Mit der CreateRestrictedToken-Funktion lässt sich eine Art Mini-Benutzerkontensteuerung realisieren. Für Windows XP gibt es beispielsweise das Programm DropMyRights, was diese Funktionalität nutzt, in dem es aus dem Restricted Token die Administratorgruppe entfernt. Allerdings ist es auf diese Weise nicht möglich, einmal freiwillig abgegebene Rechte wieder zurückzuholen. Würde man DropMyRights auf die Explorer-Shell anwenden, hätten alle gestarteten Programme nur die eingeschränkten Rechte.
Um die verlorenen Rechte wiederzuerlangen, ist ein neues Logon bei der LSA erforderlich. Dadurch verlieren Tochterprozesse jedoch ihre Credentials. Somit ist es insbesondere nicht mehr möglich auf Netzwerklaufwerke zuzugreifen. Temporär gemountete Netzlaufwerke, sind im Tochterprozess gar nicht sichtbar. Permanent gemountete (Option „Reconnect at Logon“) sind zwar sichtbar aber nicht nutzbar. Bild 4 zeigt, dass die Administrator-Konsole nur das permanente Laufwerk Y: besitzt, auf das sich aber mittels dir nicht zugreifen lässt.
So wird unmittelbar klar, dass bestimmte Dinge nicht funktionieren: Anwendungen, die nicht „UAC-aware“ sind, jedoch Administratorrechte benötigen, kann man nur mit der Option „Als Administrator ausführen“ starten. Sie haben dann jedoch keine Netzwerklaufwerke und andere Fernressourcen, etwa Drucker oder Named Pipes, zur Verfügung.
Grundsätzlich ist es natürlich aus Sicherheitserwägungen richtig, Prozesse, die über ein erneutes Logon ein neues Token erhalten, nicht mit den Credentials eines anderen Prozesses auszustatten. Jedoch hätte Microsoft einen Mechanismus schaffen müssen, der es erlaubt, ein Token zu erzeugen, das die verlorengegangenen Rechte eines Mutterprozesstokens zurückerhält, ohne dazu einen Logon durchzuführen. Das hätte man mit einer Bestätigung über den Secure Desktop absichern können.
Man könnte argumentieren, dass dies zu gefährlich ist, weil es seinen Grund hat, dass Tochterprozesse sich keine einmal entzogenen Rechte zurückholen dürfen. Da es die Benutzerkontensteuerung in der Standardeinstellung jedoch erlaubt, ohne Eingabe des Passworts ein neues Logon bei der LSA durchzuführen, sind beide Möglichkeiten sicherheitstechnisch gleich gefährlich. So hätte Microsoft die Inkompatibilitäten mit älteren Programmen bei der Benutzerkontensteuerung vermeiden können.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
Höchste Performance-Standards für Webseiten und ein persönlicher, kundenorientierter Premium Support.
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…