[-milon-]

Grüß Gott,

wo kann ich denn feststellen, mit welchen Rechten ein Prozess läuft.
Dies hängt ja nicht unbedingt vom angemeldeten User ab ....

[Win-Fan]

Welcher Prozess zu welchem Dienst gehört findest du im jeweiligen Dienst unter "Algemein" im Feld "Pfad zur EXE-Datei". Und unter der Spalte "Anmelden als" in der Diensteverwaltung stehen die Kontotypen worauf sich nun die jeweiligen Berechtigungen beziehen lassen wie z.B "Lokales System"(=Vollzugriff).
Und um die Berechtigungen zuordnen zu können, hab ich nur das (siehe Anhang) gefunden.
Vieleicht hilft das ja "etwas" weiter. Sonst weis ich jetzt auch nix genaueres.
Ansonsten kann man ja auch unter "Anmelden" im jeweiligen Dienst, ein Konto zuweisen, was aber mehr zu Problemen führen kann, wenn man sich nicht wirklich sicher bei der Konfiguration ist, ist also wohl eher abzuraten.

Anhang, Quelle: Windows "Hilfe und Support"

Angehängte Datei(en)

•  Berechtigungen_fuer_Dienste.rtf (5,63K)
  Anzahl der Downloads: 122

Dieser Beitrag wurde von Win-Fan bearbeitet: 03. Oktober 2005 - 03:27

[-milon-]

Grüß Gott,

danke WinFan,
nein das meine ich nicht so ganz.

Ich möchte in einer session feststellen können, mit welchen Rechten der Prozess läuft.
Es gibt ja tools, mit denen ich einen Prozess mit geringeren Rechten starten kann als ich mich angemeldet habe.

Z.B. Ich bin als Administrator angemeldet, starte aber den Iexplorer mit den Rechten eines eingeschränkten Benutzers.
Das wie gesagt, möchte ich überprüfen.

[Rika]

Im Taskmanager in der Spalte "Benutzerkennung".

Zitat

Ich bin als Administrator angemeldet, starte aber den Iexplorer mit den Rechten eines eingeschränkten Benutzers.

Was soll das bringen?

[-milon-]

Grüß Gott,

das war ein Beispiel.

Ich wollte eigentlich nicht so sehr in's Detail gehen. Aber ok.

Ich möchte folgendes Programm verifizieren:
DropmyRights

[Rika]

Hm... in dem Artikel wird sogar der Code gezeigt, was ist denn da noch zu verifizieren?
Aber nochmals, der Ansatz selbst ist defekt, da das Messaging-API unter Windows keinerlei Sicherheitsmechanismen besitzt. Auch wenn der IE in einem eingeschränkten Kontext läuft, so kann ein Schadprogramm, das diesen Prozess kapert, problemlos ein Ctrl-Esc+u+cmd+Enter und weiteres absetzen.

[-milon-]

Grüß Gott,

Zitat (Rika: 04.10.2005, 00:09)

Hm... in dem Artikel wird sogar der Code gezeigt, was ist denn da noch zu verifizieren?
Aber nochmals, der Ansatz selbst ist defekt, da das Messaging-API unter Windows keinerlei Sicherheitsmechanismen besitzt. Auch wenn der IE in einem eingeschränkten Kontext läuft, so kann ein Schadprogramm, das diesen Prozess kapert, problemlos ein Ctrl-Esc+u+cmd+Enter und weiteres absetzen.

- zu verifizieren wäre für mich einfach - ob es funktioniert (wie beschrieben).

- ist der Ansatz Deines Erachtens grundsätzlich nok oder nur für dieses Beispiel mit dem IE. Gibt es keine vernünftige Möglichkeit, für die dieses Progrämmchen denn Sinn macht?

[Rika]

Grundsätzlich ist dieser Einsatz einfach nur potentiell defekt. Ein separater Kontext aka Benutzeranmeldung ist da das Minimum, und selbst die schnelle Benutzerumschaltung kann schon problematisch werden. Von lokalen Root-Exploits mal ganz abzusehen, die ja dank IE auch stets ausgefährt werden können, egal wie man's dreht und wendet.
Wenn du den IE hingegen ordentlich stilllegen willst, dann bieten sich selbstverständlich Proxyeinstellungen an, zumal sich diese komplett auf den Engine (d.h. sämtliche COM-Objekte in mshtml.dll) beziehen und damit auf bei Drittprogrammen, die den IE-Engine benutzen, beziehen und auch dort wirken.