UAC - oder wie registriere ich einfach COM ohne separaten prozess

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Fri, 16 May 2008 21:11:17 GMT

wurst — Fri, 16 May 2008 21:11:17 GMT

Meine frage rankt sich um den Mythos UAC:

Ich möchte ohne einen zweiten prozess zu benutzen müssen, die rechte meiner
Anwendung mit zustimmmung des benutzers erhöhen.

Ist das möglich?
Ich bin jetzt gerade irgendwo bei SE_TAKE_OWNERSHIP und WRITE_OWNER gelandet,
gibt es aber irgendeinen weg das anders zu machen?

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Fri, 16 May 2008 21:14:27 GMT

wurst — Fri, 16 May 2008 21:14:27 GMT

geht das vllt. mit SetThreadToken?

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Fri, 16 May 2008 21:23:55 GMT

wurst — Fri, 16 May 2008 21:23:55 GMT

problem hat sich selbst gelöst:
CredUI...
LogonUser
SetThreadToken...

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sat, 17 May 2008 16:32:37 GMT

wurst-reloaded — Sat, 17 May 2008 16:32:37 GMT

Nach tieferer penetration der security API bin ich auf folgendes problem gestoßen:
ERROR_BAD_IMPERSONATION_LEVEL

Dieses problemchen lässt sich irgendwie nicht lösen, zur verdeutlichung nun mal etwas code:

int main(int argc, TCHAR* argv[])
{
WCHAR userName[CREDUI_MAX_USERNAME_LENGTH + 1];
WCHAR password[CREDUI_MAX_PASSWORD_LENGTH + 1];
WCHAR computerName[MAX_COMPUTERNAME_LENGTH + 2];
DWORD rv, dw1;
HANDLE hThr, hToken;

// Leeren...
ZeroMemory(userName, sizeof(userName));
ZeroMemory(password, sizeof(password));
// Computername beschaffen
dw1 = MAX_COMPUTERNAME_LENGTH + 1;
GetComputerName(computerName, &dw1);
// Credentials aus console lesen
rv = CredUICmdLinePromptForCredentials(computerName, NULL,
    0, userName, CREDUI_MAX_USERNAME_LENGTH,
    password, CREDUI_MAX_PASSWORD_LENGTH, NULL,
    CREDUI_FLAGS_DO_NOT_PERSIST | CREDUI_FLAGS_EXCLUDE_CERTIFICATES);
// Logon um impersonation token zu bekommen(durch LONGON_NETWORK)
LPCWSTR lpUn = wcschr(userName, L'\\');
if(!lpUn)
    lpUn = userName;
LogonUser(lpUn, NULL, password, LOGON32_LOGON_NETWORK,
    LOGON32_PROVIDER_DEFAULT, &hToken);
rv = GetLastError();
// Password/Name ausm speicher
SecureZeroMemory(password, sizeof(password));
SecureZeroMemory(userName, sizeof(userName));
// Thread handle für nacher holen
hThr = GetCurrentThread();

// Datei ohne impersonation(->ohne rechte) öffnen
BOOL file_test();
BOOL bl = file_test();

// Impersonation
SetThreadToken(&hThr, hToken);

// Datei theoretisch mit dem richtigen user öffnen
bl = file_test();

// Revert to self ähnlich
SetThreadToken(&hThr, NULL);
CloseHandle(hToken);
return 0;
}

BOOL file_test()
{
    LPCTSTR lpHardcodedFileName = TEXT("");
    HANDLE hFil = CreateFile(lpHardcodedFileName,
        GENERIC_READ, 0, NULL, OPEN_EXISTING, 0, NULL);
    DWORD dwErr = GetLastError(); // !!! 1: AccessDenied; 2: BadImpers...
    if(hFil == INVALID_HANDLE_VALUE)
        return FALSE;
    CloseHandle(hFil);
    return TRUE;
}

Bei den !! ist der wurm drin

Man dankt für hilfsbereite antworten

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sat, 17 May 2008 19:32:35 GMT

wurst — Sat, 17 May 2008 19:32:35 GMT

Ich möchte jetzt nicht unhöflich oder ungeduldig wirken, aber könnte jemand der Ahnung hat bitte antworten? Weil bei so pille-palle wie float in string wird ja auch fleißig geantwortet. (in view count, wie in forentechnik vorgeschlagen wäre wirklich ganz nett).

Und bitte das hier jetzt nicht als abwertend/etc. werten(einfache probleme sind ja auch probleme), danke.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sat, 17 May 2008 21:21:00 GMT

Jochen Kalmbach — Sat, 17 May 2008 21:21:00 GMT

Der offizielle Weg ist einen separaten Process mittels "ShellExecutE2 und dem Verb "runas" zu starten; dass muss nicht ein separater Process sein, es kann auch der gleiche sein, z.B. nur mit einem zusätzlichen Parameter, z.B.:

Myapp.exe /regserver

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sun, 18 May 2008 16:35:27 GMT

wurst — Sun, 18 May 2008 16:35:27 GMT

Dankeschön. Jetzt haben sich aber meine Anforderungen geändert, weil ich wissen will wie man Impersonation macht, bzw. was ich daran falsch mache. Da hat jetzt den wichtigeren Platz eingenommen.

Danke schon einmal im vorraus.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sun, 18 May 2008 16:46:55 GMT

Badestrand — Sun, 18 May 2008 16:46:55 GMT

wurst schrieb:

Weil bei so pille-palle wie float in string wird ja auch fleißig geantwortet.

Hiermit kennen sich nunmal nicht besonders viele aus..

Eventuell überflüssige Frage aber man weiß ja nie: Ist dein geposteter Code auch der, den du einsetzt? Ich frage, weil dort die Rückgabewerte ja gar nicht geprüft werden (z.B. von SetThreadToken).

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Sun, 18 May 2008 17:48:29 GMT

wurst — Sun, 18 May 2008 17:48:29 GMT

Das ist nur zum testen und den rückgabewert habe ich im debuggr ja im eax register, das ist kein problem.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 12:32:19 GMT

wurst — Mon, 19 May 2008 12:32:19 GMT

Ich hab nun zur vergrößerung des publikums die geschichte auch noch bei MS gepostet:
http://forums.microsoft.com/MSDN/ShowForum.aspx?ForumID=116&SiteID=1

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 12:56:17 GMT

Badestrand — Mon, 19 May 2008 12:56:17 GMT

Hast du bei "LogonUser" mal ein anderes Flag probiert als LOGON32_LOGON_NETWORK? Und warum gibst du hier weniger Informationen als im MSDN-Forum?

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 13:02:01 GMT

wurst — Mon, 19 May 2008 13:02:01 GMT

Ich hab schon so ziemlich jede Logon art versucht. Bei LOGON_INTERACTIVE/BATCH bekommt man ein primary token, welches man dass durch DuplicateToken in ein impersonations token umwandeln muss/soll(da habe ich auch schon zig kombinationen ausprobiert).

Ich glaube ich sollte das so langsam irgendwie in klassen packen, und dann zigtausende zufällige kombinationen ausprobieren, bis es funktioniert...

(zu den informationen: das mit dem überprüfen des tokens habe ich erst später angefangen(in dem ausmaß))

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 13:13:53 GMT

Badestrand — Mon, 19 May 2008 13:13:53 GMT

Hast du mal versucht, der Funktion SetThreadToken ein Primary Token zu übergeben?

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 13:20:09 GMT

wurst — Mon, 19 May 2008 13:20:09 GMT

Ja, dadurch funktioniert das GetTokenInfo mit den Privileges, der ImpersonationLevel aufruf aber nicht. (Alle funktionen sind erfolgreich, außer eben die, die nach dem ImpersonationLevel fragt, das Lookup...Name schlägt trotzdem fehl).

Und der dateitest gibt wieder ERROR_BAD_INPERSONATION_LEVEL zurück.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 13:41:40 GMT

sri — Mon, 19 May 2008 13:41:40 GMT

Soweit ich weiß, kann man Teile eines Prozesses unter Vista mit UAC nicht mehr dynamisch anheben. Der ganze Prozess läuft nur mit den Rechten, mit denen er gestartet wird. Abhilfe schafft nur, den entsprechenden Code in einen zweiten Prozess auszulagern, der dann mit gestartet wird oder die Verwendung von einem COM-Objekt, welches ebenfalls in einem externen Prozess gestartet wird (meistens dllhost.exe).

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 13:51:19 GMT

Badestrand — Mon, 19 May 2008 13:51:19 GMT

Joar, scheint wohl wirklich so zu sein.

http://weblogs.asp.net/kennykerr/archive/2006/09/29/Windows-Vista-for-Developers-1320-Part-4-1320-User-Account-Control.aspx schrieb:

You can change the integrity level when a process is created but not once it has been created.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 14:55:52 GMT

wurst — Mon, 19 May 2008 14:55:52 GMT

dann ist doch die ganze impersonation für'n a.
Was will man machen, auf zum separaten prozess.

Reply to UAC - oder wie registriere ich einfach COM ohne separaten prozess on Mon, 19 May 2008 15:19:50 GMT

wurst — Mon, 19 May 2008 15:19:50 GMT

Also ich hab gerade das token mal etwas überprüft und anscheinend hat es ein integrity level von untrusted.