|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
02-09-2015, 14.00.48 | #16 | ||||
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
Quota:
cmq si "processo.exe" si trova effettivamente in "c:\programmi\processo\processo.exe" Quota:
presente, potrei provare ad eliminarlo con sc, ma vorrie evitare, piuttosto ora cercherò di fare in modo che non si avii con pc... Quota:
Quota:
cosa vuol dire che l'utente è nascosto? lol beh non c'iavevo un azzo di meglio da fare e manco sono adato in mensa oggi, volevo sbrogliare questa cosa, meglio la pancia vuota e la mente sgombra, che entrambi pieni... |
||||
02-09-2015, 14.18.16 | #17 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
cmq tornando a me, se provo a disabilitare il servizio, sia come utente Admin che system, cosa ottengo?
Codice:
SC CONFIG pippo start= disabled [SC] ChangeServiceConfig FAILED 5: Accesso negato. |
02-09-2015, 14.49.47 | #18 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Le chiavi di registro sono come l'organizzazione in cartelle sul supporto di memorizzazione ed anch'esse possiedono privilegi per la modifica.
on fly, è come dire al volo o runtime (in tempo di esecuzione) Non modifichi i permessi dell'utente SYSTEM, bensì l'utente che lancia psexec fa accesso alle API di sistema (in pratica il sistema stesso fin dove il ring è accessibile dall'utente) con privilegi assegnati all'utente loggato, creando un processo con privilegi massimi assegnati di default al gruppo NT AUTHORITY. Se aggiungi $ al nome di una cartella condivisa, essa risulterà nascosta a NetBIOS *, salvo eseguire la ricerca specifica con utilities specifiche. Di default, Windows possiede due "canali" preferenziali nascosti (IPC$ e ADMIN$) per le comunicazioni interprocesso, più un altro in numero pari ai devices di archiviazione C$, D$, E$, ecc. Con i permessi corretti relativi all'utente ai quali sono assegnati di default, è ad esempio possibile accedere all'intero contenuto di un archivio identificato da apposita lettera, bypassando le condivisioni impostate via SMB. psexec esegue un canale preferenziale sulla pipe identificata da ADMIN$ per creare un processo in ambiente NT AUTHORITY\SYSTEM ed in esso lanciare l'istanza cmd.exe. Funziona anche in remoto via RPC purchè ADMIN$ sia presente sulla macchina target. Per quanto riguarda i processi, Windows ( non solo lui) non si basa sul nome, bensì sul PID numerico che tecnicamente è chiamato handle o maniglia * Un'altra chicca: Attraverso l'opzione "NetBIOS su TCP/IP", M$ ha consentito l'enumerazione delle risorse su NetBIOS anche in rete internet...Siccome NetBIOS è risultato in più occasioni fallato, attraverso le pipes è stato possible trasferire malware anche a distanza, non solo in intranet, solo basandosi sulle condivisioni. (firewall permettendo, ovviamente)
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
02-09-2015, 15.02.21 | #19 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
se vado qui:
HKLM\SYSTEM\CurrentControlSet\Services\pippo e modifico "start" da 2 a 4 (cioè disabilitato) mi dice accesso negato e non me lo fa cambiare, ora dici che le chiavi di registro hanno anche essi dei permessi, come lo cambio? |
02-09-2015, 15.03.50 | #20 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Non lo dico io: E' così.
Dai che ce la fai. Il menu contestuale...
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
02-09-2015, 16.11.12 | #21 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
non volevo certamente insinuare che te lo eri inventato, piuttosto che io non riesco a farlo o non sono sicuro delle mie potenzialità
ho dato full all'admin ma non riesco a disabilitare il servizio ciò nonostante |
02-09-2015, 18.52.54 | #22 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
E le autorizzazioni speciali le hai abilitate ?
Le autorizzazioni sono di default ereditate dal gruppo utenti secondo uno schema di tipo gerarchico, ma nonostante ciò è possibile ridefinirle ex novo in barba allo schema predefinito di Microsoft. Si tratta di cancellarle e ridefinirle, cosa che solo l'utente amministratore può effettuare localmente una volta autenticatosi all'avvio. Avrai sicuramente notato il pulsante Avanzate che ricorre qui, ma anche nel filesystem. Questa è la procedura migliore per avere il pieno controllo delle policies di sicurezza su un sistema di certo macchinoso, sebbene robusto se configurato adeguatamente, ma che necessita di revisione e personalizzazione in barba alla politica semplicistica di Microsoft rivolta a soddisfare il più ampio ventaglio di utenze con il minimo intervento da parte loro. * * W10 mi spaventa, ma Android mi terrorizza (si fa per dire, ma per rendere l'idea). Diversamente, Unix e derivati spingono ancora l'utente a scoprire e sperimentare, anche se la politica attuale sta prendendo la stessa piega in modo molto più lento, ma costante. ps: Mi sono dimenticato di printer$ nel post precedente. Anche se attraverso printer$ l'host che intende utilizzare la stampante condivisa ne preleva i driver presenti in system32, tale pipe è in sola lettura; Tuttavia bastava anche solo condividere una stampante per essere presi di mira durante l'operazione di scanning del malware in cerca di NetBIOS fallati. Era doveroso citarlo per completezza.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
02-09-2015, 21.51.05 | #23 |
Gold Member
Registrato: 20-05-2004
Loc.: Perugia
Messaggi: 4.188
|
Rif: Impossibile fermare servizio, accesso negato
Devi impostare "Tipo di avvio" su manuale o disabilitato e dargli OK, poi vedrai che riaprendo le proprietà del servizio i bottoni dovrebbero essere abilitati.
___________________________________
Ogni computer ha la sua storia. Dermatite Seborroica? www.dermatiteseborroica.info Ultima modifica di RunDLL : 02-09-2015 alle ore 22.59.01 |
03-09-2015, 15.02.53 | #24 | |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
ricordate quando docevo
Quota:
faccio Codice:
PSEXEC.exe -i -s -d procexp.exe dove sono le autorizz speciali? come faccio a modificare i permessi del servizio, infatti trovo tutto grigio e manco con regedit riesco a modificare la chiave HKLM\SYSTEM\CurrentControlSet\Services EDIT: ho modificato i permessi nel registro seguendo questa guida ma ottengo quando cerco di modificare la sottochiave "Start" |
|
03-09-2015, 15.38.34 | #25 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Dunque:
Come vedi l'accesso è Speciale e non ereditata ed è tale perchè le autorizzazioni sono più di quelle che potevi impostare prima, cioè: sono le stesse + le speciali. La domanda è: Se processo.exe (PID 788 questa volta) parte da solo come servizio ed il percorso è vuoto (ImagePath com'è), da dove parte ? Chi lo richiama ? MA SOPRATTUTTO: 1 - Hai terminato processo.exe 2 - Hai modificato le autorizzazioni sulla chiave del servizio 3 - Hai modificato l'avvio del servizio alla voce Start 4 - Hai riavviato OPPURE stai agendo sulle proprietà del processo ? Ti assicuro che ricreando le autorizzazioni da zero su una chiave e contenuti senza ereditarle, salvo che le API richiamate da regedit sotto account admin non siano sotto il "controllo preventivo" (hooking) di un altro applicativo (vedi ad esempio anti-virus o virus o ... il tuo gestionale), puoi modificare tutto quello che vuoi, persino rimuoverla.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
03-09-2015, 18.29.24 | #26 | ||
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
intanto grazie per la pazienza
Quota:
(ricordi quando dicevi che mi ero dato da fare a manipolare 'ste immagini...) ecco come appare realmente come sempre al posto di "processo" c'è tipo "pippo" e al posto di "processo.exe" c'è "pippo.exe", ricordi il nome del servizio è lo stesso del nome del processo senza l'exe finale (ad es. se il servizio si chiamasse pippo il processo da esso richiamato visibile in task manager sarebbe pippo.exe) Quota:
2. si, ma anche dopo averlo fatto non riesco a modificare la chiave 3. no, non me lo fa fare, mi da questo errore 4. sì |
||
03-09-2015, 19.49.32 | #27 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Benedetto ragazzo, se mi posti un'immagine differente della maschera relativa al servizio (soprattutto con path inesistente), la cosa prende una piega diversa, anche perchè tu dici è "tutto grigio" e non leggo cio che invece dovrebbe esserci scritto !
Ti ripeto che quella chiave la puoi persino cancellare quando ridefinisci gli accessi ed i permessi. Fai una cosa: Esportala, poi cancellala. Devi riuscirci, altrimenti bisogna passare a verificare che su quella chiave non ci sia un lock di tipo differente e non penso proprio perchè un gestionale non arriva a tanto. Ad ogni modo, cio che ti interessa è il registro ed i permessi su quella chiave, non sul processo. Windows non deve avviare quel processo Se la chiave, una volta cancellata o modificata in una o più delle voci, la ritrovi dov'è all'avvio, allora si deve ragionare in modo diverso. ps: Comunque...che remore ti fai a non specificare il nome del gestionale ? Questo non l'ho capito fin dall'inizio. Se nella tua azienda ti è consentito agire come admin e la tua intenzione è davvero quella di liberare risorse perchè quel "servizio" è troppo pesante (dubito), eliminalo come ti è stato suggerito e poi fai presente la cosa ai programmatori che agiscano in modo da limitarle le risorse, invece di sprecarle.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
03-09-2015, 23.21.09 | #28 | ||
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
Quota:
i campi del path, quando dicevo che è "tutto grigio" intendevo che non mi è possibile agire sui tasti di ferma, disabilita ecc, sono stato poco chiaro e ho usato un termine alla buona, ma mi riferivo all'impossibilità di agire quindi controllare lo stato del servizio, non intendevo riferirmi al fatto che i campi erano vuoti quindi grigi, erano alimentati ma io li avevo cancellati.. Quota:
ancora, se provo ad eliminarla del tutto ottengo non lo so neppure io, quello che so è che è meglio evitare per motivi che non posso specificare, se poi la cosa è un grosso problema per la risoluzione di questo problema, lo capisco e accetterei un solente vaff.. del resto è anche vero che dovrei poter avere controllo completo sul mio pc indipendentemente dal servizio specifico, se un domani ho lo stesso problema, meglio avere il Know-how per sapere come agire, non è possibile essere limitati, c'è qlcs che non va mi sa mi è consentito perché il portatile è mio e non è nessun modo legato all'azienda, nè finanziaramente che tecnicamente essendo per giunta fuori dal domio dello stesso lo eliminerò, penso sia la soluzione più pratica a questo punto, anche se vorrei capire se c'è un modo alternativo e più elegante, nel senso, perché non ho controllo sui servizi presenti sul mio pc? Perché essere succube quando dovrei avere libertà a 360 gradi? evidentemente questi santoni hanno lavorato affinché il servizio non si potesse fermare, ecco vorrei castrarli come hanno fatto a me, sbloccando ciò che loro deliberatamente hanno voluto bloccare+pensando che tanto io non potessi fare nulla (ovviamente apparte eliminare il processo.exe...) voglio dire, possibile che non riesca ad eliminare/modificare la chiave di registro di un servizio? ci deve essere un modo, non posso pensare che non ci sia, voglio dire se un domani mi ricapita, vorrei avere il know-how per agire... già fatto, mi hanno mandato a quel paese, per quello voglio avere la soddisfazione... cmq capisco le tue frustazioni, anzi ti ringrazio per la pazienza e sopratutto per l'interessamento nonché della tua consulenza, è davvero apprezato, anche perché mi sembra di capire che se qlcn che se ne intende davvero |
||
03-09-2015, 23.37.38 | #29 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
EDIT:
se provo ad eliminare la chiave di registro di quel servizio da regedit, ottengo se invece faccio Codice:
sc delete pippo il servizio viene eliminato e non è più presente, ho riavviato e non torna +, quindi penso di avere risolto nonostante ciò ribadisco che la chiave di registro non si riesce ad eliminare... |
06-09-2015, 20.16.34 | #30 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
niete da fare...
ho eliminato il servizio da cmd ed esso non è infatti più presente in services.msc ma evidentemente la presenza della relativa chiave di registro fa sì che il servizio si ricarica all'avvio del pc... ho provato anche Codice:
"subinacl.exe" /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pippo /grant=administrators=f /setowner=administrators si presenta così ma se tento di eliminare la chiave ottengo perché |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
[XP sp2] accesso negato ai files .txt .doc .pdf | geppetto1 | Windows 7/Vista/XP/ 2003 | 13 | 02-06-2010 13.57.28 |
Accesso negato a cartelle | Papillon56 | Windows 7/Vista/XP/ 2003 | 3 | 06-11-2009 22.22.50 |
non riesco a installare driver: accesso negato | cesareco | Windows 7/Vista/XP/ 2003 | 6 | 27-08-2007 11.31.46 |
rete locale :accesso negato | smayor | Internet e Reti locali | 4 | 09-12-2006 22.43.47 |
revoca dello Status di Obiettori di Coscienza | top gun | Chiacchiere in libertà | 101 | 12-09-2005 19.10.47 |