[Win32] Ridurre privilegi di un servizio

[tomminno]

Ho un servizio che dovrebbe scrivere nella sezione current user del registro di sistema (dovrebbe disabilitare il task manager e il regedit), come faccio a ridurre i privilegi del servizio per consentire di scrivere in quella sezione?

[andbin]

Quote:

Originariamente inviato da tomminno

Ho un servizio che dovrebbe scrivere nella sezione current user del registro di sistema (dovrebbe disabilitare il task manager e il regedit), come faccio a ridurre i privilegi del servizio per consentire di scrivere in quella sezione?

Guarda ... le funzioni da usare credo che siano LogonUser e ImpersonateLoggedOnUser. Ma non ti so dire di più. Le API Win32 dedicate alla security sono le più .... incasinate di tutte!

[tomminno]

Quote:

Originariamente inviato da andbin

Guarda ... le funzioni da usare credo che siano LogonUser e ImpersonateLoggedOnUser. Ma non ti so dire di più. Le API Win32 dedicate alla security sono le più .... incasinate di tutte!

Ho trovato su un forum un metodo per ottenere un token a partire solo dall'username per mezzo di ZwCreateToken, ma è tutto da verificare visto che nel codice c'è un bel GetCurrentProcess.

Da più parti ho letto che l'unico modo per farlo sia chiedere nome utente e password.

[andbin]

Quote:

Originariamente inviato da tomminno

Ho trovato su un forum un metodo per ottenere un token a partire solo dall'username, ma è tutto da verificare visto che nel codice c'è un bel GetCurrentProcess.

Da più parti ho letto che l'unico modo per farlo sia chiedere nome utente e password.

Se vai a vedere infatti LogonUser() prende in input un nome utente/dominio/password.

Comunque io ho già provato ad usare LogonUser ma senza successo. Mi ritorna errore 1314 (ERROR_PRIVILEGE_NOT_HELD). Sicuramente ho sbagliato io ... non ho fatto qualcosa che si doveva fare prima della chiamata a LogonUser o cose del genere. Ma non so dire di più.

[71104]

lascia perdere la creazione di un token nuovo di zecca: per farlo è necessario contattare l'LSA, ti incasina tutto inutilmente. piuttosto io vedrei di aprire il token già esistente e togliergli permessi e privilegi. guarda la funzione CreateRestrictedToken. è semplicissima da usare, e a quel punto diventa tutta una questione di configurare i dovuti restricting SIDs e deny-only SIDs da "Gestione Computer"
trovi tutte le info necessarie alla pagina di CreateRestrictedToken, o anche qua.

[tomminno]

Quote:

Originariamente inviato da andbin

Se vai a vedere infatti LogonUser() prende in input un nome utente/dominio/password.

Comunque io ho già provato ad usare LogonUser ma senza successo. Mi ritorna errore 1314 (ERROR_PRIVILEGE_NOT_HELD). Sicuramente ho sbagliato io ... non ho fatto qualcosa che si doveva fare prima della chiamata a LogonUser o cose del genere. Ma non so dire di più.

Ma io mica posso chiedere le credenziali ad un utente che cerca di compiere operazioni non desiderate?

Il programma serve per controllare da remoto i computer delle aule scolastiche dove nessuno ci capisce niente di computer, per cui è probabile che gli studenti abbiano pure un account amministratore

[tomminno]

Quote:

Originariamente inviato da 71104

lascia perdere la creazione di un token nuovo di zecca: per farlo è necessario contattare l'LSA, ti incasina tutto inutilmente. piuttosto io vedrei di aprire il token già esistente e togliergli permessi e privilegi. guarda la funzione CreateRestrictedToken. è semplicissima da usare, e a quel punto diventa tutta una questione di configurare i dovuti restricting SIDs e deny-only SIDs da "Gestione Computer"
trovi tutte le info necessarie alla pagina di CreateRestrictedToken, o anche qua.

Considera che io devo scrivere in HKCU a partire da un servizio e che non ho certamente accesso alla configurazione della macchina.

Proverò con CreateRestrictedToken, ma da come l'hai introdotta non so se possa fare al caso mio.

[71104]

infatti non ho mica capito il discorso: perché devi ridurre i privilegi (supponendo che intendessi in realtà permessi) ad un processo affinché esso abbia accesso ad un oggetto protetto?

[71104]

Quote:

Originariamente inviato da tomminno

Il programma serve per controllare da remoto i computer delle aule scolastiche dove nessuno ci capisce niente di computer, per cui è probabile che gli studenti abbiano pure un account amministratore

aaaah aspetta adesso credo d'aver capito: vuoi ridurre i tuoi permessi per essere sicuro di non scrivere se non ti è concesso... ho capito bene? in tal caso si, la CreateRestrictedToken dovrebbe fare al caso tuo; potresti in teoria anche lavorare di autorizzazione (piuttosto che di autenticazione) usando la AccessCheck, non so se sia più semplice questa strada o l'altra.

[tomminno]

Quote:

Originariamente inviato da 71104

aaaah aspetta adesso credo d'aver capito: vuoi ridurre i tuoi permessi per essere sicuro di non scrivere se non ti è concesso... ho capito bene? in tal caso si, la CreateRestrictedToken dovrebbe fare al caso tuo; potresti in teoria anche lavorare di autorizzazione (piuttosto che di autenticazione) usando la AccessCheck, non so se sia più semplice questa strada o l'altra.

No il problema è che un servizio non può scrivere nella sezione del registro dedicata al current user e io devo disabilitare delle funzioni di Windows, e per farlo devo accedere a quella parte del registro.
Non voglio limitare le mie possibilità di eseguire operazioni ma aumentarle

In pratica io ho creato un servizio che lancia il mio programma che quindi lavora con privilegi SYSTEM, ma queste operazioni richiedono che da SYSTEM passi al livello dell'utente loggato.

[71104]

Quote:

Originariamente inviato da tomminno

No il problema è che un servizio non può scrivere nella sezione del registro dedicata al current user e io devo disabilitare delle funzioni di Windows, e per farlo devo accedere a quella parte del registro.
Non voglio limitare le mie possibilità di eseguire operazioni ma aumentarle

In pratica io ho creato un servizio che lancia il mio programma che quindi lavora con privilegi SYSTEM, ma queste operazioni richiedono che da SYSTEM passi al livello dell'utente loggato.

1) e perché allora il thread si intitola "ridurre i privilegi di un servizio"?
2) SYSTEM può accedere nel registro ai profili di qualsiasi utente, quindi inutile che ti logghi come un utente per accedere ad HKEY_CURRENT_USER quando puoi accedere direttamente a HKEY_USERS/<SID>

[tomminno]

Quote:

Originariamente inviato da 71104

1) e perché allora il thread si intitola "ridurre i privilegi di un servizio"?

Per quello che intendo io passare da un account SYSTEM a uno utente è una riduzione dei privilegi, magari sbaglio terminologia

Quote:

2) SYSTEM può accedere nel registro ai profili di qualsiasi utente, quindi inutile che ti logghi come un utente per accedere ad HKEY_CURRENT_USER quando puoi accedere direttamente a HKEY_USERS/<SID>

Effettivamente non ci avevo pensato

[marco.r]

Quote:

Originariamente inviato da tomminno

Ma io mica posso chiedere le credenziali ad un utente che cerca di compiere operazioni non desiderate?

Il programma serve per controllare da remoto i computer delle aule scolastiche dove nessuno ci capisce niente di computer, per cui è probabile che gli studenti abbiano pure un account amministratore

Quella che cerchi probabilmente non e' la soluzione che ti serve allora. Allo studente bastera' far partire il pc in modalita' provvisoria, disabilitare il servizio e il gioco e' fatto. Molto meglio usare le group policy, e togliere l'accesso a tutto quello che non e' funzionale all'uso didattico, task manager e regedit compresi, ma non solo. Con un po' di attenzione si riesce ad impedire di fare del male anche ad un amministratore. (e non sai la soddisfazione che si prova nel vedere un utente a cui e' stato tolto il menu file, l'accesso ai dischi e pure l'uso del tasto destro del mouse )
Fermo restando che la prima cosa da fare e' non lasciare l'accesso di amministratore agli studenti, non fosse altro perche' poi le conseguenze di qualsiasi malefatta se la becca il responsabile del laboratorio.

[marco.r]

Quote:

Originariamente inviato da tomminno

No il problema è che un servizio non può scrivere nella sezione del registro dedicata al current user e io devo disabilitare delle funzioni di Windows, e per farlo devo accedere a quella parte del registro.
Non voglio limitare le mie possibilità di eseguire operazioni ma aumentarle

Non funziona. Per un servizio non esiste il concetto di "current user", in quanto potrebbe non essercene nessuno (nessun utente loggato) oppure piu' di uno (server terminal, oppure XP con piu' utenti attivi). Puoi impostare il servizio perche' possa interagire col desktop ma in realta' questo ti vincola ad interagire con l'utente console e basta (quello con id 0), che, se non ricordo male, e' stato proprio per questo tolto dalle piu' recenti versioni di windows (Vista di sicuro, forse XP).
Il modo "ufficiale" perche un'utente possa interagire con un servizio e' tramite un processo che giri nella sessione dell'utente ed interagisca col servizio. E' il motivo perche' ti trovi nella tray bar una inconcina di windows update, quella dello spooler di stampa, etc. Servono da tramite per i servizi di sistema.
A questo punto pero' per impedire che l'utente pialli quel programmino devi cominciare ad usare tecniche da spyware , per cui rimango dell'idea che la soluzione vera sia quella delle group policies.
E in ogni caso anche se opti per il servizio che invece che il solo utente corrente vada a rovistare tra i vari utenti, ti trovi col problema che, se non disabiliti anche l'accesso all'editor delle policy di gruppo, un utente puo' forzare l'abilitazione del task manager nelle policy, che al login dell'utente andranno a sovrapporsi alle impostazioni del registro... ancora una volta rischi di dover faticare per una soluzione con molte possibili falle.

[tomminno]

Quote:

Originariamente inviato da marco.r

Quella che cerchi probabilmente non e' la soluzione che ti serve allora. Allo studente bastera' far partire il pc in modalita' provvisoria, disabilitare il servizio e il gioco e' fatto. Molto meglio usare le group policy, e togliere l'accesso a tutto quello che non e' funzionale all'uso didattico, task manager e regedit compresi, ma non solo. Con un po' di attenzione si riesce ad impedire di fare del male anche ad un amministratore. (e non sai la soddisfazione che si prova nel vedere un utente a cui e' stato tolto il menu file, l'accesso ai dischi e pure l'uso del tasto destro del mouse )
Fermo restando che la prima cosa da fare e' non lasciare l'accesso di amministratore agli studenti, non fosse altro perche' poi le conseguenze di qualsiasi malefatta se la becca il responsabile del laboratorio.

Ma il programma non prevede anche la configurazione degli utenti della LAN scolastica
L'ambiente in cui andrà installato questo software è di quelli più beceri che si possa pensare (utenti? che cosa sono? ), mi è capitato di vedere aule dove agli studenti era dato account di amministratore e chiaramente il "tecnico" doveva formattare tutte le settimane (quando non veniva depredato l'hardware della macchina).
Serve proprio perchè nessuno ci capisce niente e quindi è comodo avere un software che da remoto ti consente di disabilitare programmi o funzionalità di Windows. E' un palliativo, lo so benissimo, però a quanto pare sono software alquanto richiesti (viva la cultura informatica).

[71104]

Quote:

Originariamente inviato da tomminno

L'ambiente in cui andrà installato questo software è di quelli più beceri che si possa pensare (utenti? che cosa sono? ), mi è capitato di vedere aule dove agli studenti era dato account di amministratore e chiaramente il "tecnico" doveva formattare tutte le settimane (quando non veniva depredato l'hardware della macchina).
Serve proprio perchè nessuno ci capisce niente e quindi è comodo avere un software che da remoto ti consente di disabilitare programmi o funzionalità di Windows. E' un palliativo, lo so benissimo, però a quanto pare sono software alquanto richiesti (viva la cultura informatica).

LOL!!!

[tomminno]

Quote:

Originariamente inviato da marco.r

Non funziona. Per un servizio non esiste il concetto di "current user", in quanto potrebbe non essercene nessuno (nessun utente loggato) oppure piu' di uno (server terminal, oppure XP con piu' utenti attivi). Puoi impostare il servizio perche' possa interagire col desktop ma in realta' questo ti vincola ad interagire con l'utente console e basta (quello con id 0), che, se non ricordo male, e' stato proprio per questo tolto dalle piu' recenti versioni di windows (Vista di sicuro, forse XP).
Il modo "ufficiale" perche un'utente possa interagire con un servizio e' tramite un processo che giri nella sessione dell'utente ed interagisca col servizio. E' il motivo perche' ti trovi nella tray bar una inconcina di windows update, quella dello spooler di stampa, etc. Servono da tramite per i servizi di sistema.
A questo punto pero' per impedire che l'utente pialli quel programmino devi cominciare ad usare tecniche da spyware , per cui rimango dell'idea che la soluzione vera sia quella delle group policies.
E in ogni caso anche se opti per il servizio che invece che il solo utente corrente vada a rovistare tra i vari utenti, ti trovi col problema che, se non disabiliti anche l'accesso all'editor delle policy di gruppo, un utente puo' forzare l'abilitazione del task manager nelle policy, che al login dell'utente andranno a sovrapporsi alle impostazioni del registro... ancora una volta rischi di dover faticare per una soluzione con molte possibili falle.

Il software in realtà cerca di suo di terminare tutto quello che è eseguibile nel pannello di controllo (e il pannello di controllo stesso) sfortunatamente quasi tutti non sono visibili come processi perciò vanno terminati in base al nome della finestra.
Inoltre il software si autonasconde dall'elenco dei processi visibile al task manager (che in ogni caso viene terminato dal programma stesso, ma questa è un'opzione disabilitabile da remoto).

E comunque da remoto l'interfaccia avvisa sullo stato dei client, se uno studente riavvia la macchina o tira giù il servizio si spera che qualcuno controlli.

Il tutto deve avere difficoltà pari ad installare il mulo, con checkbox tal tono rassicurante che ti garantiscono che lo studente non accederà ad internet, che non formatterà niente, che non userà penne USB,CDROM,... altro che configurazione dei gruppi di utenti!
Per me una vaccata (non la gestione dei gruppi).

[71104]

premesso che volendo potresti fare le cose pompate in grande riempiendoti la bocca di paroloni e creando per il tuo software una procedura di installazione che provveda alla configurazione automatica di impostazioni di sicurezza decenti, creazione di account limitato in primis

ciò premesso, pensandoci e ripensandoci, sebbene il problema non abbia soluzioni reali ed esaustive (disabiliti il Task Manager? il primo coglione che arriva che ha sentito parlare di Mark Russinovich installa il Process Explorer assieme ai tools del Windows Resource Kit e ti frega; analogamente, disabiliti regedit? il primo coglione che arriva ti installa chissà quale altra diavoleria potente il quadruplo di regedit e come sopra ti frega), credo che la soluzione migliore sia quella che stai intraprendendo, ma c'è un problema: quando costruisci il path della chiave di registro a cui devi accedere il SID che usi non deve essere hardcoded! non so se esiste un modo per ottenere quella stringa avendo solo il nome dell'account, ora provo a vedere su MSDN (chè interessa pure a me).

[71104]

Quote:

Originariamente inviato da tomminno

Il software in realtà cerca di suo di terminare tutto quello che è eseguibile nel pannello di controllo (e il pannello di controllo stesso) sfortunatamente quasi tutti non sono visibili come processi perciò vanno terminati in base al nome della finestra.
Inoltre il software si autonasconde dall'elenco dei processi visibile al task manager (che in ogni caso viene terminato dal programma stesso, ma questa è un'opzione disabilitabile da remoto).

MA CHE SCHIFO O_O

cioè hai usato veramente le tecniche da spyware di cui parlava giustappunto marco.r :|

[71104]

Quote:

Originariamente inviato da tomminno

Il tutto deve avere difficoltà pari ad installare il mulo, con checkbox tal tono rassicurante che ti garantiscono che lo studente non accederà ad internet, che non formatterà niente, che non userà penne USB,CDROM,... altro che configurazione dei gruppi di utenti!
Per me una vaccata (non la gestione dei gruppi).

per impedire allo studente l'uso di cd rom e floppy disk è semplice!! (almeno quello...)

un po' più complicato invece per le penne USB, in quanto non sono sempre presenti come periferiche ma vengono aggiunte dinamicamente...

comunque per quanto riguarda floppy e CD, il tuo programma deve semplicemente aggiungere alle rispettive periferiche (apribili tramite semplice CreateFile) delle ACE di accesso negato contro l'account in uso dallo studente.