1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Printnightmare: Drucker…

Seit NT4 läuft der Spooler als "LocalSystem"

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: JouMxyzptlk 13.08.21 - 18:57

    davor wahrscheinlich auch schon... Und in Windows 11 und Server 2022 immer noch.
    Das ist der eigentliche Fehler.
    Dabei geht es schon seit NT 4.0 dass Dienste nicht als "LocalSystem" laufen müssen... Das hätte für den Spooler "nur" umgesetzt werden müssen.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.

  2. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: stop 14.08.21 - 02:12

    Ich verstehe nich wieso unter windows alles mit maximalen rechten laufen muss

  3. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: mhstar 14.08.21 - 07:58

    Weil's "einfacher" ist.

    Fast jeder Dienst in NT4 läuft als SYSTEM (die Unterscheidung von LocalSystem und die anderen, anders privilegierten Dienstkonten gab's bei NT4 nicht, aber das weiß man nicht, wenn man nur halb angelesenes Wissen hat und den Rest sich ausdenkt), weil es die Standardeinstellung bei den diversen IDEs ist, man sich nicht mit Konten herumschlagen muss, und weil einfach "alles geht".

    Stört mich auch, wenn Dienste mit absolut maximalsten Rechten laufen müssen - SYSTEM hat zum Teil Privilegien die nicht mal der Admin standardmäßig hat. Da kann man schreien, die Firmen fragen was zum Teufel sie sich denken, und es interessiert keinen. Ein IMAP Dienst o.ä. hat niemals als SYSTEM zu laufen.

    Meine Dienste laufen mit minimalsten Rechten. Ich finde das ästhetisch und sauber gelöst, aber auch das interessiert keinen. Kann ich zwar sagen, aber zurück kommt ein "aha".



    3 mal bearbeitet, zuletzt am 14.08.21 08:00 durch mhstar.

  4. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: herrmausf 14.08.21 - 10:17

    Weil sich leider viele Software-Buden (inkl. Microsoft scheinbar) keine Gedanken über sicheren und seriösen IT-Betrieb machen. Hauptsache es läuft, Sicherheit wird immer nur nachträglich rangefriemelt.
    Wenn du fragst welche Recht irgend ein Service wirklich benötigt damit das Produkt funktioniert erntest du meist Schulterzucken und du darfst selber experimentieren. Im Fehlerfall ist dass dann immer ein Kundenfehler - natürlich.

  5. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: JouMxyzptlk 14.08.21 - 10:29

    mhstar schrieb:
    --------------------------------------------------------------------------------
    > Weil's "einfacher" ist.
    >
    > Fast jeder Dienst in NT4 läuft als SYSTEM (die Unterscheidung von
    > LocalSystem und die anderen, anders privilegierten Dienstkonten gab's bei
    > NT4 nicht, aber das weiß man nicht, wenn man nur halb angelesenes Wissen
    > hat und den Rest sich ausdenkt), weil es die Standardeinstellung bei den
    > diversen IDEs ist, man sich nicht mit Konten herumschlagen muss, und weil
    > einfach "alles geht".

    Es ist so unglaublich ärgerlich dass immer wieder aus irgendwelche Ecken Menschen mit einer derartigen Auftreten gnadenlos Falschinformationen verbreiten.
    Hier, extra nur für dich ganz aktuell heute erstellt weil es mich so was von aufregt irgendwelche falsche Aussagen dahinzuwerfen und anderen immer den "Gegenbeweis" aufzulasten. Ich hoffe du prüft in Zukunft deine Aussagen bevor im Internet schreibst:



    > Stört mich auch, wenn Dienste mit absolut maximalsten Rechten laufen müssen
    > - SYSTEM hat zum Teil Privilegien die nicht mal der Admin standardmäßig
    > hat.

    Man kann sich aber auch als SYSTEM eine interaktive CMD oder Powershell holen. Ist aber selten nötig. Dieses Diensteverhalten ist einfach ärgerlich - das OS an sich gibt es her.

    > Da kann man schreien, die Firmen fragen was zum Teufel sie sich
    > denken, und es interessiert keinen. Ein IMAP Dienst o.ä. hat niemals als
    > SYSTEM zu laufen.

    Zumal es Microsoft inzwischen mit "Managed Service Accounts" und ähnlichem einfacher macht - man muss sich nicht mal um das Passwort kümmern, es ist ein Zufallspasswort welches man nicht mal copy-pasten könnte, wie bei Rechnerkonten.
    Diese schlechte Programmierverhalten ist mit einer der Gründe warum fast jedes Serverprogramm heute eine eigene virtuelle Kiste bekommt: Dann kann es nur sein eigenes "LocalSystem" kaputt machen.

    > Meine Dienste laufen mit minimalsten Rechten. Ich finde das ästhetisch und
    > sauber gelöst, aber auch das interessiert keinen. Kann ich zwar sagen, aber
    > zurück kommt ein "aha".

    Weist du zufällig wie der Spooler als Dummnutzer laufen kann? Als ich das vor ein paar Jahren und aktuell probiert habe, lief es nicht. Egal wo das Spoolerverzeichnis ist - das fällt als Grund aus. Und Google-Fu mit den Stichworten gibt genau das nicht her, Hauptteffer sind immer so "wie kann ein nicht admin benutzer Spooler leeren" und ähnliches. Wenn man den Dienst als nicht-System starten will kommt immer eine "use secpol" Meldung. Aber genau das was man vermutlich einstellen muss gibt es nicht: Welche Konten interaktiv mit dem Desktop kommunizieren dürfen.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.



    2 mal bearbeitet, zuletzt am 14.08.21 10:37 durch JouMxyzptlk.

  6. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: FreiGeistler 15.08.21 - 21:58

    stop schrieb:
    --------------------------------------------------------------------------------
    > Ich verstehe nich wieso unter windows alles mit maximalen rechten laufen muss

    Ease of use, was das "Gefrickel" aber nur herausgeschoben hat.

  7. Re: Seit NT4 läuft der Spooler als "LocalSystem"

    Autor: FreiGeistler 15.08.21 - 22:05

    JouMxyzptlk schrieb:
    --------------------------------------------------------------------------------
    > Weist du zufällig wie der Spooler als Dummnutzer laufen kann? Als ich das
    > vor ein paar Jahren und aktuell probiert habe, lief es nicht. Egal wo das
    > Spoolerverzeichnis ist - das fällt als Grund aus. [...] Wenn man den Dienst
    > als nicht-System starten will kommt immer eine "use secpol" Meldung. Aber
    > genau das was man vermutlich einstellen muss gibt es nicht: Welche Konten
    > interaktiv mit dem Desktop kommunizieren dürfen.

    Eben, der Dienst/die Software selbst ist nicht dafür ausgelegt, als unprivilegierter Nutzer zu laufen. Vermutlich braucht es das, um mit legacy-Treibern zu kommunizieren oder so n' Scheiss.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Engineer / Entwickler digitale Lösungen (m/w/d)
    BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
  2. Servicetechniker (w/m/d) 2nd Level
    Bechtle Onsite Services GmbH, Wolfsburg
  3. Technische Konzeption / Evaluation Content-Management-System (m/w/d)
    Universität Hamburg, Hamburg
  4. Applikationsbetreuer / Softwareentwickler / Datenbankadministrator (m/w/d)
    Karl Simon GmbH & Co. KG, Aichhalden

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. danach 7,99€/Monat für Prime-Mitglieder (sonst 9,99€) - jederzeit kündbar
  2. 756,29€ (Bestpreis)
  3. (u. a. Zangen-Set 3-teilig für 37,59€, Schraubendreher-Set 6-teilig für 31€)
  4. (u. a. iFixit Pro Tech Toolkit Werkzeug-Set für Elektronikreparaturen für 59,90€, Thermaltake...


Haben wir etwas übersehen?

E-Mail an news@golem.de