Technologie

Wie kann ich mit Process Explorer Prozesse nach ihrer Privilegierung und Berechtigungen analysieren?

Melden
  1. Einführung in Process Explorer
  2. Aufrufen von Process Explorer mit Administratorrechten
  3. Ansicht und Auswahl eines Prozesses zur Analyse
  4. Privilegien eines Prozesses einsehen
  5. Analyse der Zugriffskontrolllisten (ACLs) und Sicherheitseinstellungen
  6. Handles und deren Berechtigungen überprüfen
  7. Zusätzliche Hinweise zur Interpretation
  8. Fazit

Einführung in Process Explorer

Process Explorer ist ein leistungsfähiges Tool von Microsoft Sysinternals, das detaillierte Informationen über laufende Prozesse und deren Ressourcen liefert. Neben einfachen Informationen wie Prozessname und CPU-Auslastung ermöglicht es das Tool eine tiefgehende Analyse, vor allem bezüglich der Privilegien und Zugriffsrechte von Prozessen. Dadurch lässt sich nachvollziehen, mit welchen Rechten ein Prozess arbeitet und welche Berechtigungen er auf Systemressourcen besitzt.

Aufrufen von Process Explorer mit Administratorrechten

Um alle nötigen Informationen über Privilegien und Berechtigungen einsehen zu können, ist es wichtig, Process Explorer als Administrator zu starten. Nur so erhält das Programm ausreichend Rechte, um auf Prozesse mit höheren Privilegien zuzugreifen und deren Sicherheitseinstellungen auszulesen. Nach Download von der offiziellen Microsoft Sysinternals Webseite starten Sie die ausführbare Datei mit einem Rechtsklick und wählen Als Administrator ausführen. Dies stellt sicher, dass Sie auch Systemprozesse oder Prozesse anderer Benutzer komplett analysieren können.

Ansicht und Auswahl eines Prozesses zur Analyse

Nach dem Start zeigt Process Explorer eine Prozessübersicht in Form einer Baumstruktur an. Hier finden Sie alle aktiven Prozesse mit ihrem Namen, Prozess-ID und weiteren Spalten. Wählen Sie einen Prozess aus, über den Sie mehr über dessen Privilegien erfahren möchten. Ein Doppelklick auf einen Prozess öffnet das Eigenschaftenfenster, in dem Sie mehrere Reiter finden. Dieser Dialog stellt die zentrale Informationsquelle zur Analyse: hier sind Details zu Handles, DLLs, Sicherheit und Umgebungsvariablen hinterlegt.

Privilegien eines Prozesses einsehen

Im Eigenschaftenfenster des ausgewählten Prozesses finden Sie den Reiter Token. Der sogenannte Sicherheitstoken beschreibt, mit welchen Identitäten und Berechtigungen der Prozess ausgeführt wird. Unter Privilegien werden spezielle Rechte aufgelistet, die diesem Prozess aktuell zugewiesen sind. Beispiele für Privilegien sind SeDebugPrivilege (ermöglicht Debugging anderer Prozesse), SeShutdownPrivilege (zum Herunterfahren des Systems) oder SeTcbPrivilege (erlaubt Systemdienste auszuführen). Die Spalte Status zeigt dabei an, ob diese Privilegien aktiviert oder deaktiviert sind.

Analyse der Zugriffskontrolllisten (ACLs) und Sicherheitseinstellungen

Neben den Privilegien können Sie auch die tatsächlichen Berechtigungen (Access Rights) des Prozesses hinsichtlich geöffneter Objekte untersuchen. Im Eigenschaftenfenster gibt es den Reiter Sicherheit, welcher die Sicherheitseinstellungen des Prozesses bzw. des zugehörigen Tokens offenlegt. Dort sehen Sie die Zugriffskontrolllisten (Access Control Lists, ACLs), die bestimmen, welche Benutzer oder Gruppen welche Rechte auf das Objekt haben. Sie können nachvollziehen, ob der Prozess Vollzugriff, Schreib- oder Leserechte besitzt oder ob bestimmte Rechte explizit verweigert werden.

Handles und deren Berechtigungen überprüfen

Im Reiter Handles können Sie alle offenen Handles des Prozesses sehen, also alle Objekte, die der Prozess aktuell verwendet (Dateien, Registry-Schlüssel, Mutexe etc.). Per Kontextmenü (Rechtsklick auf ein Handle) lässt sich über Properties die Zugriffsberechtigung für dieses Handle untersuchen. Dadurch erkennen Sie, mit welchen Rechten der Prozess tatsächlich auf einzelne Ressourcen zugreifen kann, was ein deutliches Bild über die effektiven Berechtigungen liefert.

Zusätzliche Hinweise zur Interpretation

Es ist wichtig zu wissen, dass Prozesse theoretische Privilegien und tatsächliche Berechtigungen auseinanderhalten müssen. Ein Prozess kann über ein bestimmtes Privileg verfügen, dieses aber inaktiv sein, beeinflusst durch Token-Einstellungen. Auch können ACLs bestimmte Aktionen je nach Sicherheitskontext einschränken, selbst wenn das Privileg vorhanden ist. Process Explorer zeigt beides transparent an, so dass eine genaue Analyse möglich wird. Für tiefere Untersuchungen empfiehlt es sich auch, das Verhalten des Prozesses in der Praxis zu beobachten und gegebenenfalls Logs zu analysieren.

Fazit

Mit Process Explorer können Sie Prozesse nicht nur einfach identifizieren, sondern auch deren Sicherheitskontext detailliert untersuchen. Die Kombination aus Anzeige der Privilegien im Token, Einblick in Sicherheits-ACLs sowie Betrachtung der Handles inklusive deren Zugriffsrechte ermöglicht eine umfassende Analyse zur Privilegierung und Berechtigungsvergabe von Prozessen. Voraussetzung ist dabei stets ein mit Administratorrechten ausgeführtes Tool, um alle Informationen vollständig auszulesen. Dies macht Process Explorer zu einem unverzichtbaren Werkzeug für Sicherheitsexperten und Administratoren.

0

Kommentare