Windows 11 - 24H2 - Rechte-Erweiterung via Taskmanager
Moin zusammen.
Ich nutze ein ThinkPad T14s Gen 4 zusammen mit einem Lenovo Thunderbolt Dock 3 und zwei externen Bildschirm, als OS kommt Windows 11 24H2 zum Einsatz. Wir arbeiten hier alle mit normalen Usern ohne Admin-Rechte, UAC ist aktiviert. Seit ~zwei Wochen habe ich nach Eingabe von Username und Passwort sporadisch einen schwarzen Bildschirm, es wird kein Desktop geladen (Grund noch unklar).
Also STRG+ALT+ENTF => Taskmanager => UAC-Dialog => als "ich" mit meinem Userpasswort starten. Der Taskmanager läuft also in meinem User-Kontext.
Taskmanager startet, ich schieße die explorer.exe (läuft in meinem User-Kontext) ab und starte sie über "Neuen Task ausführen" aus dem Taskmanager heraus neu. Desktop lädt, soweit alles ok bis hierhin, neu gestartete explorer.exe läuft wieder unter meinen User-Kontext.
Starte ich nun aus dem noch laufenden Task-Manager über "Neuen Task ausführen" eine cmd.exe, wird diese mit Administrator-Rechten geöffnet!
Innerhalb dieser CMD kann ich dann tatsächlich all das tun, was nur ein Administrator tun darf: User anlegen, HOSTS-Datei editieren usw. Ich hab' den ganzen Vorgang jetzt bereits vier Mal durchgespielt (ja, mein Desktop lädt häufiger mal nicht in den letzten zwei Wochen), das Verhalten ist reproduzierbar.
Wird nach dem Login mein Desktop hingegen geladen und ich starte dann den Task-Manager, wird eine aus dem Task-Manager heraus ausgeführte cmd.exe ganz normal in meinem User-Kontext, also ohne Admin-Rechte, gestartet. Und nein, Admin-SD-Holder scheidet aus, mein "Daily Driver" User-Account hatte noch niemals Admin-Rechte.
Hat irgendwer ne Erklärung dafür? Oder kann das gar reproduzieren (ich weiß, schwierig, weil nur bei nur nicht ladendem Desktop zu beobachten)?
Danke und Cheers,
jsysde
Ich nutze ein ThinkPad T14s Gen 4 zusammen mit einem Lenovo Thunderbolt Dock 3 und zwei externen Bildschirm, als OS kommt Windows 11 24H2 zum Einsatz. Wir arbeiten hier alle mit normalen Usern ohne Admin-Rechte, UAC ist aktiviert. Seit ~zwei Wochen habe ich nach Eingabe von Username und Passwort sporadisch einen schwarzen Bildschirm, es wird kein Desktop geladen (Grund noch unklar).
Also STRG+ALT+ENTF => Taskmanager => UAC-Dialog => als "ich" mit meinem Userpasswort starten. Der Taskmanager läuft also in meinem User-Kontext.
Taskmanager startet, ich schieße die explorer.exe (läuft in meinem User-Kontext) ab und starte sie über "Neuen Task ausführen" aus dem Taskmanager heraus neu. Desktop lädt, soweit alles ok bis hierhin, neu gestartete explorer.exe läuft wieder unter meinen User-Kontext.
Starte ich nun aus dem noch laufenden Task-Manager über "Neuen Task ausführen" eine cmd.exe, wird diese mit Administrator-Rechten geöffnet!
Innerhalb dieser CMD kann ich dann tatsächlich all das tun, was nur ein Administrator tun darf: User anlegen, HOSTS-Datei editieren usw. Ich hab' den ganzen Vorgang jetzt bereits vier Mal durchgespielt (ja, mein Desktop lädt häufiger mal nicht in den letzten zwei Wochen), das Verhalten ist reproduzierbar.
Wird nach dem Login mein Desktop hingegen geladen und ich starte dann den Task-Manager, wird eine aus dem Task-Manager heraus ausgeführte cmd.exe ganz normal in meinem User-Kontext, also ohne Admin-Rechte, gestartet. Und nein, Admin-SD-Holder scheidet aus, mein "Daily Driver" User-Account hatte noch niemals Admin-Rechte.
Hat irgendwer ne Erklärung dafür? Oder kann das gar reproduzieren (ich weiß, schwierig, weil nur bei nur nicht ladendem Desktop zu beobachten)?
Danke und Cheers,
jsysde
Please also mark the comments that contributed to the solution of the article
Content-ID: 669295
Url: https://administrator.de/contentid/669295
Printed on: December 5, 2024 at 23:12 o'clock
14 Comments
Latest comment
Starte ich nun aus dem noch laufenden Task-Manager über "Neuen Task ausführen" eine cmd.exe, wird diese mit Administrator-Rechten geöffnet!
Zero-Day melden. Responsible disclosure....
Wüst, die Geschichte. Schonmal versucht Win11 drüberzubügeln? Passiert das nur bei dem einen Client oder auf mehreren?
Irgendwo scheint da das OS nicht rund zu laufen, wenn da gleich zu Beginn die explorer.exe abk*ckt.
Sagt eventvwr was dazu?
Hi,
das beschriebene Verhalten ist normal. Deine Angaben dann aber falsch.
Der Explorer startet standardmäßig immer nicht eleviert. Es sei denn, man schaltet UAC komplett aus oder baut sich etwas über die Registry.
E.
Edit:
Der Taskmanager oder z.B. die MMC bewirken nur dann beim Start den UAC-Anmeldedialog, wenn das startende Konto direkt oder indirekt Mitglied einer der durch UAC geschützten lokalen Gruppen ist. Das kann z.B. auch "nur" die "Sicherungs-Operatoren" sein.
Run File Explorer as Admin
How to Run File Explorer Elevated
(nicht jedes getestet)
das beschriebene Verhalten ist normal. Deine Angaben dann aber falsch.
Wir arbeiten hier alle mit normalen Usern ohne Admin-Rechte,
Wenn dem so wäre, dann könntest Du Dein Konto nicht elevieren. Weil dem aber nach Deinen Angaben so istUAC-Dialog => als "ich" mit meinem Userpasswort starten. Der Taskmanager läuft also in meinem User-Kontext.
hat Dein Konto also potentiell lokale Adminrechte.Der Explorer startet standardmäßig immer nicht eleviert. Es sei denn, man schaltet UAC komplett aus oder baut sich etwas über die Registry.
E.
Edit:
Der Taskmanager oder z.B. die MMC bewirken nur dann beim Start den UAC-Anmeldedialog, wenn das startende Konto direkt oder indirekt Mitglied einer der durch UAC geschützten lokalen Gruppen ist. Das kann z.B. auch "nur" die "Sicherungs-Operatoren" sein.
Run File Explorer as Admin
How to Run File Explorer Elevated
(nicht jedes getestet)
Moin.
Schau nocheinmal nach, in welchen Gruppen Du bist. Wie emeriks sagte, ohne z.B. Netzwerkoperatoren/Backupoperatoren dürfte der Taskmanager gar nicht die UAC bringen.
Dann entferne dich zum test aus diesen Gruppen.
So oder so ist es ein Monsterbug, da das Verhalten nicht anders sein darf, egal, ob vorher die explorer.exe spackt, oder nicht.
Schau nocheinmal nach, in welchen Gruppen Du bist. Wie emeriks sagte, ohne z.B. Netzwerkoperatoren/Backupoperatoren dürfte der Taskmanager gar nicht die UAC bringen.
Dann entferne dich zum test aus diesen Gruppen.
So oder so ist es ein Monsterbug, da das Verhalten nicht anders sein darf, egal, ob vorher die explorer.exe spackt, oder nicht.
Wenn ich den Taskmanager aufrufe bei aktivierter UAC, werde ich schon immer nach meinem Passwort gefragt, das ist schon seit Windows 7 so
Nein, definitiv nicht. Dann musst du seit jeher mit einem Konto gearbeitet haben, dass in irgendeiner privilegierten Systemgruppe drin ist (Netzwerkkonfig.operatoren, Backupoperatoren,...)Ich bin Mitglied in den lokalen Gruppe "Benutzer" und "Netzwerkkonfigurations-Operatoren...
Siehste.Selbst nach Entfernung aus der Gruppe der "Netzwerkkonfigurations-Operatoren" bleibt das geschilderte Verhalten gleich
Wenn der Taskmanager danach trotz Neuanmeldung noch eine UAC bringt, bist Du entweder unbewusst in einer weiteren Gruppe drin, oder dein Windows ist defekt. Normal war das noch nie, auch nicht unter 24H2.
Ich habe schon an mir selbst gezweifelt und das soeben explizit nachgestellt.
Das habe ich mal durch Zufall herausgefunden, als ich beim Programmieren mit der Aktivierung der Privilegien für einzelne Prozesse experimentiert hatte.
Es ändert nichts daran, was UAC macht, also das mit den zwei getrennten Benutzertoken, eins mit allen SID und eins nur mit den nicht-administrativen. Aber anspringen tut es auch, wenn eine Anwendung eines der betreffenden Privilegien aktivieren will. Die Privilegien sind schon von eher nicht sofort aktiviert. Das unterscheidet diese ja von den Berechtigungen, welche immer "aktiv" sind, wenn die entsprechende SID im Token enthalten ist. Wenn ein Prozess z.B. das Backup-Operator-Privileg benötigt, dann muss dieser das zunächst für sich selbst aktivieren. Wenn es dem Benutzer erteilt ist, dann kann die Aktivierung (ggf. über UAC) erfolgen, wenn nicht dann nicht (verweigert).
Nicht jede Anwendung aktiviert sofort alle Privilegien, die es für irgendwelche Teilaufgaben benötigt. MMC und Taskmanager sind aber solche, welche das schon beim Starten versuchen. Im Falle dieser beiden starten dann diese Anwendungen gar nicht, wenn der Benutzer den UAC-Dalog abbricht. Man kann aber Anwendungen schreiben, dass sie diese benötigen ("requireAdministrator") oder nur die höchstmöglichen anfordern ("highestAvailable"). Erstere brechen den Start ab, wenn nicht erfolgreich, und letztere starten, können aber u.U. ihre Aufgaben nicht erledigen.
Das habe ich mal durch Zufall herausgefunden, als ich beim Programmieren mit der Aktivierung der Privilegien für einzelne Prozesse experimentiert hatte.
Es ändert nichts daran, was UAC macht, also das mit den zwei getrennten Benutzertoken, eins mit allen SID und eins nur mit den nicht-administrativen. Aber anspringen tut es auch, wenn eine Anwendung eines der betreffenden Privilegien aktivieren will. Die Privilegien sind schon von eher nicht sofort aktiviert. Das unterscheidet diese ja von den Berechtigungen, welche immer "aktiv" sind, wenn die entsprechende SID im Token enthalten ist. Wenn ein Prozess z.B. das Backup-Operator-Privileg benötigt, dann muss dieser das zunächst für sich selbst aktivieren. Wenn es dem Benutzer erteilt ist, dann kann die Aktivierung (ggf. über UAC) erfolgen, wenn nicht dann nicht (verweigert).
Nicht jede Anwendung aktiviert sofort alle Privilegien, die es für irgendwelche Teilaufgaben benötigt. MMC und Taskmanager sind aber solche, welche das schon beim Starten versuchen. Im Falle dieser beiden starten dann diese Anwendungen gar nicht, wenn der Benutzer den UAC-Dalog abbricht. Man kann aber Anwendungen schreiben, dass sie diese benötigen ("requireAdministrator") oder nur die höchstmöglichen anfordern ("highestAvailable"). Erstere brechen den Start ab, wenn nicht erfolgreich, und letztere starten, können aber u.U. ihre Aufgaben nicht erledigen.
Moin,
ein Punkt möchte ich einwerfen.
Ich habe hier ein Notebook mit Domain Anbindung. Der genutzte User hatte noch nie Admin Rechte.
Wenn ich hier den Task Manager starte, muss ich mich an der UAC authentifizieren. Entweder mit User Rechten. Oder eben mit einem User der Admin auf der Kiste ist.
Das verhalten ist doch nicht neu. Oder weicht dies echt vom default ab?
Bezüglich dem Verhalten mit der Rechteausweitung versuch ich das morgen mal nachzustellen.
Gruß
Spirit
ein Punkt möchte ich einwerfen.
Ich habe hier ein Notebook mit Domain Anbindung. Der genutzte User hatte noch nie Admin Rechte.
Wenn ich hier den Task Manager starte, muss ich mich an der UAC authentifizieren. Entweder mit User Rechten. Oder eben mit einem User der Admin auf der Kiste ist.
Das verhalten ist doch nicht neu. Oder weicht dies echt vom default ab?
Bezüglich dem Verhalten mit der Rechteausweitung versuch ich das morgen mal nachzustellen.
Gruß
Spirit
Zitat von @DerWoWusste:
Wurde doch schon behandelt. Sobald der Nutzer extra-Privilegien (seprivilege...) hat, kommt die UAC beim Taskmanager und auch bei regedit, sonst nicht.
Wurde doch schon behandelt. Sobald der Nutzer extra-Privilegien (seprivilege...) hat, kommt die UAC beim Taskmanager und auch bei regedit, sonst nicht.
Und dazu soll es schon reichen z.B. "networkOP" zu sein? Wer denkt sich so einen Mist aus?
Hirnschmalz gibt's hier immer gratis, gerade um 22:22 Uhr immer wieder gern.
Schönen Abend Dir!
PS: wir haben bei jeder Erstanmeldung an Win11-Systemen auch dieses Blackscreen-Phänomen auf 23H2. Ist schon eine tolle Wurst. Bei 24H2 (und Server 2025) ist übrigens der Remote Credential Guard komplett defekt und verhindert SSO an non-24H2/non-Server2025-Systemen. Bis Microsoft das fixt, wird 25 H2 draußen sein, mein Supportfall läuft schon 3 Monate ohne Ergebnis.
Schönen Abend Dir!
PS: wir haben bei jeder Erstanmeldung an Win11-Systemen auch dieses Blackscreen-Phänomen auf 23H2. Ist schon eine tolle Wurst. Bei 24H2 (und Server 2025) ist übrigens der Remote Credential Guard komplett defekt und verhindert SSO an non-24H2/non-Server2025-Systemen. Bis Microsoft das fixt, wird 25 H2 draußen sein, mein Supportfall läuft schon 3 Monate ohne Ergebnis.