WinFuture-Forum.de: UAC Diskussion - WinFuture-Forum.de

Zum Inhalt wechseln

Alle Informationen in unserem Special: Windows Vista.
  • 26 Seiten +
  • « Erste
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

UAC Diskussion

#376 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.948
  • Beigetreten: 04. Dezember 06
  • Reputation: 49

geschrieben 14. September 2010 - 17:49

Öhm... Der Sinn eines Benutzerprofils ist gerade, dass der Benutzer mit seinem Profil verfahren können soll, wie er will. Wie stellst du dir das vor? Bei JEDEM Schreibzugriff Adminrechte abfragen? Kannst du mit der UAC locker einrichten. Vorausgesetzt du willst das wirklich.
Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
0

Anzeige

#377 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.406
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 14. September 2010 - 18:26

Soll der Benutzer ja auch dürfen, nur muß ausführbarer Code im Benutzerprofil geschützt sein, sonst hat UAC ja keinen Sinn.

Das System müßte das Setzen der Berechtigungen automatisch machen, ein Bild xy.jpg braucht keinen Schutz vor Veränderung, eine Firefox_Setup.exe oder xy.cmd aber natürlich schon, das System macht aber nichts außer einfaches kopieren.
0

#378 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.948
  • Beigetreten: 04. Dezember 06
  • Reputation: 49

geschrieben 14. September 2010 - 18:30

Firefox_setup.exe wird ohnehin mit Adminrechten ausgeführt (Windows führt Installer immer mit Adminrechten aus).
Den Plan finde ich recht paranoid. Gegen was für Angriffe soll das bitteschön helfen? Viren schleppen entweder eigenen Code ein oder borgen sich Systemfunktionen.
Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
0

#379 Mitglied ist offline   zwutz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 641
  • Beigetreten: 17. Juli 07
  • Reputation: 1

geschrieben 14. September 2010 - 18:39

Beitrag anzeigenZitat (Spiderman: 14.09.2010, 19:26)

Soll der Benutzer ja auch dürfen, nur muß ausführbarer Code im Benutzerprofil geschützt sein, sonst hat UAC ja keinen Sinn.

Kannst du den Zusammenhang mal erklären?

Noch dazu, da Downloads ja eh standardmäßig als unsicher eingestuft werden und vor der Ausführung ein Abfragefenster erscheint. Aber was hat die UAC damit zu tun, wenn ein Benutzer Downloads abspeichert oder Programme unter seinem Token ausführen will?
Raise your glass if you are wrong
0

#380 Mitglied ist offline   MacMark 

  • Gruppe: aktive Mitglieder
  • Beiträge: 20
  • Beigetreten: 30. August 10
  • Reputation: 0

geschrieben 14. September 2010 - 20:27

Beitrag anzeigenZitat (Spiderman: 14.09.2010, 18:46)

… Es gibt keine UAC Meldung beim speichern von Downloads oder der Installation von Minianwendungen, das ist ein klares Zeichen für fehlende Sicherheit.

Die UAC ist kein Sicherheitsfeature, sondern Komfort für User und Erziehungsmethode für Entwickler.
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
0

#381 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.406
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 14. September 2010 - 20:53

Von ausführen habe ich doch nix geschrieben, obwohl es da auch eine Sicherheitslücke gibt.

Zitat

Nicht geschützt vor Veränderung oder Löschen mit Benutzer Rechten.


UAC ist ja praktisch der Schutz wichtiger ausführbarer Dateien vor Veränderung.

Wo sich ausführbare Dateien befinden spielt keine Rolle sie müßten immer geschützt sein, Windows ist aber doof oder einfach schlecht programmiert.

Kopiere doch einfach einmal die IE.exe oder Sidebar.exe nach z.B. Downloads, dazu brauchst du keine Admin Rechte, du kannst die exe Dateien dann beliebig manipulieren.

Beim ausführen kommt keine Meldung, ich habe ja selbst die Sidebar.exe gepatcht, und fast jeder hat die uxtheme.dll gepatcht, da kommt auch keine Meldung.

Die Verknüpfungen auf dem Desktop, oder in Quick Launch verändere ich auch ohne Admin Rechte, und verbiege auf die veränderten exe Dateien.

Die Folge ist, die manipulierte Sidebar.exe wird gestartet oder der veränderte IE, und da kommt keine Meldung.

Es ist leider so, Windows läßt sich auch ohne Admin Rechte manipulieren und verändern.

Dieser Beitrag wurde von Spiderman bearbeitet: 14. September 2010 - 20:55

0

#382 Mitglied ist offline   MagicAndre1981 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.424
  • Beigetreten: 05. Oktober 05
  • Reputation: 4

geschrieben 14. September 2010 - 23:14

Beitrag anzeigenZitat (Spiderman: 14.09.2010, 19:26)

Soll der Benutzer ja auch dürfen, nur muß ausführbarer Code im Benutzerprofil geschützt sein, sonst hat UAC ja keinen Sinn.


das hat nix mit UAC zu tun.

Beitrag anzeigenZitat (Spiderman: 14.09.2010, 21:53)

UAC ist ja praktisch der Schutz wichtiger ausführbarer Dateien vor Veränderung.


ne, du kannst Programme nur schneller und einfacher mit Adminrechten starten als bei XP.

Dir fehlt jegliches Verständnis was die UAC macht.
(_/)
(O.o)
(> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination

"A programmer is just a tool which converts caffeine into code"

Auf der Suche nach Vista/ Windows 7 Updatepack (x86 und x64)? Dann schaut mal hier: WinVistaSide UpdateInstaller

Ich verlasse zum 31.05.2011 WinFuture. Wenn ihr noch ein Windows Vista/7 Problem habt, dann fragt noch rechtzeitig.
0

#383 Mitglied ist offline   MacMark 

  • Gruppe: aktive Mitglieder
  • Beiträge: 20
  • Beigetreten: 30. August 10
  • Reputation: 0

geschrieben 15. September 2010 - 05:49

"For example, if a file had an access control list (ACL) that denied the Administrators group all access, but granted some access to another group the user belongs to, the user would be granted access if the administrators group was absent from the token, giving the standard user version of the user’s identity more access than their administrator identity."
Mark Russinovich

Die Split-Token gehören zur UAC. :rofl:

Dieser Beitrag wurde von MacMark bearbeitet: 15. September 2010 - 05:52

macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
0

#384 Mitglied ist offline   Spiderman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.406
  • Beigetreten: 23. November 06
  • Reputation: 26

geschrieben 15. September 2010 - 09:54

Beitrag anzeigenZitat (MagicAndre1981: 15.09.2010, 00:14)

ne, du kannst Programme nur schneller und einfacher mit Adminrechten starten als bei XP.

Dir fehlt jegliches Verständnis was die UAC macht.

Ich bin von Dir enttäuscht, von Dir hätte ich erwartet, daß Du es verstehst.

Noch einmal, es geht nicht um das Starten von Anwendungen, es geht um Rechte im Dateisystem.

Wer ist für diese Rechte verantwortlich ?, der Explorer(Shell Prozess) natürlich.

Der Explorer ist schon gestartet, der Explorer hat Sonder Rechte, denn er braucht seinen Prozess nicht beenden oder einen weiteren mit höheren Rechten starten, er kann einfach neue Fenster mit dem Admin Token öffnen.

Probiere es doch einfach aus, entferne für den Benutzer den "Vollzugriff" für Ordner "Downloads".

Nun können die Anwendungen wie IE oder Firefox nicht mehr dorthin speichern, es kommt eine Fehlermeldung:
Angehängtes Bild: IE_Block.jpg

Der Explorer hat aber kein Problem dort zu speichern oder zu löschen, denn er kann ohne Problem den Admin Token verwenden:
Angehängtes Bild: Explorer.jpg

Wie man auch in den Eigenschaften sehen kann, UAC wird zum Schutz der Berechtigungen verwendet:
Angehängtes Bild: Download.jpg

Sieht eher so aus als hättest Du die Funktionen von UAC nicht verstanden, denn mit Starten von Anwendungen hat das Sicherheits Token nur wenig zu tun, es geht mehr um Prozess Rechte.

Was bei Windows eben fehlt ist ein Download Konzept, die Anwendungen müssten sich an dem Explorer wenden, denn der kann in sichere Ordner speichern, da das aber fehlt wird in einem unsicheren Ordner gespeichert, jede einfache Minianwendung oder eine ungewollte Codeausführung im Firefox kann mit den Downloads machen was sie wollen.

Gruß
Spiderman
0

#385 Mitglied ist offline   Kirill 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.948
  • Beigetreten: 04. Dezember 06
  • Reputation: 49

geschrieben 15. September 2010 - 10:37

Dass einem lokal installierte Programme das Profil zerschiessen können ist ein alter Hut und hat mit der UAC 0,0 zu tun. Wenn du deinen Minianwendungen oder Firefox nicht traust, solltest du die in einer Sandbox laufen lassen, dazu ist das Konzept da. Welchen Zweck es haben soll, über den Explorer auf geschützte Ordner zuzugreifen, ergibt sich mir auch nicht. Schliesslich können Programme dann immer noch dein Profil zerhauen.

Zuguterletzt bietet Windows bereits dieses Konzept. Es ist schon längst da.
Most rethrashing{
DiskCache=AllocateMemory(GetTotalAmountOfAvailableMemory);}
0

#386 Mitglied ist offline   MagicAndre1981 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.424
  • Beigetreten: 05. Oktober 05
  • Reputation: 4

geschrieben 15. September 2010 - 13:11

Beitrag anzeigenZitat (Spiderman: 15.09.2010, 10:54)

Ich bin von Dir enttäuscht, von Dir hätte ich erwartet, daß Du es verstehst.


im Gegensatz zu dir versteh ich sie ja :rofl:

Beitrag anzeigenZitat (Spiderman: 15.09.2010, 10:54)

es geht um Rechte im Dateisystem.


RICHTIG, Das Dateisystem ist verantwortlich, NICHT DIE UAC

Beitrag anzeigenZitat (Spiderman: 15.09.2010, 10:54)

Der Explorer ist schon gestartet, der Explorer hat Sonder Rechte, denn er braucht seinen Prozess nicht beenden oder einen weiteren mit höheren Rechten starten, er kann einfach neue Fenster mit dem Admin Token öffnen.



Nennt sich COM Elevation Moniker :rofl: Alle Funktion liegt in COM Servern (DLL) vor, die man extra mit Adminrechten starten kann. Wo ist das Problem (außer in deiner Paranoia)?

Beitrag anzeigenZitat (Spiderman: 15.09.2010, 10:54)

Der Explorer hat aber kein Problem dort zu speichern oder zu löschen, denn er kann ohne Problem den Admin Token verwenden:



Wie gesagt, COM Elevation Server :rofl:

Lies dir bitte mal durch wie die UAC arbeitet. Es ist nicht mehr schön deine Paranoia lesen zu müssen.

Kurzfassung:
WENN EIN BENUTZER (BENUTZER ,kein Admin!) in der ACL keine Schreibrechte hat, bekommst du den UAC Dialog. Du schaust wie 99% der Leute welche Rechte der Admin in der ACL hat, ES GEHT ABER UM DIE BENUTZRECHTE, die du mit dem gefilterten Token hast. HAST DU DAS NUN ENDLICH MAL BEGRIFFEN?

Deine Wissenslücken zum Thema UAC sind leider viel größer als dein "Wissen". Sorry dir das so hart zu sagen.
(_/)
(O.o)
(> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination

"A programmer is just a tool which converts caffeine into code"

Auf der Suche nach Vista/ Windows 7 Updatepack (x86 und x64)? Dann schaut mal hier: WinVistaSide UpdateInstaller

Ich verlasse zum 31.05.2011 WinFuture. Wenn ihr noch ein Windows Vista/7 Problem habt, dann fragt noch rechtzeitig.
0

#387 Mitglied ist offline   MacMark 

  • Gruppe: aktive Mitglieder
  • Beiträge: 20
  • Beigetreten: 30. August 10
  • Reputation: 0

geschrieben 15. September 2010 - 17:36

Beitrag anzeigenZitat (MagicAndre1981: 15.09.2010, 14:11)

… ES GEHT ABER UM DIE BENUTZRECHTE, die du mit dem gefilterten Token hast. …

Das Token ist Teil der UAC. :rolleyes:

Dieser Beitrag wurde von MacMark bearbeitet: 15. September 2010 - 17:36

macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
0

#388 Mitglied ist offline   MacMark 

  • Gruppe: aktive Mitglieder
  • Beiträge: 20
  • Beigetreten: 30. August 10
  • Reputation: 0

geschrieben 28. März 2011 - 11:55

Beitrag anzeigenZitat (MagicAndre1981: 02.09.2010, 17:14)

Bitte poste mal einen Beleg! … Poste ein C Project und belege es! …


C++ source code:
http://www.pretentiousname.com/misc/win7_u...t2.html#release

Beschreibung und Test auf deutsch:
http://www.macmark.de/windows_uac_security...o_elevation_poc
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
0

#389 Mitglied ist offline   MagicAndre1981 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.424
  • Beigetreten: 05. Oktober 05
  • Reputation: 4

geschrieben 28. März 2011 - 15:20

kenne ich. Regler ganz hoch ziehen und schon ist Ruhe :8):
(_/)
(O.o)
(> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination

"A programmer is just a tool which converts caffeine into code"

Auf der Suche nach Vista/ Windows 7 Updatepack (x86 und x64)? Dann schaut mal hier: WinVistaSide UpdateInstaller

Ich verlasse zum 31.05.2011 WinFuture. Wenn ihr noch ein Windows Vista/7 Problem habt, dann fragt noch rechtzeitig.
0

Thema verteilen:


  • 26 Seiten +
  • « Erste
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0