Wir versuchen, eine Eingabeaufforderung in Windows 10 als Systembenutzer zu starten. Wir haben in unserer Umgebung einige Sicherheitsrichtlinien und AV (McAfee). Das Endergebnis besteht darin, ein MSI-Deinstallationsprogramm als „System“-Benutzer auszuführen, um eine Deinstallation (und möglicherweise eine Neuinstallation) einiger tief verwurzelter Software durchzuführen.
Ohne McAfee-Installation (Neuformatierung durchgeführt) wird PSExec von einer Eingabeaufforderung mit erhöhten Rechten gestartet (nur - „Zugriff verweigert“ für andere „Admin“-Benutzer) und startet eine interaktive Eingabeaufforderung als Systembenutzer (überprüft mit WhoAmI). Sobald McAfee installiert ist, darf PSExec nicht mehr mit „-s“ ausgeführt werden.
Wir haben versucht, das Bekannte zu verwenden:
sc create cmdsvc binpath= “cmd /K start” type= own type= interact
Dadurch wird ein Konsolenfenster als „System“-Konto gestartet (überprüft im Task-Manager), das jedoch in der aktuellen Benutzersitzung nicht angezeigt wird. Ich vermute, dass es sich in einer „Hintergrund“-Sitzung mit „Systemkonto“ befindet (???). Wenn McAfee installiert ist, erhalten wir eine Meldung zur „Erkennung interaktiver Dienste“ (ja, in Windows 10, mit oder ohne „NoInteractiveServices“ auf O gesetzt), woraufhin die Auswahl von „Nachricht anzeigen“ zwei schwarze Konsolenbildschirme ergibt, mit denen nicht interagiert werden kann und die nach etwa zwei Minuten verschwinden (Tastatur ist deaktiviert, Maus ist deaktiviert, zwei Minuten scheinen das „Timeout“-Limit zu sein).
Mit McAfee können wir diesen SC-Befehl verwenden, um ein Batch-Skript im Systemkontext auszuführen, aber es läuft (wieder) im Hintergrund und kann nur so viel: Wir haben es dazu gebracht, über die Bat-Befehle ein MSI zu laden, aber es bleibt dort hängen und wird in der (unsichtbaren) Hintergrundsitzung ausgeführt, und wir haben es dazu gebracht, die Ausgabe in eine Textdatei (wie „whoami“) auszugeben, die angezeigt wird, wenn es fertig ist.
Wir versuchen, es in der aktuellen Benutzersitzung anzuzeigen, da der Versuch, MSI auszuführen, einfach hängt und wir nicht wissen, wonach es verlangt. Wir möchten an einen Punkt gelangen, an dem wir ein interaktives „System“-Konsolenfenster (Befehlsfenster) haben können. Es wäre auch gut, das MSI-Deinstallationsprogramm auszuführen und zu protokollieren, was passiert. Bisher hat es nicht funktioniert, einfach MSI-Schalter zu erraten.
Antwort1
Das Ausführen der interaktiven Konsole als Systemkonto ist ziemlich knifflig. Ich empfehle Ihnen, spezielle Tools zu verwenden, um den Vorgang zu vereinfachen.
psexec
Mit diesem Tool von Microsoft Sysinternals ist dies ganz einfach:
psexec.exe -i -s -d cmd.exe
ConEmu
Dieses Terminal (ich bin der Autor) ermöglicht Ihnen die Verwendung von Registerkarten und Fenstern zur Organisation Ihrer Konsolen, die (in einem Terminalfenster) unter einem aktiven oder angegebenen Benutzer, einem erhöhten, System- oder eingeschränkten Konto ausgeführt werden können. Es ist sehr konfigurierbar und es gibtviele Möglichkeiten, Konsolen auszuführen. Der einfachste Weg ist die Ausführung von WinR:
ConEmu64.exe -run cmd -new_console:aA