Mit der CreateRestrictedToken-Funktion lässt sich eine Art Mini-Benutzerkontensteuerung realisieren. Für Windows XP gibt es beispielsweise das Programm DropMyRights, was diese Funktionalität nutzt, in dem es aus dem Restricted Token die Administratorgruppe entfernt. Allerdings ist es auf diese Weise nicht möglich, einmal freiwillig abgegebene Rechte wieder zurückzuholen. Würde man DropMyRights auf die Explorer-Shell anwenden, hätten alle gestarteten Programme nur die eingeschränkten Rechte.
Um die verlorenen Rechte wiederzuerlangen, ist ein neues Logon bei der LSA erforderlich. Dadurch verlieren Tochterprozesse jedoch ihre Credentials. Somit ist es insbesondere nicht mehr möglich auf Netzwerklaufwerke zuzugreifen. Temporär gemountete Netzlaufwerke, sind im Tochterprozess gar nicht sichtbar. Permanent gemountete (Option „Reconnect at Logon“) sind zwar sichtbar aber nicht nutzbar. Bild 4 zeigt, dass die Administrator-Konsole nur das permanente Laufwerk Y: besitzt, auf das sich aber mittels dir nicht zugreifen lässt.
So wird unmittelbar klar, dass bestimmte Dinge nicht funktionieren: Anwendungen, die nicht „UAC-aware“ sind, jedoch Administratorrechte benötigen, kann man nur mit der Option „Als Administrator ausführen“ starten. Sie haben dann jedoch keine Netzwerklaufwerke und andere Fernressourcen, etwa Drucker oder Named Pipes, zur Verfügung.
Grundsätzlich ist es natürlich aus Sicherheitserwägungen richtig, Prozesse, die über ein erneutes Logon ein neues Token erhalten, nicht mit den Credentials eines anderen Prozesses auszustatten. Jedoch hätte Microsoft einen Mechanismus schaffen müssen, der es erlaubt, ein Token zu erzeugen, das die verlorengegangenen Rechte eines Mutterprozesstokens zurückerhält, ohne dazu einen Logon durchzuführen. Das hätte man mit einer Bestätigung über den Secure Desktop absichern können.
Man könnte argumentieren, dass dies zu gefährlich ist, weil es seinen Grund hat, dass Tochterprozesse sich keine einmal entzogenen Rechte zurückholen dürfen. Da es die Benutzerkontensteuerung in der Standardeinstellung jedoch erlaubt, ohne Eingabe des Passworts ein neues Logon bei der LSA durchzuführen, sind beide Möglichkeiten sicherheitstechnisch gleich gefährlich. So hätte Microsoft die Inkompatibilitäten mit älteren Programmen bei der Benutzerkontensteuerung vermeiden können.
Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.
Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…
Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…
Es entsteht im US-Bundesstaat Louisiana. Meta sichert damit den Rechenbedarf für seine KI-Dienste.
Weniger Lärm und ein besserer Verkehrsfluss sind die einzigen Vorteile, der die Mehrheit der Bevölkerung…
Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…