Integritätslevel eines Prozesses und Vista setzen und MIC für Prozess abschalten

[AHT]

Ich habe gerade herausbekommen, wie man unter Vista einen Prozess so starten kann, das dieser die MIC (Mandatory Integrity Control = Integritäten) umgeht (für sich selbst quasi abschaltet) und wie man den Integritätslevel eines Prozesses setzen kann (zum Beispiel Niedrige Verbindlichkeitsstufe statt Mittlere Verbindlichkeitsstufe).
Ich bin gerade dabei, eine kleine Anwendung dafür zu schreiben.
Einiges, was unter Vista bei älteren Programmen nicht oder nicht richtig funktioniert, dürfte dann beim Start über dieses Proggie wieder klappen.

Wer von euch arbeitet mit Vista und hätte ein Interesse an einem solchen Tool bzw. würde das Ding mal antesten und mir Tipps geben?

[Jac de Lad]

Ich hab Vista64 und würde es testen.

Kannst du nochmal genauer schreiben was das bewirkt und wozu man das braucht?

[AHT]

Zitat:

Zitat von Jac de Lad

Ich hab Vista64 und würde es testen.

Ich habs bei mir auf 32Bit entwickelt -keine Ahnung, ob es auf 64Bit funktioniert. Bin gespannt.

Zitat:

Zitat von Jac de Lad

Kannst du nochmal genauer schreiben was das bewirkt und wozu man das braucht?

Kein Problem.
Neben den normalen Zugriffsrechten wurde unter Windows Vista ein neue Zugriffsbeschränkung eingeführt - Integritäten. Jedem Prozess wird dabei ein sogenannter Integritätslevel verliehen - je priveligierter ein Prozess, desto höher ist in der Regel dieser Level. Auch erzeugte Objekte (zum Beispiel Dateien) können einen solchen (M)IL erhalten. Versucht nun ein Prozess ein Objekt zu öffnen, das mit einem höheren MIL versehen ist als der des Prozesses, wird der Zugriff verweigert, auch wenn die Zugriffsrechte dies erlauben würden.
Beispiele:
Ein Programm, das unter Vista mit Administratorrechten gestartet wurde, kann Daten eines Prozesses nicht lesen, der als Service gestartet wurde.
Ein Programm, das mit einem niedrigeren MIL gestartet wurde, kann nicht voll auf Dateien zugreifen, die einen höheren IL besitzen.

Das Proggie soll MILStarter heißen.
Zum Programm... Das Proggie MILStarter kann auf 3 Ebenen ausgeführt werden:
a) Als normaler User. Hier ist es nur möglich, dem durch MILStarter aufgerufenen Programm einen niedrigeren MIL zu verpassen, als der eingeloggte User normalerweise hat - dürfte bei Franks Botschafter interessant sein.
b) Mit Adminrechten. Hier kann man dem Prozess fast alle MILs verpassen, bis auf die Systemverbindlichkeitsstufe.
c) Als "Service" mit Systemrechten. Hier hat man die Auswahl zwischen allen drei möglichen MILs, die der Prozess bekommen soll. Desweiteren kann man dem Prozess das Recht mitgeben, auf die Integritäten "zu scheißen" und sich damit wie unter XP zu verhalten. Nebenbei kann man dem neuen Prozess auch sagen, dass er sich seinen MIL auch mit aus der prozesserzeugenden Datei holen soll. Außerdem kann man festlegen, ob der Prozess als Admin, als normaler User oder als "Systemprozess" gestartet werden soll.

Wozu braucht man das? Wohl unter anderem für Franks Botschafter, damit der wirklich alle Prozesse unter Vista hooken kann. Desweiteren unter Umständen für einen Dateimanager, damit der wirklich Zugriff auf alle Dateien hat.

[Jac de Lad]

Aha verstehe, das ist so ähnlich wie die CPU-Ringer?!
http://de.wikipedia.org/wiki/Ring_(CPU)

Ich teste gern.

[AHT]

Zitat:

Zitat von Jac de Lad

Aha verstehe, das ist so ähnlich wie die CPU-Ringer?!
http://de.wikipedia.org/wiki/Ring_(CPU)

Nö, das hat eher was mit Treibern zu tun.
Usermode => Ring 3, Kernelmode => Ring 0.

Das was ich meine, spielt sich nur im Usermode ab und ist quasi eine neue Sicherheitsschranke, die Prozessen das Schreiben in Objekte des Betriebsystems (Systemordner) oder Systemprozesse (Services, Dienste) verbieten soll. Im Prinzip, genau so wie die UAC, eine geniale Sache. Das Teil ist ähnlich aufgebaut wie Restrict, ist aber wesentlich hässlicher.
Google mal unter MIL, MIC, WIC, Mandatory Integrity Level, Mandatory Integrity Control und Integritätslevel.

[p. specht]

.. da bereits verschoben, gegenstandslos!

[AHT]

Zitat:

Zitat von p. specht

Specht´s "Kraut- und Rüben-Warnung!":
Hier gehts offenbar schon um was recht Spezielles, Betriebssystemnahes - daher die Bitte, solche Sachen im Unterordner "Spezielles" zu posten
(und an die armen Admins, den Thread gelegentlich dorthin zu verschieben)

Wird demnächst gemacht - wusste nicht genau, wo es hingehört.

[Frabbing]

Da hab ich mit XP wohl nix zum Testen...

Zitat:

Specht´s "Kraut- und Rüben-Warnung!":
Hier gehts offenbar schon um was recht Spezielles, Betriebssystemnahes - daher die Bitte, solche Sachen im Unterordner "Spezielles" zu posten
(und an die armen Admins, den Thread gelegentlich dorthin zu verschieben)

In jedem Thread gibt es einen Melden-Button. Dort kannst du den Admins/Mods jederzeit melden, dass was verschoben werden muss.

[AHT]

Zitat:

Zitat von Frabbing

Da hab ich mit XP wohl nix zum Testen...

Beim besten Willen nicht.

[AHT]

Hier kommt jetzt das Tool:



MILStarter: Download von meiner Homepage oder Downloadlink bei Anfrage per PM.

Den einzigen Hinweis den ich dazu gefunden habe, das so etwas überhaupt mal von jemandem in Angriff genommen wurde, war in einem Microsoft Forum. Da hatten zwei Leute eine Frage zur "Manatory Policy" gestellt, die aber bislang nicht beantwortet wurde.
Ist zwar noch sehr hässlich, dafür scheint es so etwas aber auch noch nicht zu geben.

PS: Das "Verschieben" noch Tools möchte ich doch nicht so gerne über den Button "melden" in Auftrag geben. Dort steht:
Eine Nachricht sollte NUR dann gemeldet werden, wenn ein Verstoß gegen unsere Regeln vorliegt. Dies ist z.B. der Fall bei Spam , Werbung oder unsittlichen Beiträgen .

[Frabbing]

Zitat:

PS: Das "Verschieben" noch Tools möchte ich doch nicht so gerne über den Button "melden" in Auftrag geben. Dort steht:
Eine Nachricht sollte NUR dann gemeldet werden, wenn ein Verstoß gegen unsere Regeln vorliegt. Dies ist z.B. der Fall bei Spam , Werbung oder unsittlichen Beiträgen .

Schwabenpfeil hatte gestern vorgeschlagen so zu verfahren.

[AHT]

OK, hatte schon befürchtet dann unter Umständen als Sittenstrolch verhaftet zu werden .

[Jac de Lad]

Das können wir ja trotzdem machen.

[AHT]

Update hochgeladen. Es ist nun möglich, MILStarter mit Parametern aufzurufen und so ein Programm direkt (ohne Aufruf der GUI) mit verändertem Integritätslevel zu starten. Alle Parameter sind in Anführungszeichen zu setzen. Sollen Parameter nicht berücksichtigt werden, ist ein "_" einzusetzen.

1. Parameter: Die zu startende EXE mit Pfad.

2. Parameter: Die an die EXE zu übergebenden Parameter

3. Parameter: Der Integritätslevel, in dem der neue Prozess gestartet werden soll oder ein "_", wenn der Prozess mit dem Integritätslevel von MILStarter gestartet werden soll.
Mögliche Integritätslevel:
Niedrige Verbindlichkeitsstufe
Mittlere Verbindlichkeitsstufe
Hohe Verbindlichkeitsstufe
Systemverbindlichkeitsstufe

4. Parameter: Die Mandatory Policy, mit der der neue Prozess versehen werden soll:
_ = Die Mandatory Policy, in der MILStarter läuft, wird übernommen
0 = Integritäten sind für den gestarteten Prozess wirkungslos
1 = Normales Verhalten, Integritäten werden berücksichtigt
2 = Ein gestarteter Kindprozess hat die Integrität der EXE-Datei, wenn sie niedriger ist als der Integritätslevel des Elternprozesses
3 = Ein gestarteter Kindprozess hat die Integrität der EXE-Datei, wenn sie niedriger ist als der Integritätslevel des Elternprozesses. Integritäten werden berücksichtigt.

5. Parameter: Der Token, mit dem der neue Prozess gestartet werden soll:
Admintoken
Eigener
WindowsExplorer

Beispiel:

Code:

C:\EIGENES\MILStarter\MILStarter.exe "C:\EIGENES\FolderSpy\FolderSpy.exe" "_" "Systemverbindlichkeitsstufe" "0" "Eigener"

a) Für Prozesse, die Hooking einsetzen, kann die MIC abgeschaltet werden. Hooking funktioniert damit auch wieder unter Vista global.

b) Anwendungen, die eine erhöhte Sicherheitsstufe erfordern (wie zum Beispiel Browser), können in einem niederigeren Integritätslevel gestartet werden.

c) Programme, die erhöhte Zugriffsrechte benötigen, können mit einem höheren Integritätslevel versehen werden.

...

[AHT]

Neue Version hochgeladen: Der Parameterstart funktionierte manchmal nicht korrekt.
Downloadlink

Zur Erinnerung: Mit diesem Programm ist es unter anderem möglich, die MIC von Vista und Windows7 für den ausgewählten Prozess komplett abzuschalten - das heißt, der gestartete Prozess kann wieder alle Programme hooken, an alle Programme Messages senden... etc...