungefähr 10 Jahren I-Net mir vor längerer Ziet mal n paar Viren eingeheimst. Damals waren halt die Programme noch nicht so gut..
Sonst hab' ich jeden Angriff von außen (falls überhaupt einer stattgefunden hat)
gut überstanden.

Warum ich hier ein wenig nachfrage liegt halt daran, daß ich einige Dinge ben genau wissen will.

[-milon-]

Grüß Gott,

Zitat (PelzigesWaldtier: 26.05.2005, 23:50)

Moin,

ich gehe ganz stark davon aus, dass es der Benutzer SYSTEM ist. Nach ein wenig googlen habe ich folgende Mail gefunden:
Windows XP 'logon screen' runs as system account
http://cert.uni-stuttgart.de/archive/vuln-...2/msg00239.html

Gruesse,
PelzigesWaldtier
<{POST_SNAPBACK}>

wow --- interessant. Hab' ich so noch nie gelesen.

Werd' versuchen, das mal ein wenig weiterzuverfolgen.

In diesem Zusammenhang muß ich noch herausbekommen welche Rechte der Benutzer SYSTEM hat.
Ich würde mal sagen, sie sind noch umfangreicher wie die des Administrators.

[WinlinMax]

system kannst du zum beispiel unter XP Pro die rechte entziehen, was das öffnen von ordnern, bzw. dateien angeht.
kannst du ja machen, wenn du nicht möchtest das div. programme von SYSTEM gestartet werden.

[-milon-]

Grüß Gott,

Zitat (WinlinMax: 27.05.2005, 10:09)

system kannst du zum beispiel unter XP Pro die rechte entziehen, was das öffnen von ordnern, bzw. dateien angeht.
kannst du ja machen, wenn du nicht möchtest das div. programme von SYSTEM gestartet werden.
<{POST_SNAPBACK}>

Benutzer SYSTEM Rechte entziehen halte ich schon für etwas "gefährlich" weil man die Auswirkungen wohl nicht vollständig beurteilen kann.

[WinlinMax]

ich bin davon ausgegangen, dass du weißt was du tust und diesen schritt nicht ohne wenigstens einen systemwiederherstellungspunkt anzulegen ausführst. außerdem muss man sich davor natürlich überlegen für welche ordner man das macht. ordner wie windows, system oder system32 würde ich in dieser hinsicht zum beispiel nicht beschränken

[DK2000]

Zitat

welcher "User" ist zu diesem Zeitpunkt aktiv?

SYSTEM, NETWORK SERVICE und LOCAL SERVICE, wobei sich das auch unterscheiden kann, je nach dem was für Dienste laufen. Lässt man z.B. einen Dienst sich als Administrator anmelden, so wäre vor dem User Logon auch der User Administrator aktiv. Wenn ich das mal bei mir teste, so laufen vor der Useranmeldung folgende Processe:

PID	Name 	 User
================================================
0       System Idle Process     SYSTEM
4       System                  SYSTEM
888     smss.exe                SYSTEM
1272    csrss.exe               SYSTEM
1296    winlogon.exe            SYSTEM
1340    services.exe            SYSTEM
1352    lsass.exe               SYSTEM
1504    svchost.exe             SYSTEM
1564    svchost.exe             NETWORK SERVICE
1904    svchost.exe             SYSTEM
1968    svchost.exe             NETWORK SERVICE
2012    svchost.exe             LOCAL SERVICE
856     spoolsv.exe             SYSTEM
1676    userinit.exe            SYSTEM
1696    wscript.exe             SYSTEM
2892    wmiprvse.exe            NETWORK SERVICE

(Die letzten Beiden sind sonst nicht vorhanden, wurden aber für den Script kurzzeitig gebraucht)

Zitat

Nun interessiert mich natürlich, wie "gefährdet bzw. offen" ist mein Rechner,

Solange kein angreifbarer Process läuft, ist das System genauso "gefährdet" wie sonst auch. Nagut, wenn ein Benutzer angemelded ist, ist das System erfahrungsgemäß gefährdeter, da man nie so genau weiss, was der Benutzer so alles macht

[-milon-]

Grüß Gott,

danke für alle Antworten.

Noch eine Frage an DK2000:
wie(mit welchem Tool) hast Du denn die Prozessliste "vor dem Userlogon" bei Dir erstellt?

[DK2000]

Zitat

wie(mit welchem Tool) hast Du denn die Prozessliste "vor dem Userlogon" bei Dir erstellt?

Unter Windows Xp Pro kann man sowas mit einem VBScript machen, den man als System Startup Script (über gpedit.msc eingebunden) starten lässt:

strComputer = "." 

Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" _
    & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery("select * from win32_process")
Set objFS = CreateObject("Scripting.FileSystemObject")
Set objOutputfile = objFS.CreateTextFile("c:\process.txt", True)

objOutputfile.WriteLine "PID" & VbTab & "Name" & VbTab & VbTab & "User"
objOutputfile.WriteLine "=====================================" _
    & "==========="

WScript.Sleep 30000

For Each objProcess in colProcesses
   
    If objProcess.GetOwner ( User ) = 0 Then
          objOutputfile.WriteLine objProcess.ProcessID & VbTab _
          & objProcess.Caption & VbTab & VbTab & User
    Else
          objOutputfile.WriteLine "Problem " & Rtn & _
              " getting the owner for process " _
              & objProcess.Caption
    End If
Next

objOutputfile.Close

Man muss natürlich beim Login Screen eine Weile warten, bis auch wirklich alle Dienste gestartet sind. Der Script verzögert die Ausgabe um 30sek. Die Zeit reicht bei mir massig. Das Ergebnis wird in c:\process.txt gespeichert.

Das ganze kann man sicherlich auch schöner gestalten, erfüllt aber auch so vollkommen seinen Zweck.

Dieser Beitrag wurde von DK2000 bearbeitet: 29. Mai 2005 - 17:20

[-milon-]

Grüß Gott,

danke DK2000.

Bin nicht ganz so fit in vbscript und hab's mal ausprobiert.

Bekomme folgenden Fehler:



Eine Idee?