RE: Security-API NT/XP

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

From: Thomas Östreich (Thomasstreich_at_discussions.microsoft.com)
Date: 07/02/04 

Date: Fri, 2 Jul 2004 05:28:01 -0700

Hallo Annette,

Ich vermute mal das dein Account die Berechtigung hat jeden Prozeß zu beenden(Hauptbenutzer/Administratoren) . Es wäre ja gefährlich wenn ein Administrator die Prozesse nicht beenden kann.

Wenn der Account zur Gruppe der Benutzer gehört kann diese Person nur die Prozesse beenden die unter seinem Account laufen. (Bei XP sieht man das wunderbar im Taskmanager)

Du müßtest also den Prozeß unter einen anderen Context laufen lassen über CreateProcessAsUser
MSDN:
ms-help://MS.MSDNQTR.2003FEB.1031/security/security/starting_an_interactive_client_process.htm
 
oder ihn als Dienst erstellen dort kannst du dann auch angeben unter welchen Context er laufen soll.

MFG Thomas

"Annette Bauer" wrote:

> Hallo,
>
> ich habe mich bisher etwas eingehender mit dem Security-API befaßt, bin
> jetzt aber auf ein Problem gestoßen (ist eigentlich akademischer Natur
> ohne offensichtlichen praktischen Nutzen) aber ich möchte einfach
> wissen, wie das geht.
>
> Und zwar: ich möchte verhindern, dass ein Prozeß via Taskmanager
> abgeschossen werden kann. Eigentlich habe ich gedacht, der Prozeß
> manipuliert seine eigene SACL indem ein AcessDenied ACE in die SACL
> eingehängt wird. Diesen ACE habe ich mit verschieden SIDs mal probiert,
> z.B. (prinzipielle Vorgehensweise)
>
> "AllocateAndInitializeSid(&sa, 1, SECURITY_WORLD_RID, 0,0,0,0,0,0,0, psid);"
>
> AddAccessDeniedAce(pProcSaclNew, ACL_REVISION,
> PROCESS_TERMINATE|PROCESS_ALL_ACCESS, psid);
>
> GetUserObjectSecurity(hProc, &si, psdProc, sdProcLen, &sdProcLen);
>
> GetSecurityDescriptorSacl(psdProc, &bProcSaclPresent, &pProcSacl,
> &bSaclDefault);
>
> SetSecurityDescriptorSacl(psdProcAbs, TRUE, pProcSaclNew, FALSE);
>
>
>
>
> Alle Systemaufrufe funktionieren, liefern OK, aber im Taskman kann ich
> das Programm immer noch abkillen. Was mache ich falsch, geht das
> überhaupt, was ich will????
>
>
>

Relevant Pages

  • Re: Programm das automatisch mit Adminrechten
    ... ob man Prozesse unter anderem Account laufen lassen kann, ... Das kennt wohl jeder und es hinterlegt vermutlich keiner mehr fest im Code. ... Der hardcodierte SecureString war nur zum veranschaulichen, ...
    (microsoft.public.de.german.entwickler.dotnet.csharp)
  • Re: Failed to open the Group Policy Object/DCDiag errors
    ... > Hi Ace, The SRV Records are present, I have also recreated the ... > Reserve lookup zone. ... Is there a user or group account, ... the same origina domain name. ...
    (microsoft.public.windows.server.active_directory)
  • error 80070005 source active directory Repost
    ... 'Set the flag on this object to identify it as a macine account ... 'and create an Access Control Entry (ACE) that gives the ... Set dACL = secDescriptor.DiscretionaryAcl ...
    (microsoft.public.scripting.vbscript)
  • Re: Account Operators Group
    ... I should note that the "Account Operators" group is a holdover from NT ... second added to the Print Operators group and then removed, ... Printer Operators group will make the ACE get added or removed as ... Print Operators group, saw that the Account Operators ACE was still ...
    (microsoft.public.win2000.active_directory)
  • Re: Access Rights to See DACLs in ADAM
    ... DACLs do not control access to a SACL. ... you should edit local security policy using ... When I turned off the SACL option in LDP, I AM able to access the DACL ... account is not a local administrator account. ...
    (microsoft.public.windows.server.active_directory)