[vbox-dev] Customized security for installed COM-servers by the installer

Fri Apr 30 10:13:11 GMT 2021

Hi all,

I would like to use VirtualBox-6.1.18-142142-Win.exe on a Windows
Server 2019 to host some few VMs. The important thing of course is
that those VMs need to run automatically besides any interactive user
login AND I would like to restrict the user which is running the VMs
for security reasons.

In theory this should easily be possible by creating a standard user
in Windows and a task in the task scheduler to execute a VM headless
using that user and e.g. the following command line:

> VBoxManage startvm "[...]" --type headless

While that works using an interactive login on the shell, it didn't
work by default using task scheduler. The reason can be found in the
event viewer of Windows:

> Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird
> dem Benutzer "TEPU\virtual_box" (SID:
> S-1-5-21-3056241376-1506544733-1187908793-1167) unter der Adresse
> "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ
> "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
> {B1A7A4F2-47B9-4A1E-82B2-07CCD5323C3F}
> und der APPID
> {819B4D85-9CEE-493C-B6FC-64FFE759B3C9}
> im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar)
> gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool
> für Komponentendienste geändert werden.

> Durch die Berechtigungseinstellungen für "Computerstandard" wird dem
> Benutzer "TEPU\virtual_box" (SID:
> S-1-5-21-3056241376-1506544733-1187908793-1167) unter der Adresse
> "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ
> "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID
> {74AB5FFE-8726-4435-AA7E-876D705BCBA5}
> und der APPID
> {EC0E78E8-FA43-43E8-AC0A-02C784C4A4FA}
> im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar)
> gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool
> für Komponentendienste geändert werden.

Virtual Box installs COM servers which by default can only be started
by the groups SYSTEM, ADMINISTRATOR or INTERACTIVE. My created user
isn't any member of those groups when used by the task scheduler, but
when logging in interactively and using the shell.

> VirtualBox Application
> {819B4D85-9CEE-493C-B6FC-64FFE759B3C9}

> VirtualBox System Service
> {EC0E78E8-FA43-43E8-AC0A-02C784C4A4FA}
> VBoxSDS

The security settings to start the necessary COM servers can be
changed to include my created user with the necessary permissions and
afterwards VBoxManage starts successfully and the COM-related error
entries in the event viewer regarding COM are gone.

https://ibb.co/6ysd4FZ
https://ibb.co/DDsNzKW
https://ibb.co/MZhwx7n
https://ibb.co/ctrR7cp

As you already have an installer bringing services, device drivers
etc. into the system, how about adjusting security for those COM
servers as well?

You could easily create a group for your own purposes, assigning the
necessary permissions and document somewhere that users like the one
created by me simply need to be a member of that group. That approach
is pretty common, e.g. VMware and OpenVPN create custom groups for
special maintenance as well. 

It took me some time to understand the root cause of the error and
work around it. Using non-admin users for security reasons and
starting VMs headless is a pretty common approach on all OS and should
be made as easy as possible in my opinion.

Is that worth filing a feature/enhancement request? Thanks!

Mit freundlichen Grüßen

Thorsten Schöning

-- 
AM-SoFT IT-Service - Bitstore Hameln GmbH i.G.
Mitglied der Bitstore Gruppe - Ihr Full-Service-Dienstleister für IT und TK

E-Mail: Thorsten.Schoening at AM-SoFT.de
Web:    http://www.AM-SoFT.de/

Tel:   05151-  9468- 0
Tel:   05151-  9468-55
Fax:   05151-  9468-88
Mobil:  0178-8 9468-04

AM-SoFT IT-Service - Bitstore Hameln GmbH i.G., Brandenburger Str. 7c, 31789 Hameln
AG Hannover HRB neu - Geschäftsführer: Janine Galonska

Für Rückfragen stehe ich Ihnen sehr gerne zur Verfügung.

Mit freundlichen Grüßen

Thorsten Schöning

Tel: 05151 9468 0
Fax: 05151 9468 88
Mobil: 
Webseite: https://www.am-soft.de 

AM-Soft IT-Service - Bitstore Hameln GmbH i.G. ist ein Mitglied der Bitstore Gruppe - Ihr Full-Service-Dienstleister für IT und TK

AM-Soft IT-Service - Bitstore Hameln GmbH i.G.
Brandenburger Str. 7c
31789 Hameln
Tel: 05151 9468 0

Bitstore IT-Consulting GmbH
Zentrale - Berlin Lichtenberg
Frankfurter Allee 285
10317 Berlin
Tel: 030 453 087 80

CBS IT-Service - Bitstore Kaulsdorf UG
Tel: 030 453 087 880 1

Büro Dallgow-Döberitz
Tel: 03322 507 020

Büro Kloster Lehnin
Tel: 033207 566 530

PCE IT-Service - Bitstore Darmstadt UG
Darmstadt
Tel: 06151 392 973 0

Büro Neuruppin
Tel: 033932 606 090

ACI EDV Systemhaus - Bitstore Dresden GmbH
Dresden
Tel: 0351 254 410

Das Systemhaus - Bitstore Magdeburg GmbH
Magdeburg
Tel: 0391 636 651 0

Allerdata.IT - Bitstore Wittenberg GmbH
Wittenberg
Tel: 03491 876 735 7

Büro Liebenwalde
Tel: 033054 810 00

HSA - das Büro - Bitstore Altenburg UG
Altenburg
Tel: 0344 784 390 97

Bitstore IT – Consulting GmbH
NL Piesteritz 
Piesteritz
Tel: 03491 644 868 6

Solltec IT-Services - Bitstore Braunschweig UG
Braunschweig
Tel: 0531 206 068 0

MF Computer Service - Bitstore Gütersloh GmbH
Gütersloh
Tel: 05245 920 809 3

Firmensitz: AM-Soft IT-Service - Bitstore Hameln GmbH i.G. , Brandenburger Str. 7c , 31789 Hameln
Geschäftsführer Janine Galonska