8
Microsoft machts möglich - mehr Rechte gleich weniger Rechte
Wer am Osterdienstag Langeweile haben sollte, kann hier mitlachen:
nehmt mal ein Win10 (funktioniert aber vermutlich auch auf 7 und 8) und führt folgende Schritte aus:
-öffnet secpol.msc und geht unter lokale Policy - Zuweisen von Benutzerrechten und gebt eurem schwachen Nutzer das Recht, die Systemzeit zu ändern
-meldet den schwachen Nutzer danach neu an und ihr dürft in der Tat die Zeit ändern - fein.
-nun nehmt den schwachen Nutzer noch in die lokale Gruppe der Netzwerkkonfigurationsoperatoren auf und meldet ihn danach neu an.
Resultat: ihr dürft die Zeit nicht mehr ändern. Mehr Rechte gleich weniger Rechte - das ist doch mal hohe Programmierkunst
nehmt mal ein Win10 (funktioniert aber vermutlich auch auf 7 und 8) und führt folgende Schritte aus:
-öffnet secpol.msc und geht unter lokale Policy - Zuweisen von Benutzerrechten und gebt eurem schwachen Nutzer das Recht, die Systemzeit zu ändern
-meldet den schwachen Nutzer danach neu an und ihr dürft in der Tat die Zeit ändern - fein.
-nun nehmt den schwachen Nutzer noch in die lokale Gruppe der Netzwerkkonfigurationsoperatoren auf und meldet ihn danach neu an.
Resultat: ihr dürft die Zeit nicht mehr ändern. Mehr Rechte gleich weniger Rechte - das ist doch mal hohe Programmierkunst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300319
Url: https://administrator.de/contentid/300319
Printed on: April 20, 2024 at 03:04 o'clock
8 Comments
Latest comment
Gelacht, gestaunt und als ich gemerkt hab, dass die das ernst meinen, geweint. Danke für den Knaller für mich und meine Kollegen!
Vielen Dank, kurz geweint aber dann doch drüber lachen können. Microsoft machts möglich :D
Bin darüber gesolpert, als ich in einem anderen Forum davon las, dass jemand plötzlich nicht mehr die Zeit verstellen konnte, nachdem er vom Admin zum Poweruser "befördert" wurde. Schon lustig, denn die Gruppe Power User (Hauptbenutzer) hat ja seit Vista schon sicherheitstechnisch überhaupt keine Relevanz mehr, sie ist ein Dummy.
Wenn ich Netzwerkkonfig-Operator werde, wird überall dann eine UAC-Abfrage kommen, wo das Manifest ein runashighest enthält, siehe Runasinvoker auf Windows10 - dass diese Abfrage jedoch NUR beim Zeitstellen nun ein "access denied" produziert, ist schon erstaunlich. Das ist auch der Grund, warum ich es als Frage gepostet habe und nicht gleich unter Humor.
Wenn ich Netzwerkkonfig-Operator werde, wird überall dann eine UAC-Abfrage kommen, wo das Manifest ein runashighest enthält, siehe Runasinvoker auf Windows10 - dass diese Abfrage jedoch NUR beim Zeitstellen nun ein "access denied" produziert, ist schon erstaunlich. Das ist auch der Grund, warum ich es als Frage gepostet habe und nicht gleich unter Humor.
Hi DWW,
wenn Du schon mal dabei bist:
Kann dieser User denn noch über die Kommandozeile oder Script die Zeit ändern, wenn die CMD oder das Script max. eleviert laufen?
E.
wenn Du schon mal dabei bist:
Kann dieser User denn noch über die Kommandozeile oder Script die Zeit ändern, wenn die CMD oder das Script max. eleviert laufen?
E.
Versuch's mal selbst, bin schon nicht mehr dabei. Müsste auf allen Windowsversionen so sein, soweit ich sehe.
Hallo emeriks.
Habe gerade wieder dahin zurückgefunden/Zeit gefunden.
Hat der Nutzer das Privileg, die Uhrzeit stellen zu dürfen und ist ebenso in der Gruppe "Netzwerkkonfigurationsoperatoren", so kann er auf der Kommandozeile in der Tat mit dem Befehl
time
erfolgreich die Zeit stellen, wenn man die cmd elevated
Nun kommts: wenn er nicht in der Gruppe ist, dann braucht er die cmd nicht zu elevaten (logisch, denn nur die Gruppenmitgliedschaft und nicht das Zeitprivileg führt zum Splittoken)!
Ist man aber in der Gruppe, dann müsste die GUI also zum Zeitstellen auch Elevation anfordern - tut sie auch! Aber aus irgendeinem Grund wird das nicht korrekt weitergereicht.
Also mal wieder ein großes Schmankerl. Aber höchstwahrscheinlich keine Sicherheitslücke - nur darum ging es mir. Ich finde es bei Sicherheitsfunktionen gefährlich, wenn da Bugs drin sind, deshalb habe ich es untersucht.
Habe gerade wieder dahin zurückgefunden/Zeit gefunden.
Hat der Nutzer das Privileg, die Uhrzeit stellen zu dürfen und ist ebenso in der Gruppe "Netzwerkkonfigurationsoperatoren", so kann er auf der Kommandozeile in der Tat mit dem Befehl
time
erfolgreich die Zeit stellen, wenn man die cmd elevated
Nun kommts: wenn er nicht in der Gruppe ist, dann braucht er die cmd nicht zu elevaten (logisch, denn nur die Gruppenmitgliedschaft und nicht das Zeitprivileg führt zum Splittoken)!
Ist man aber in der Gruppe, dann müsste die GUI also zum Zeitstellen auch Elevation anfordern - tut sie auch! Aber aus irgendeinem Grund wird das nicht korrekt weitergereicht.
Also mal wieder ein großes Schmankerl. Aber höchstwahrscheinlich keine Sicherheitslücke - nur darum ging es mir. Ich finde es bei Sicherheitsfunktionen gefährlich, wenn da Bugs drin sind, deshalb habe ich es untersucht.
@dww
Danke für die Rückmeldung!
Das ist dann tatsächlich mal wieder ein Bsp. für: "It's not a bug. It's a feature!"
Danke für die Rückmeldung!
Das ist dann tatsächlich mal wieder ein Bsp. für: "It's not a bug. It's a feature!"
Nee, wenn etwas über die GUI nicht geht, was als Kommando geht, dann it das natürlich kein Feature, sondern ein Bug.
Die verbuggte Komponente ist jedoch nicht die Tokenerstellung, sondern die GUI des Zeitstellens, darum ging es mir.
Die verbuggte Komponente ist jedoch nicht die Tokenerstellung, sondern die GUI des Zeitstellens, darum ging es mir.
