jsysde
Goto Top

Windows 11 - 24H2 - Rechte-Erweiterung via Taskmanager

Moin zusammen.

Ich nutze ein ThinkPad T14s Gen 4 zusammen mit einem Lenovo Thunderbolt Dock 3 und zwei externen Bildschirm, als OS kommt Windows 11 24H2 zum Einsatz. Wir arbeiten hier alle mit normalen Usern ohne Admin-Rechte, UAC ist aktiviert. Seit ~zwei Wochen habe ich nach Eingabe von Username und Passwort sporadisch einen schwarzen Bildschirm, es wird kein Desktop geladen (Grund noch unklar).

Also STRG+ALT+ENTF => Taskmanager => UAC-Dialog => als "ich" mit meinem Userpasswort starten. Der Taskmanager läuft also in meinem User-Kontext.

Taskmanager startet, ich schieße die explorer.exe (läuft in meinem User-Kontext) ab und starte sie über "Neuen Task ausführen" aus dem Taskmanager heraus neu. Desktop lädt, soweit alles ok bis hierhin, neu gestartete explorer.exe läuft wieder unter meinen User-Kontext.

Starte ich nun aus dem noch laufenden Task-Manager über "Neuen Task ausführen" eine cmd.exe, wird diese mit Administrator-Rechten geöffnet!

Innerhalb dieser CMD kann ich dann tatsächlich all das tun, was nur ein Administrator tun darf: User anlegen, HOSTS-Datei editieren usw. Ich hab' den ganzen Vorgang jetzt bereits vier Mal durchgespielt (ja, mein Desktop lädt häufiger mal nicht in den letzten zwei Wochen), das Verhalten ist reproduzierbar.

Wird nach dem Login mein Desktop hingegen geladen und ich starte dann den Task-Manager, wird eine aus dem Task-Manager heraus ausgeführte cmd.exe ganz normal in meinem User-Kontext, also ohne Admin-Rechte, gestartet. Und nein, Admin-SD-Holder scheidet aus, mein "Daily Driver" User-Account hatte noch niemals Admin-Rechte.

Hat irgendwer ne Erklärung dafür? Oder kann das gar reproduzieren (ich weiß, schwierig, weil nur bei nur nicht ladendem Desktop zu beobachten)?

Danke und Cheers,
jsysde

Content-ID: 669295

Url: https://administrator.de/contentid/669295

Ausgedruckt am: 07.11.2024 um 01:11 Uhr

kpunkt
kpunkt 06.11.2024 um 14:04:39 Uhr
Goto Top
Starte ich nun aus dem noch laufenden Task-Manager über "Neuen Task ausführen" eine cmd.exe, wird diese mit Administrator-Rechten geöffnet!

Zero-Day melden. Responsible disclosure....
Wüst, die Geschichte. Schonmal versucht Win11 drüberzubügeln? Passiert das nur bei dem einen Client oder auf mehreren?
Irgendwo scheint da das OS nicht rund zu laufen, wenn da gleich zu Beginn die explorer.exe abk*ckt.
Sagt eventvwr was dazu?
emeriks
emeriks 06.11.2024 aktualisiert um 14:11:24 Uhr
Goto Top
Hi,
das beschriebene Verhalten ist normal. Deine Angaben dann aber falsch.

Wir arbeiten hier alle mit normalen Usern ohne Admin-Rechte,
Wenn dem so wäre, dann könntest Du Dein Konto nicht elevieren. Weil dem aber nach Deinen Angaben so ist
UAC-Dialog => als "ich" mit meinem Userpasswort starten. Der Taskmanager läuft also in meinem User-Kontext.
hat Dein Konto also potentiell lokale Adminrechte.

Der Explorer startet standardmäßig immer nicht eleviert. Es sei denn, man schaltet UAC komplett aus oder baut sich etwas über die Registry.

E.

Edit:
Der Taskmanager oder z.B. die MMC bewirken nur dann beim Start den UAC-Anmeldedialog, wenn das startende Konto direkt oder indirekt Mitglied einer der durch UAC geschützten lokalen Gruppen ist. Das kann z.B. auch "nur" die "Sicherungs-Operatoren" sein.

Run File Explorer as Admin
How to Run File Explorer Elevated
(nicht jedes getestet)
DerWoWusste
DerWoWusste 06.11.2024 um 14:38:58 Uhr
Goto Top
Moin.

Schau nocheinmal nach, in welchen Gruppen Du bist. Wie emeriks sagte, ohne z.B. Netzwerkoperatoren/Backupoperatoren dürfte der Taskmanager gar nicht die UAC bringen.
Dann entferne dich zum test aus diesen Gruppen.

So oder so ist es ein Monsterbug, da das Verhalten nicht anders sein darf, egal, ob vorher die explorer.exe spackt, oder nicht.
jsysde
jsysde 06.11.2024 um 16:50:17 Uhr
Goto Top
Moin.

Hmm. Ihr verwirrt mich. Wenn ich den Taskmanager aufrufe bei aktivierter UAC, werde ich schon immer nach meinem Passwort gefragt, das ist schon seit Windows 7 so. Wir haben die UAC ja bewusst so eingestellt. Ich habe dann aber mitnichten administrative Rechte auf meiner Maschine (dafür habe ich einen extra Admin-Account).

Ich bin Mitglied in den lokalen Gruppe "Benutzer" und "Netzwerkkonfigurations-Operatoren"; letzteres auch nur deswegen, damit ich unterwegs ohne Admin-Rechte meine IP-Adresse ändern kann, wenn ich beim Kunden/im RZ unterwegs bin. Auch dies ist extra so eingerichtet, um ohne Admin-Rechte die IP-Konfiguration des Rechners anpassen zu können.

Selbst nach Entfernung aus der Gruppe der "Netzwerkkonfigurations-Operatoren" bleibt das geschilderte Verhalten gleich - ich kann aus einem non-elevated Task-Manager eine elevated CMD starten.

Das der Explorer non-elevated startet ist mir bewusst, daran will ich ja auch gar nichts ändern. Aktuell passiert das ausschließlich auf meinem Laptop, Kollegen haben das Problem mit nicht ladendem Desktop nicht. Im Eventviewer finde ich leider gar nichts dazu, was auf die Ursache hindeuten könnte.

Anyway, thx für euer Hirnschmalz. Wenn noch jemand ne Idee hat, immer her damit.

Cheers,
jsysde
DerWoWusste
DerWoWusste 06.11.2024 aktualisiert um 17:01:31 Uhr
Goto Top
Wenn ich den Taskmanager aufrufe bei aktivierter UAC, werde ich schon immer nach meinem Passwort gefragt, das ist schon seit Windows 7 so
Nein, definitiv nicht. Dann musst du seit jeher mit einem Konto gearbeitet haben, dass in irgendeiner privilegierten Systemgruppe drin ist (Netzwerkkonfig.operatoren, Backupoperatoren,...)
Ich bin Mitglied in den lokalen Gruppe "Benutzer" und "Netzwerkkonfigurations-Operatoren...
Siehste.
Selbst nach Entfernung aus der Gruppe der "Netzwerkkonfigurations-Operatoren" bleibt das geschilderte Verhalten gleich
Wenn der Taskmanager danach trotz Neuanmeldung noch eine UAC bringt, bist Du entweder unbewusst in einer weiteren Gruppe drin, oder dein Windows ist defekt. Normal war das noch nie, auch nicht unter 24H2.
emeriks
emeriks 06.11.2024 aktualisiert um 17:09:42 Uhr
Goto Top
... oder er hat sich nach dem Entfernen aus der Gruppe nicht neu angemeldet.
... oder dem Benutzer ist direkt eines der über UAC geschützten Privilegien erteilt. Siehe lokale Sicherheitsrichtlinie.
DerWoWusste
DerWoWusste 06.11.2024 aktualisiert um 17:34:09 Uhr
Goto Top
oder dem Benutzer ist direkt eines der über UAC geschützten Privilegien erteilt.
Das Privileg bringt die UAC hoch? Das bezweifle ich hart.
EDIT: Ups. ich habe nichts gesagt, das stimmt! face-wink
emeriks
emeriks 06.11.2024 aktualisiert um 18:01:05 Uhr
Goto Top
Zitat von @DerWoWusste:
EDIT: Ups. ich habe nichts gesagt, das stimmt! face-wink
Ich habe schon an mir selbst gezweifelt und das soeben explizit nachgestellt. face-smile

Das habe ich mal durch Zufall herausgefunden, als ich beim Programmieren mit der Aktivierung der Privilegien für einzelne Prozesse experimentiert hatte.

Es ändert nichts daran, was UAC macht, also das mit den zwei getrennten Benutzertoken, eins mit allen SID und eins nur mit den nicht-administrativen. Aber anspringen tut es auch, wenn eine Anwendung eines der betreffenden Privilegien aktivieren will. Die Privilegien sind schon von eher nicht sofort aktiviert. Das unterscheidet diese ja von den Berechtigungen, welche immer "aktiv" sind, wenn die entsprechende SID im Token enthalten ist. Wenn ein Prozess z.B. das Backup-Operator-Privileg benötigt, dann muss dieser das zunächst für sich selbst aktivieren. Wenn es dem Benutzer erteilt ist, dann kann die Aktivierung (ggf. über UAC) erfolgen, wenn nicht dann nicht (verweigert).
Nicht jede Anwendung aktiviert sofort alle Privilegien, die es für irgendwelche Teilaufgaben benötigt. MMC und Taskmanager sind aber solche, welche das schon beim Starten versuchen. Im Falle dieser beiden starten dann diese Anwendungen gar nicht, wenn der Benutzer den UAC-Dalog abbricht. Man kann aber Anwendungen schreiben, dass sie diese benötigen ("requireAdministrator") oder nur die höchstmöglichen anfordern ("highestAvailable"). Erstere brechen den Start ab, wenn nicht erfolgreich, und letztere starten, können aber u.U. ihre Aufgaben nicht erledigen.
Spirit-of-Eli
Spirit-of-Eli 06.11.2024 um 20:43:09 Uhr
Goto Top
Moin,

ein Punkt möchte ich einwerfen.

Ich habe hier ein Notebook mit Domain Anbindung. Der genutzte User hatte noch nie Admin Rechte.
Wenn ich hier den Task Manager starte, muss ich mich an der UAC authentifizieren. Entweder mit User Rechten. Oder eben mit einem User der Admin auf der Kiste ist.

Das verhalten ist doch nicht neu. Oder weicht dies echt vom default ab?

Bezüglich dem Verhalten mit der Rechteausweitung versuch ich das morgen mal nachzustellen.

Gruß
Spirit
DerWoWusste
DerWoWusste 06.11.2024 aktualisiert um 21:14:36 Uhr
Goto Top
Wurde doch schon behandelt. Sobald der Nutzer extra-Privilegien (seprivilege...) hat, kommt die UAC beim Taskmanager und auch bei regedit, sonst nicht.
Spirit-of-Eli
Spirit-of-Eli 06.11.2024 um 21:45:20 Uhr
Goto Top
Zitat von @DerWoWusste:

Wurde doch schon behandelt. Sobald der Nutzer extra-Privilegien (seprivilege...) hat, kommt die UAC beim Taskmanager und auch bei regedit, sonst nicht.

Und dazu soll es schon reichen z.B. "networkOP" zu sein? Wer denkt sich so einen Mist aus?
jsysde
jsysde 06.11.2024 um 22:22:10 Uhr
Goto Top
Moin.

So, mit ein paar Minuten mehr Zeit (also nach Feierabend) hab' ich nochmal meine Gruppenmitgliedschaften überarbeitet. Das Einfügen in die Gruppe "Netzwerkkonfigurations-Operatoren" geschieht per GPO, das war wahrscheinlich der Grund dafür, dass ich vorhin doch wieder in der Gruppe drin war.

Nun, mit etwas mehr Ruhe: Nur noch Mitglied der lokalen Gruppe "Benutzer", Task-Manager startet direkt ohne UAC-Abfrage. Eine aus dem Task-Manager ausgeführte cmd.exe startet dann auch "nur" mit Benutzerrechten. Soweit passt das also.

Dass die UAC bei Start des Task-Managers bei mir "schon immer" kommt, liegt wahrscheinlich daran, dass ich "schon immer" auch in der Gruppe "Netzwerkkonfigurations-Operatoren" drin war. face-smile Hab' das vor Ewigkeiten mal eingeführt und nie wieder anders gemacht...

Anyway, da sich mein Windows 11 auch an anderen Stellen etwas merkwürdig verhält, werde ich "zwischen den Jahren" mal ne Neu-Installation direkt vom 24H2-ISO machen. Mal schauen, ob das Problem dann immer noch auftritt.

Danke für euer Hirnschmalz. face-wink

Cheers,
jsysde
DerWoWusste
DerWoWusste 06.11.2024 um 22:34:27 Uhr
Goto Top
Hirnschmalz gibt's hier immer gratis, gerade um 22:22 Uhr immer wider gern.
Schönen Abend Dir!

PS: wir haben bei jeder Erstanmeldung an Win11-Systemen auch dieses Blackscreen-Phänomen auf 23H2. Ist schon eine tolle Wurst. Bei 24H2 (und Server 2025) ist übrigens der Remote Credential Guard komplett defekt und verhindert SSO an non-24H2/non-Server2025-Systemen. Bis Microsoft das fixt, wird 25 H2 draußen sein, mein Supportfall läuft schon 3 Monate ohne Ergebnis.