Starten von Windows-Diensten aus Anwendungen ohne Administratorrechte

In vielen Szenarien müssen Windows-Dienste aus separaten Anwendungen gestartet oder gestoppt werden. Aus Sicherheitsgründen scheint dies jedoch für Benutzer ohne Administratorrechte eingeschränkt zu sein. Wie können wir diese Einschränkung überwinden und Benutzern eine detaillierte Kontrolle über die Dienstverwaltung ermöglichen, ohne die Systemstabilität zu beeinträchtigen?

Die Lösung: Dienstberechtigungen ändern

Der Schlüssel zu diesem Problem liegt darin beim Ändern der Berechtigungen des Dienstobjekts. Indem wir nicht-administrativen Benutzern entsprechende Rechte gewähren, können wir ihnen eine kontrollierte Interaktion mit Diensten ermöglichen.

Der folgende Codeausschnitt zeigt, wie die Sicherheitsbeschreibung für einen Dienst so festgelegt wird, dass er die erforderlichen Berechtigungen enthält:

wchar_t sddl[] = L"D:"
  L"(A;;CCLCSWRPWPDTLOCRRC;;;SY)"           
  L"(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)"   
  L"(A;;CCLCSWLOCRRC;;;AU)"                 
  L"(A;;CCLCSWRPWPDTLOCRRC;;;PU)"           
  L"(A;;RP;;;IU)"                         
;

PSECURITY_DESCRIPTOR sd;

if (!ConvertStringSecurityDescriptorToSecurityDescriptor(sddl, SDDL_REVISION_1, &sd, NULL))
{
   fail();
}

if (!SetServiceObjectSecurity(service, DACL_SECURITY_INFORMATION, sd))
{
   fail();
}

Diese spezifische Sicherheitsbeschreibung gewährt die folgenden Berechtigungen:

• Standardberechtigungen für das lokale System: Gewährt dem lokalen Systemkonto vollständige Kontrolle.
• Standardberechtigungen für Administratoren: Gewährt Zugriff für Administratoren.
• Standard Berechtigungen für authentifizierte Benutzer: Gewährt eingeschränkten Zugriff für alle authentifizierten Benutzer.
• Standardberechtigungen für Hauptbenutzer: Gewährt vollständige Kontrolle für Hauptbenutzer.
• Berechtigung für interaktive Benutzer hinzugefügt: Gewährt die Berechtigung zum Starten des Dienstes für interaktive Benutzer.

Die Sicherheitsbeschreibungszeichenfolge (SDDL) kann angepasst werden, um je nach gewünschter Zugriffsebene für verschiedene Benutzergruppen bestimmte Berechtigungen hinzuzufügen oder zu entfernen. Wenn Sie beispielsweise möchten, dass Benutzer ohne Administratorrechte den Dienst stoppen können, kann die folgende SDDL verwendet werden:

L"(A;;RPWP;;;IU)" 

Dadurch würde das WP-Recht (WRITE_PROPERTY) hinzugefügt, sodass interaktive Benutzer den Dienst sowohl starten als auch stoppen können.

Durch sorgfältiges Festlegen der Berechtigungen können Benutzer ohne Administratorrechte wichtige Dienstverwaltungsaufgaben ausführen ohne die Systemsicherheit zu beeinträchtigen.