home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / mswindo / programm / win32 / 2591 < prev    next >
Encoding:
Internet Message Format  |  1992-12-26  |  2.0 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!rpi!ghost.dsi.unimi.it!univ-lyon1.fr!chx400!csghsg5a.bitnet!msieber
  2. From: msieber@csghsg5a.bitnet
  3. Newsgroups: comp.os.ms-windows.programmer.win32
  4. Subject: NT - Security & Eventlog & PVIEW.EXE
  5. Message-ID: <1992Dec26.231423.343@csghsg5a.bitnet>
  6. Date: 26 Dec 92 23:14:23 GMT
  7. Organization: University of St.Gallen, Switzerland
  8. Lines: 47
  9.  
  10. NT Security and PVIEW (Process View)
  11.  
  12. PVIEW.EXE is a sample Program on the CD-ROM. It shows
  13. all processes and threads. You can also kill a process,
  14. i.e. terminate a process in a way, that he doesnt ask
  15. you anything about "save current changes" and all.
  16.  
  17. I noticed something strange:
  18. There's a user TEST on my PC. This user isn't even
  19. a member of the group USER or GUESTS. And, of course
  20. he is unable to stop the service "EVENTVIEWER".
  21.  
  22. Well, that's ok, because else he could first stop 
  23. (or pause) the process EVENTLOG and then hack around
  24. in the system....
  25.  
  26. But if TEST starts Process View, he can kill the process
  27. eventlog.exe and then the process is reported 
  28. (by ControlPanel - Services) as stopped. And after 
  29. doing something uncontrolled by EventLog(maybe try out some
  30. passwords for administrator....) he can start the service
  31. again. So no administrator realizes anything!
  32.  
  33. So I thought it would help to configure the Service 
  34. EventLog with "Logon as Administrator". But it didn't help
  35. at all!
  36.  
  37. My user Test can still kill the process EVENTLOG!
  38.  
  39. While my PC is standalone and there is no security-relevant
  40. data on it, maybe other people (Network - Administrators etc.)
  41. would not be pleased, that any user can "turn off" auditing
  42. even if they are not allowed to do so. PVIEW with its DLL
  43. fits on one DD-Disk and can be started in Program - Manager
  44. with FILE-RUN ....
  45.  
  46. On my PC both partitions are (still) FAT. That should
  47. not change a lot about it, except, that maybe(?) with 
  48. NTFS the User Test can't restart the service Eventlog
  49. again.
  50.  
  51. Well as stated above, this problem doesn't really worry ME,
  52. but I hope MS won't miss the C2-Security standard with that!
  53.  
  54.     Martin Sieber
  55.  
  56.  
  57.