Integritätslevel eines Prozesses und Vista setzen und MIC für Prozess abschalten

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Integritätslevel eines Prozesses und Vista setzen und MIC für Prozess abschalten

      Ich habe gerade herausbekommen, wie man unter Vista einen Prozess so starten kann, das dieser die MIC (Mandatory Integrity Control = Integritäten) umgeht (für sich selbst quasi abschaltet) und wie man den Integritätslevel eines Prozesses setzen kann (zum Beispiel Niedrige Verbindlichkeitsstufe statt Mittlere Verbindlichkeitsstufe).
      Ich bin gerade dabei, eine kleine Anwendung dafür zu schreiben.
      Einiges, was unter Vista bei älteren Programmen nicht oder nicht richtig funktioniert, dürfte dann beim Start über dieses Proggie wieder klappen.

      Wer von euch arbeitet mit Vista und hätte ein Interesse an einem solchen Tool bzw. würde das Ding mal antesten und mir Tipps geben?
    • Ich hab Vista64 und würde es testen.

      Kannst du nochmal genauer schreiben was das bewirkt und wozu man das braucht?
      XProfan-Semiprofi (XProfan X4a+XPIA+LemonEd)
      Ryzen 1700X/MSI B350 PC MATE/16GB RAM@2933MHz/Radeon HD7770 OC/Creative X-Fi XTreme Music/90TB HDD+256GB Samsung 960 EVO/28" Samsung 4k
      TerraMaster F4-420 mit 16TB
      XBox Classic/360S/One S/One X Scorpio Edition/PS3 Super Slim 500GB/PS4 Pro (XBL-ID: jacdelad, PSN: jacdelad84)
      OnePlus 6 8GB/256GB
      jacdelad.bplaced.net
    • Jac de Lad;678612 schrieb:

      Ich hab Vista64 und würde es testen.

      Ich habs bei mir auf 32Bit entwickelt -keine Ahnung, ob es auf 64Bit funktioniert. Bin gespannt.

      Jac de Lad;678612 schrieb:


      Kannst du nochmal genauer schreiben was das bewirkt und wozu man das braucht?


      Kein Problem.
      Neben den normalen Zugriffsrechten wurde unter Windows Vista ein neue Zugriffsbeschränkung eingeführt - Integritäten. Jedem Prozess wird dabei ein sogenannter Integritätslevel verliehen - je priveligierter ein Prozess, desto höher ist in der Regel dieser Level. Auch erzeugte Objekte (zum Beispiel Dateien) können einen solchen (M)IL erhalten. Versucht nun ein Prozess ein Objekt zu öffnen, das mit einem höheren MIL versehen ist als der des Prozesses, wird der Zugriff verweigert, auch wenn die Zugriffsrechte dies erlauben würden.
      Beispiele:
      Ein Programm, das unter Vista mit Administratorrechten gestartet wurde, kann Daten eines Prozesses nicht lesen, der als Service gestartet wurde.
      Ein Programm, das mit einem niedrigeren MIL gestartet wurde, kann nicht voll auf Dateien zugreifen, die einen höheren IL besitzen.

      Das Proggie soll MILStarter heißen.
      Zum Programm... Das Proggie MILStarter kann auf 3 Ebenen ausgeführt werden:
      a) Als normaler User. Hier ist es nur möglich, dem durch MILStarter aufgerufenen Programm einen niedrigeren MIL zu verpassen, als der eingeloggte User normalerweise hat - dürfte bei Franks Botschafter interessant sein.
      b) Mit Adminrechten. Hier kann man dem Prozess fast alle MILs verpassen, bis auf die Systemverbindlichkeitsstufe.
      c) Als "Service" mit Systemrechten. Hier hat man die Auswahl zwischen allen drei möglichen MILs, die der Prozess bekommen soll. Desweiteren kann man dem Prozess das Recht mitgeben, auf die Integritäten "zu scheißen" und sich damit wie unter XP zu verhalten. Nebenbei kann man dem neuen Prozess auch sagen, dass er sich seinen MIL auch mit aus der prozesserzeugenden Datei holen soll. Außerdem kann man festlegen, ob der Prozess als Admin, als normaler User oder als "Systemprozess" gestartet werden soll.

      Wozu braucht man das? Wohl unter anderem für Franks Botschafter, damit der wirklich alle Prozesse unter Vista hooken kann. Desweiteren unter Umständen für einen Dateimanager, damit der wirklich Zugriff auf alle Dateien hat.
    • Aha verstehe, das ist so ähnlich wie die CPU-Ringer?!
      http://de.wikipedia.org/wiki/Ring_(CPU)

      Ich teste gern.:-)
      XProfan-Semiprofi (XProfan X4a+XPIA+LemonEd)
      Ryzen 1700X/MSI B350 PC MATE/16GB RAM@2933MHz/Radeon HD7770 OC/Creative X-Fi XTreme Music/90TB HDD+256GB Samsung 960 EVO/28" Samsung 4k
      TerraMaster F4-420 mit 16TB
      XBox Classic/360S/One S/One X Scorpio Edition/PS3 Super Slim 500GB/PS4 Pro (XBL-ID: jacdelad, PSN: jacdelad84)
      OnePlus 6 8GB/256GB
      jacdelad.bplaced.net
    • Jac de Lad;678661 schrieb:

      Aha verstehe, das ist so ähnlich wie die CPU-Ringer?!
      http://de.wikipedia.org/wiki/Ring_(CPU)

      Nö, das hat eher was mit Treibern zu tun.
      Usermode => Ring 3, Kernelmode => Ring 0.

      Das was ich meine, spielt sich nur im Usermode ab und ist quasi eine neue Sicherheitsschranke, die Prozessen das Schreiben in Objekte des Betriebsystems (Systemordner) oder Systemprozesse (Services, Dienste) verbieten soll. Im Prinzip, genau so wie die UAC, eine geniale Sache. Das Teil ist ähnlich aufgebaut wie Restrict, ist aber wesentlich hässlicher.
      Google mal unter MIL, MIC, WIC, Mandatory Integrity Level, Mandatory Integrity Control und Integritätslevel.
    • p. specht;678694 schrieb:

      Specht´s "Kraut- und Rüben-Warnung!":
      Hier gehts offenbar schon um was recht Spezielles, Betriebssystemnahes - daher die Bitte, solche Sachen im Unterordner "Spezielles" zu posten
      (und an die armen Admins, den Thread gelegentlich dorthin zu verschieben)

      Wird demnächst gemacht - wusste nicht genau, wo es hingehört.
    • Da hab ich mit XP wohl nix zum Testen... :-D

      Specht´s "Kraut- und Rüben-Warnung!":
      Hier gehts offenbar schon um was recht Spezielles, Betriebssystemnahes - daher die Bitte, solche Sachen im Unterordner "Spezielles" zu posten
      (und an die armen Admins, den Thread gelegentlich dorthin zu verschieben)


      In jedem Thread gibt es einen Melden-Button. Dort kannst du den Admins/Mods jederzeit melden, dass was verschoben werden muss.
      Gruß, Frank
    • Hier kommt jetzt das Tool:

      [Blockierte Grafik: http://freenet-homepage.de/ahfundgrube/MILStarter.gif]

      MILStarter: Download von meiner Homepage oder Downloadlink bei Anfrage per PM.

      Den einzigen Hinweis den ich dazu gefunden habe, das so etwas überhaupt mal von jemandem in Angriff genommen wurde, war in einem Microsoft Forum. Da hatten zwei Leute eine Frage zur "Manatory Policy" gestellt, die aber bislang nicht beantwortet wurde.
      Ist zwar noch sehr hässlich, dafür scheint es so etwas aber auch noch nicht zu geben. :-)

      PS: Das "Verschieben" noch Tools möchte ich doch nicht so gerne über den Button "melden" in Auftrag geben. Dort steht:
      Eine Nachricht sollte NUR dann gemeldet werden, wenn ein Verstoß gegen unsere Regeln vorliegt. Dies ist z.B. der Fall bei Spam :|, Werbung:( oder unsittlichen Beiträgen 8O :oops:.
    • PS: Das "Verschieben" noch Tools möchte ich doch nicht so gerne über den Button "melden" in Auftrag geben. Dort steht:
      Eine Nachricht sollte NUR dann gemeldet werden, wenn ein Verstoß gegen unsere Regeln vorliegt. Dies ist z.B. der Fall bei Spam :-|, Werbung:sad: oder unsittlichen Beiträgen :shock: :oops:.


      Schwabenpfeil hatte gestern vorgeschlagen so zu verfahren. :-)
      Gruß, Frank
    • Das können wir ja trotzdem machen.:D
      XProfan-Semiprofi (XProfan X4a+XPIA+LemonEd)
      Ryzen 1700X/MSI B350 PC MATE/16GB RAM@2933MHz/Radeon HD7770 OC/Creative X-Fi XTreme Music/90TB HDD+256GB Samsung 960 EVO/28" Samsung 4k
      TerraMaster F4-420 mit 16TB
      XBox Classic/360S/One S/One X Scorpio Edition/PS3 Super Slim 500GB/PS4 Pro (XBL-ID: jacdelad, PSN: jacdelad84)
      OnePlus 6 8GB/256GB
      jacdelad.bplaced.net
    • Update hochgeladen. Es ist nun möglich, MILStarter mit Parametern aufzurufen und so ein Programm direkt (ohne Aufruf der GUI) mit verändertem Integritätslevel zu starten. Alle Parameter sind in Anführungszeichen zu setzen. Sollen Parameter nicht berücksichtigt werden, ist ein "_" einzusetzen.

      1. Parameter: Die zu startende EXE mit Pfad.

      2. Parameter: Die an die EXE zu übergebenden Parameter

      3. Parameter: Der Integritätslevel, in dem der neue Prozess gestartet werden soll oder ein "_", wenn der Prozess mit dem Integritätslevel von MILStarter gestartet werden soll.
      Mögliche Integritätslevel:
      Niedrige Verbindlichkeitsstufe
      Mittlere Verbindlichkeitsstufe
      Hohe Verbindlichkeitsstufe
      Systemverbindlichkeitsstufe

      4. Parameter: Die Mandatory Policy, mit der der neue Prozess versehen werden soll:
      _ = Die Mandatory Policy, in der MILStarter läuft, wird übernommen
      0 = Integritäten sind für den gestarteten Prozess wirkungslos
      1 = Normales Verhalten, Integritäten werden berücksichtigt
      2 = Ein gestarteter Kindprozess hat die Integrität der EXE-Datei, wenn sie niedriger ist als der Integritätslevel des Elternprozesses
      3 = Ein gestarteter Kindprozess hat die Integrität der EXE-Datei, wenn sie niedriger ist als der Integritätslevel des Elternprozesses. Integritäten werden berücksichtigt.

      5. Parameter: Der Token, mit dem der neue Prozess gestartet werden soll:
      Admintoken
      Eigener
      WindowsExplorer

      Beispiel:

      Quellcode

      1. C:\EIGENES\MILStarter\MILStarter.exe "C:\EIGENES\FolderSpy\FolderSpy.exe" "_" "Systemverbindlichkeitsstufe" "0" "Eigener"


      a) Für Prozesse, die Hooking einsetzen, kann die MIC abgeschaltet werden. Hooking funktioniert damit auch wieder unter Vista global.

      b) Anwendungen, die eine erhöhte Sicherheitsstufe erfordern (wie zum Beispiel Browser), können in einem niederigeren Integritätslevel gestartet werden.

      c) Programme, die erhöhte Zugriffsrechte benötigen, können mit einem höheren Integritätslevel versehen werden.

      ...
    • Neue Version hochgeladen: Der Parameterstart funktionierte manchmal nicht korrekt.
      Downloadlink

      Zur Erinnerung: Mit diesem Programm ist es unter anderem möglich, die MIC von Vista und Windows7 für den ausgewählten Prozess komplett abzuschalten - das heißt, der gestartete Prozess kann wieder alle Programme hooken, an alle Programme Messages senden... etc... :-)