Re: LogonUser
From: Andre Stille [MVP] (stille_at_socon.com)
Date: 11/01/04
- Next message: Andre Stille [MVP]: "Re: Microsoft Date and Time Picker"
- Previous message: Jochen Kalmbach: "Re: LogonUser"
- In reply to: Juergen Thuemmler: "Re: LogonUser"
- Next in thread: Juergen Thuemmler: "Re: LogonUser"
- Reply: Juergen Thuemmler: "Re: LogonUser"
- Messages sorted by: [ date ] [ thread ]
Date: Mon, 1 Nov 2004 11:32:01 +0100
Hallo!
"Juergen Thuemmler" <thue@removethisgmx.de> schrieb im Newsbeitrag
news:OUFq2o$vEHA.2804@TK2MSFTNGP14.phx.gbl...
> Noch eine (vorläufig) letzte Frage:
> Was darf ein Prozeß nach erfolgreichem LogonUser() und Impersonating als
> Admin, was er vorher nicht durfte, und was darf er trotzdem nicht?
Dazu mal ein paar Anmerkungen:
1) Üblicherweise wird Impersonating benutzt, um Rechte einzuschränken,
nicht um mehr Rechte zu erhalten.
2) LogonUser ist böse, das sollte man nicht benutzen. Unter Win2K braucht
das das SE_TCB_NAME-Privileg (act as part of the OS), das sollte ein
nicht-admin Account nie und nimmer haben.
3) Egal ob man nun LogonUser oder CreateProcessWithLogonW benutzt, beides
ist sicherheitstechnisch arg bedenklich. Der Benutzername und das
Passwort wird als Klartext übergeben, da kann man im Prinzip gleich
jedem das Admin-Passwort in die Hand drücken.
MfG
Andre Stille
- Next message: Andre Stille [MVP]: "Re: Microsoft Date and Time Picker"
- Previous message: Jochen Kalmbach: "Re: LogonUser"
- In reply to: Juergen Thuemmler: "Re: LogonUser"
- Next in thread: Juergen Thuemmler: "Re: LogonUser"
- Reply: Juergen Thuemmler: "Re: LogonUser"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
