So erstellen Sie einen neuen Prozess mit einem niedrigeren Integritätslevel (IL)?

Scheint es, dass beginnend mit Windows Vista, Prozesse mit einem niedrigeren Integritätslevel (IL) können nicht senden Sie Nachrichten an Prozesse mit höheren integritätsebenen. Dies macht Sinn, aus Sicht der Sicherheit, aber es bricht einige unserer prozessübergreifenden Kommunikation.

Haben wir eine legacy-Anwendung (Prozess A), dass hat leider zur Ausführung mit erhöhten "admin" - rechten (durchgeführt durch einstellen der Verknüpfung immer als administrator ausführen). Manchmal braucht es ein Exemplar einer separaten Anwendung (Prozess B). Als Ergebnis -, Prozess B erbt die gleichen erhöhten rechten (und IL) als Prozess A. Darin liegt das problem. Möglicherweise gibt es noch weitere unabhängige Instanzen von Prozess B, die nicht haben erhöhten rechten, und alle diese Verfahren B-Instanzen müssen in der Lage sein, um gegenseitig Nachrichten senden. Dies schlägt fehl, wenn eine Instanz von Prozeß B erhöht ist und eine andere nicht.

Ich weiß, wir können offene Löcher in der UIPI-message-filter mit der ChangeWindowMessageFilter API-Methode, aber das scheint nicht so die ideale Lösung. Stattdessen würde ich viel lieber Prozess-spawn Prozess B mit geringeren rechten, und zwar so, dass es die Kommunikation mit dem anderen Prozess B-Instanzen. Ich denke, dass standardmäßig der andere Prozess B-Instanzen laufen auf "Medium" IL, so deshalb würde ich gerne Prozess Ein, um zu laichen-Prozess B-Instanzen mit der gleichen IL.

Meine Suche führte mich zu der CreateProcessAsUser und CreateRestrictedToken API-Methoden, aber trotz dieser Dokumentation, die alle von den verschiedenen Facetten des tokens und Sicherheits-Deskriptoren und so ist noch sehr verwirrend für mich.

Ich habe auch schon über einige threads hier (Läuft ein Prozess mit der geringst möglichen Privilegien in winapi und Ablegen von Privilegien in C++ unter Windows), aber ich finde keine guten Beispiele mit code.

Kann jemand mir einige einfache, aber "richtigen" code, der mir helfen wird, spawn child-Prozesse mit der entsprechenden Windows-IL? Speziell möchte ich ein Beispiel dafür, wie die bestehende Prozess-token und wandeln es so hat es die reduzierten Privilegien (ich bin mir ziemlich sicher, dass ich herausfinden kann, ist der rest). Ich bin mir wirklich darüber unklar, ob ich zum duplizieren der Prozess-token, bevor Sie es ändern, wie gut.

  • Wäre es möglich einen proxy-Prozess ausgeführt, in der nicht mit erhöhten rechten Kontext? Wenn dem so ist, könntest du entweder den proxy-Prozess starten, Prozess B auf den Namen des Prozesses Ein, wie benötigt wird, oder get-process Eine zu nehmen, die token aus der proxy-Prozess, und verwenden Sie es zum starten von Prozess B.
  • Ich habe gelesen, ähnliche Lösungen an anderer Stelle, so es scheint durchaus wie das funktionieren könnte. Jedoch, es sei denn, dieser Dritte proxy-Prozess (C) bereits ausgeführt wird, (unabhängig von Prozess A), sind wir wieder auf Platz eins (wie einen separaten Prozess ausgeführt mit niedrigeren Privilegien). Und wenn der Prozess C bereits ausgeführt wird, dann vermutlich, es würde ausgeführt werden, die gesamte Zeit, die ein Benutzer angemeldet war, ein Szenario würde ich eher vermeiden. CreateRestrictedToken scheint, wie es wurde speziell für diese und ähnliche Arten von Situationen, so wie können wir drop eine token-IL?
InformationsquelleAutor Jeremy | 2012-03-28
  1. 9

    Warnung! Während dieser Ansatz war wohl mehr oder weniger OK für das original-poster, es ist nicht wirklich eine gute Idee im Allgemeinen. Beachten Sie insbesondere (wie in den Kommentar-thread), dass künstlich manipuliert Token gemeldet wurden, verursachen Probleme in komplizierteren Anwendungen, so dass, wenn Sie diese verwenden, sicher sein, zu bleiben, um die grundlegenden Win32-API. Es gibt natürlich auch mögliche Auswirkungen auf die Sicherheit.

    In den meisten Szenarien, ähnlich wie der OP, würde es wahrscheinlich besser sein, ersetzen Sie die Verknüpfung, startet der erhöhten Anwendung mit einer launcher-Anwendung. Der launcher kann dann weiterhin ausgeführt, solange die erhöhte Anwendung ausgeführt wird, und sorgen für eine Natürliche begrenzte token für die gehobene Anwendung starten, die nicht mit erhöhten rechten Prozesse.

    Gibt ' s code für das starten von einem Prozess mit niedriger Integrität, die sich Analog zu Ihrem Fall, in der Entwerfen von Anwendungen zum Ausführen auf einem Niedrigen Integrity Level Artikel im MSDN.

    Erste, Sie duplizieren die Prozess-token, da kann man nicht (oder zumindest nicht sollte) Durcheinander, über die mit einem token, der bereits verwendet wird. Dann nutzen Sie SetTokenInformation mit der TokenIntegrityLevel-Klasse, um die integrity level. Es scheint einen Fehler in den Beispiel-code, da die richtige SID für low integrity level ist S-1-16-4096 anstelle von S-1-16-1024, aber Sie wollen medium integrity level sowieso, was S-1-16-8192. Diese können gefunden werden hier.

    Sobald Sie diese arbeiten (das heißt, sobald Sie in der Lage zu starten, mittlerer Integrität Prozesse aus Ihrer high integrity Prozess), sollten Sie versuchen, mit CreateRestrictedToken zu erstellen, der neue token anstelle von DuplicateToken, und entfernen Sie die Administratoren-token und alle Berechtigungen (außer SeChangeNotifyPrivilege). Ansonsten, die neuen Prozesse müssen Mittel Integrität, aber immer noch administrator-Privileg, das könnte es leichter machen, für bösartige code könnte ausgeführt werden, in der gleichen Sitzung erhöhte Rechte.

    • Perfekt, genau das, was ich suchte. Ich war in der Lage, verwenden Sie die MSDN code, ohne zu viel Veränderung, und das funktioniert nur, wie ich erhofft hatte. Ich werde versuchen müssen, die zweite Hälfte bald, und wenn ich kann, dass die Arbeit werde ich einige code. Danke!
    • Du bist herzlich willkommen. Sie möchten möglicherweise verwenden Sie GetTokenInformation (mit die meisten oder alle der verfügbaren Informationen-Klassen) Vergleich zwischen einem regulären Prozess mittlerer Integrität, die mit einem erhöhten Prozess, so dass Sie arbeiten können, was UAC ist tatsächlich nicht für das erstellen des eingeschränkten token. (Die details, soweit ich weiß, sind nicht gut dokumentiert.) Es könnte sogar möglich sein, code zu schreiben, der vergleicht alle Eigenschaften eines Token, die Sie gemacht haben, um von UAC, so dass Sie sehen können, eindeutig, ob Sie übersehen, etwas oder nicht.
    • hast du es noch? Wenn dem so ist, bitte poste deinen code hier ein, vielen Dank im Voraus 🙂
    • Sorry für die Verspätung.. ich habe keinen code posten, da ich nie völlig abgeschlossen ist die Umsetzung einer Lösung. Stattdessen konnte ich neu konfigurieren, unser Vermächtnis app (Prozess A) zu laufen ohne admin-Rechte. Allerdings bin ich mir ziemlich sicher, dass die MSDN-Artikel gepostet, in diese Antwort sollte Ihnen den Einstieg.
    • Der code von der MSDN-Website funktioniert nicht auf Windows 10 mehr. Mit dem neuen Verfahren noch erhöht werden. Dies geschieht nicht auf Windows 7. Vergleichen Sie GetTokenInformation(TokenElevation) auf Win 7 und Win 10!
    • in Windows 7 und Windows 10 hat das Kind erhöhte Privilegien - der MSDN code reduziert den integrity level, nicht das Privileg-Ebene. Es klingt, als wenn GetTokenInformation geben Sie schlechte Informationen in Windows 7, wenn auch wirklich das erwartete Verhalten von TokenElevation war immer unklar, Wann der Umgang mit künstlich manipuliert Token. Siehe auch stackoverflow.com/q/30970433/886887
    • Nach dem Experimentieren viele Tage mit Token, kam ich zu dem concusion, dass, wie auch immer wir ändern, ein token, was raus kommt, wird korrupt sein. Ich habe alles versucht, um anzupassen allen token-Eigenschaften eine Hohe token zu einem Medium token aber beim starten einen Prozess, einen eingebetteten Internet-Explorer-Steuerelement, diese Verhalten sich seltsam. Wenn Sie Ihren test-code nur mit dem Rechner wird alles in Ordnung sein, aber wenn Sie benötigen, eine generische Lösung für die Arbeit mit JEDEM Prozess werden alle token manipulation führt zu einer Verschwendung von Zeit. Die einzige zuverlässige Möglichkeit, um eine Mittel-token ist WTSQueryUserToken (), aber das erfordert einen service.
    • Habe ich auch getestet CreateRestrictedToken - () und SaferComputeTokenFromLevel (), aber das Ergebnis war immer das gleiche: Die künstliche token nicht Verhalten wie ein ECHTES medium token beim Start meines Prozesses mit CreateProcessAsUser(). Es ist unglaublich, dass für so eine wichtige Funktionalität (z.B. einen Installer will starten Sie die installierte Anwendung mit medium, IL) gibt es keine EINFACHE und SICHERE API, um ein medium token in einer Hohen Prozess! Sowas wie ShellExecute(..., "asMedium",...). Nicht in Vista, noch in Win 7,8,10. Ich verstehe nicht, warum Microsoft können die Programmierer allein mit dieser Aufgabe?
    • wie Sie vorschlagen, wäre es sicherlich klug sein, zu vermeiden, mit künstlichen Token Wann immer möglich, und wenn Sie absolut nicht vermeiden, Sie zu beschränken Sie sich auf grundlegende Win32-Funktionen nur in den betroffenen Prozess. (Wahrscheinlich kein problem für die OP in diesem Fall). Es sollte normalerweise möglich sein, Sie zu vermeiden. Wenn Sie ein bestimmtes Szenario, das Sie zu bekämpfen versuchen, und kann nicht herausfinden, einen sinnvollen Ansatz, sollten Sie wahrscheinlich nach einer Frage.
    • Ich habe ein warn-Hinweis auf meine Antwort, zusammen mit einer kurzen Beschreibung der Vorgehensweise würde ich empfehlen, statt in der OPs-Szenario. (Auch, haben Sie aus Adrian ' s Antwort? Es klingt eher wie das, was Sie suchen.)
    • Ich weiß nicht, wie sehr der code von Adrian. Auseinander, seine post sind nur einige code-snippets. Jemand hat versucht, die? Funktioniert es wirklich? Und auf Windows 10? Nach der Investition viele Tage in diesem Thema habe ich die Antwort gefunden: ich starte den Mittel-Prozess-in-a-service (WTSQueryUserToken, CreateProcessAsUser). Der einzig richtige Weg NICHT, um eine künstliche (= gelähmt) token. Aber ich weiß, dass dies nicht eine Lösung für alle finden, da in der Regel ein Installationsprogramm verfügt nicht über eine eigene service läuft im hintergrund. Aber in meinem Fall ist der installer bereits installiert, meinen Dienst, und ich benutze es für, die.
    • Ich glaube nicht, dass Sie gerettet ein kleines Beispiel, das zeigen würde, wie die korrupten token verhält sich anders als ein normaler medium-level-token? Es scheint zu funktionieren für mich, aber ich bin besorgt, dass ich werde etwas finden, gebrochen unten in der Zeile.
    • scheint für mich arbeiten." So perfekt für Sie! Wie gesagt: Es funktioniert für einige Prozesse wie der Windows Calulator auch mit einer verkrüppelten selfmade-token. Aber ich hatte starke Probleme beim starten von Internet Explorer verhält sich nicht normal. Dies zeigt, dass die self-made-token ist nicht das gleiche wie das original. Ich nehme an, dass Mircorosft speichert interne Daten in das Token, das wir nicht manipulieren kann, mit jedem API, da ich versucht habe alle Token manipulation Befehle, die vorhanden sind, um eine identische token, aber es ist immer noch anders.
    • Was ich erlebt habe, war sehr komisch. Hier mehr details: ich habe eine Anwendung mit einem eingebetteten Internet Explorer-Steuerelement. Das Webbrowser-Steuerelement geladen wird mit einer HTML-Seite aus eine lokale URL. Auf allen Windows-Versionen funktioniert perfekt, außer auf Windows 10 beim Start meines Prozesses mit einem self-made-Medium-Token. Dann Internet Explorer sagt, dass er nicht auf die URL zugreifen. Wenn ich meine Anwendung in der Regel durch Doppelklick im Explorer alles Prima funktioniert. Auf Windows 7 und 8 alle in Ordnung - sogar mit einer selbst erstellten token. Aber auf WIndows 10 mit self-made-token, es zeigt eine leere Seite.
    • Ich sehe, das ist interessant. Nun, es ist definitiv wahr, dass das token ist anders - Process Hacker zeigt viele Unterschiede, zumindest so, wie ich es erstellen. Raymond Chen erklärt wir sollten wirklich Fragen, Explorer ausführen, der die app für uns, um eine un-erhöhte version.
    • meine beste Vermutung ist, dass das problem ist, dass die künstliche token gehört nicht zu der richtigen Anmeldung. Ich glaube nicht, dass es eine Möglichkeit, dass zu beheben. Das sollte sich nicht auf eine eigenständige Anwendung, aber ich nehme an, der IE macht seltsame Sachen, zu versuchen, um eine Schnittstelle mit der shell, vielleicht.
    • Hacker zeigt viele Unterschiede, zumindest so, wie ich das erstellen." Ich veränderte alle token Eigenschaften, die Sie Abfragen können über GetTokenInformation() auf, um eine identische token und es war immer noch anders. Sehr interessant dein link zu dem code von Raymond Chen. Ich wusste nicht, dass die Art und Weise, einen Prozess zu starten über den Explorer. Es ist wirklich einfach. Sie sollten post, die als separate Antwort. Aber was sagt er über die Bob und Alice nicht mein Fall, weil ich das Medium Token für DENSELBEN Benutzer.

    InformationsquelleAutor Harry Johnston
  2. 3

    Ich habe die hier beschriebene Vorgehensweise um dies zu erreichen. Die grundlegende Idee ist, zu Fragen, Explorer ausführen, Verfahren B für Sie. Da Explorer in der Regel läuft auf medium integrity level, dies gibt Ihnen, was Sie wollen.

    http://brandonlive.com/2008/04/26/getting-the-shell-to-run-an-application-for-you-part-1-why/
    http://brandonlive.com/2008/04/27/getting-the-shell-to-run-an-application-for-you-part-2-how/

    Dem ersten link wird zumindest geben Ihnen einen guten hintergrund.

    Haben wir eine legacy-Anwendung (Prozess A), dass hat leider zur Ausführung mit erhöhten "admin" - rechten (durchgeführt durch einstellen der Verknüpfung immer als administrator ausführen).

    Eine sauberere Möglichkeit, das zu tun, legen Sie die requestedExecutionLevel zu dem manifest.

    • Ich kann das nicht testen im moment, aber meine größte Sorge wäre, version die Kompatibilität. Das funktioniert auf allen Windows-Versionen ab XP? Hängt es ab, alles, was Abbrechen könnte in zukünftigen Versionen? Es sieht auch wie es verwendet Bibliotheken, die verteilt sind mit Internet-Explorer (siehe IShellWindows). Was, wenn Benutzer nicht über IE installiert?
    • Auch, Ein Prozess ist nicht in einem Visual Studio-Projekt, sondern ein altes C++ Builder-Anwendung. Ich weiß, wie das App-manifest in Visual Studio, aber können Sie das tun, mit anderen C++ - Projekte als gut?
    • In der pre-XE2-Versionen von C++Builder können Sie eine Verknüpfung mit einem externen .manifest-Datei in die Projekt-Ressourcen mit ein .rc-Datei. C++Builder XE2-fügt Unterstützung für benutzerdefinierte manifestiert sich in den Projekt-Optionen.
    • Das ist gut zu wissen, also danke! Übrigens, Sie beantwortet eine Frage, die für mich längst in den Borland-Foren. Zum Glück für mich und alle anderen, du bist immer noch rund um zu teilen Ihr know-how. [=
    • Diese Bedenken sind begründet. Für XP, müssen Sie bereit sein, zu Versagen, die ist in Ordnung, da XP nicht über integrity levels, so dass, wenn es fehlschlägt, die Sie gerade kick-off-Prozess B die Art und Weise, die Sie normalerweise (z.B. CreateProcess). Ich bin überrascht, IShellWindows verbunden ist, DH, als ich dachte, es wurde zur Verfügung gestellt von der shell (explorer) sich selbst. Ich bin mir nicht sicher, ob die deinstallation von IE entfernt tatsächlich die Umsetzung für das Objekt. Es gibt eine gute chance, es nicht.
    • eine Menge Dinge, die in die Explorer-shell gebunden sind, DH, und das schon seit den Tagen von Windows 95 und den IE4. Das ist Teil dessen, was die ganzen Antitrust-Klage gegen MS war schon in den 90er Jahren. Explorer und IE haben ein wenig die BEINE zusammen gebunden. MS-backed-off im Laufe der Jahre, aber es gibt noch einige Krawatten im Ort.

    InformationsquelleAutor Adrian McCarthy
  3. -1

    Kann ich nicht beantworten Ihre komplette Frage aber, wie Sie erwähnt haben, über CreateProcessAsUser und CreateRestrictedToken. Ich habe einen code, der die Arbeit mit dieser API. Der code, den ich schrieb, geschrieben wurde, basiert auf den folgenden wie.

    Quelle:[Windows Vista für Entwickler – Teil 4 – User Account Control] (http://weblogs.asp.net/kennykerr/Windows-Vista-for-Developers-1320-Part-4-1320-User-Account-Control)!

    Den code finden Sie im folgenden link.

    Beispiel-Code : http://pastebin.com/XMUAehF9

    InformationsquelleAutor samjeba
Schreibe einen Kommentar