Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HP, Philips, Fujitsu: Bloatware auf…

sc sdset pdiservice .... Logik des Aufrufes?

  1. Thema

Neues Thema Ansicht wechseln


  1. sc sdset pdiservice .... Logik des Aufrufes?

    Autor: menno 25.04.17 - 21:47

    sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)"

    Kann mir jemand diesen Bandwurm erklären? Besonders die Buchstabenketten?
    Was ist die Logik der Parameter?

  2. Re: sc sdset pdiservice .... Logik des Aufrufes?

    Autor: Tigtor 25.04.17 - 22:00

    menno schrieb:
    --------------------------------------------------------------------------------
    > sc sdset pdiservice
    > D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
    > (A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)"
    >
    > Kann mir jemand diesen Bandwurm erklären? Besonders die Buchstabenketten?
    > Was ist die Logik der Parameter?

    Ja, aber nicht weiter sagen: das wird der nächste Konamicode

    1000-7

  3. Re: sc sdset pdiservice .... Logik des Aufrufes?

    Autor: menno 25.04.17 - 22:15

    Antworte ich mir mal selber.
    Setzt für den Service pdiservice die ServiceSecurityDescriptor.
    Macht letztere für mich nicht lesbarer, aber gut nachvollziehbar, was das ganze soll.

    http://blogs.msmvps.com/erikr/2007/09/26/set-permissions-on-a-specific-service-windows/

  4. Re: sc sdset pdiservice .... Logik des Aufrufes?

    Autor: Bouncy 25.04.17 - 22:41

    menno schrieb:
    --------------------------------------------------------------------------------
    > sc sdset pdiservice D:
    Sicherheitsbeschreibungen für Dienste setzen, analog zu den ACLs der Dateien, quasi ServiceACL.
    Aufbau: nach D: kommt zuerst ein A für ALLOW oder D für DENY, dann was alles allowed oder denied ist, dann für wen das Geschriebene gilt.
    BA ist die Gruppe der Admins, IA die angemeldeten User, SU das Dienstkonto, bei SY tippe ich einfach mal auf System.
    > (A;;CCLCSWRPWPDTLOCRRC;;;SY)
    An dem Beispiel: erlaube die folgenden Dinge für den Benutzer SY (natürlich munter aus dem MSDN rauskopiert, nicht selbst ausm Ärmel geschüttelt ;):
    > CC
    SERVICE_QUERY_CONFIG (0x0001) Required to call the QueryServiceConfig and QueryServiceConfig2 functions to query the service configuration.
    > LC
    SERVICE_QUERY_STATUS (0x0004) Required to call the QueryServiceStatusEx function to ask the service control manager about the status of the service.
    > SW
    SERVICE_ENUMERATE_DEPENDENTS (0x0008) Required to call the EnumDependentServices function to enumerate all the services dependent on the service.
    > RP
    SERVICE_START (0x0010) Required to call the StartService function to start the service.
    > WP
    SERVICE_STOP (0x0020) Required to call the ControlService function to stop the service.
    > DT
    SERVICE_PAUSE_CONTINUE (0x0040) Required to call the ControlService function to pause or continue the service.
    > LO
    SERVICE_INTERROGATE (0x0080) Required to call the ControlService function to ask the service to report its status immediately.
    > CR
    SERVICE_USER_DEFINED_CONTROL(0x0100) Required to call the ControlService function to specify a user-defined control code.
    > RC
    READ_CONTROL Required to call the QueryServiceObjectSecurity function to query the security descriptor of the service object.
    > und noch der wichtigste, auch wenn er in diesem Beispiel nicht für SY gilt
    > DC
    SERVICE_CHANGE_CONFIG (0x0002) Required to call the ChangeServiceConfig or ChangeServiceConfig2 function to change the service configuration. Because this grants the caller the right to change the executable file that the system runs, it should be granted only to administrators.


    Dem Screenshot 5 zufolge hatten AU, also authentifizierte User, das Recht zu DC (siehe dessen Zeichenkette), was in Screenshot 3 dann auch entsprechend benutzt wird (ChangeServiceConfig), also die Konfig des Dienstes wie im Artikel beschrieben ändern um dem Pfad das "[blabla]cmd.exe" hinzuzufügen.

    Der hübsche neue Befehl enthält nun keinen AU mehr, der damit auch keine verkorksten Rechte mehr hat.

    [PARANOIA]Wenn man sich die ganz dezente Warnung von Microsoft zu DC und den Aufwand um so eine Berechtigung zu generieren ansieht, wäre es wohl seeeeeeeeeeeehr wohlwollend, hier von einem versehentlichen Fehler auszugehen. "Hups, hab beim Niesen nur ganz zufällig CCDCLCSWRPWPDTLOCRSDRCWDWO getippt, keine Absicht!"[/PARANOIA]



    1 mal bearbeitet, zuletzt am 25.04.17 22:42 durch Bouncy.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, München, Rheinbach
  2. INTERPLAN Congress, Meeting & Event Management AG, München
  3. DAKOSY Datenkommunikationssystem AG, Hamburg
  4. BWI GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. HP Reactor Omen Maus für 34,90€, HP Pavilion Gaming Headset für 39,90€, HP Pavilin...
  2. (u. a. Battlefield V Deluxe Edition Xbox für 19,99€, Fortnite Epic Neo Versa Bundle + 2000 V...
  3. 128,99€
  4. 78,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Linux-Gaming: Steam Play or GTFO!
Linux-Gaming
Steam Play or GTFO!

Meine ersten Gaming-Eindrücke nach dem Umstieg von Windows auf Linux sind dank Steam recht positiv gewesen: Doch was passiert, wenn ich die heile Steam-(Play-)Welt verlasse und trotzdem Windows-Spiele unter Linux starten möchte? Meine anfängliche Euphorie weicht Ernüchterung.
Ein Praxistest von Eric Ferrari-Herrmann

  1. Project Mainline und Apex Google bringt überall Android-Updates, außer am Kernel
  2. Ubuntu Lenovo bietet Laptops mit vorinstalliertem Linux an
  3. Steam Play Tschüss Windows, hallo Linux - ein Gamer zieht um

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

  1. Equiano: Googles Seekabel erschließt abgelegene Südatlantikinsel
    Equiano
    Googles Seekabel erschließt abgelegene Südatlantikinsel

    Das Equiano-Seekabel von Google wird einen Abzweig an die Insel St. Helena machen. Doch die Kapazität übersteigt den Eigenbedarf bei weitem, weshalb die Saints zahlende Mitbenutzer suchen: Satellitenbetreiber.

  2. Gipfeltreffen: US-Konzerne wollen schnelle Antworten zu Huawei-Lizenzen
    Gipfeltreffen
    US-Konzerne wollen schnelle Antworten zu Huawei-Lizenzen

    Die Chefs von Cisco Systems, Intel, Broadcom, Qualcomm, Micron Technology, Western Digital und Google wollen endlich Klarheit zu Huawei. US-Präsident Donald Trump hat am Montag eine schnelle Bearbeitung von Anträgen auf Lieferungen an Huawei zugesagt.

  3. Automated Valet Parking: Daimler und Bosch dürfen autonom parken
    Automated Valet Parking
    Daimler und Bosch dürfen autonom parken

    In Stuttgart können Besucher ohne Begleitung das automatisierte Parken eines Mercedes ausprobieren: Daimler und Bosch haben die Freigabe für das Automated Valet Parking erhalten.


  1. 19:25

  2. 17:38

  3. 17:16

  4. 16:30

  5. 16:12

  6. 15:00

  7. 15:00

  8. 14:30