Verbesserte Runas-funktion Programmspez. Adminrechte verteilen
#1
geschrieben 15. Juni 2005 - 12:49
Hab ein interessantes Progrämmchen gefunden. Mit diesem kann man als Benutzer best. Programm als Admin ausführen (so wie runas). Das Passwort wird in einer verschlüsselten Datei aufbewahrt. Somit muss es nicht jedesmal eingegeben werden Aber lest es euch selbst durch:
http://robotronic.de/runasspc/
Was haltet ihr davon, zwecks Komfort und Sicherheit? Ich arbeite zwar schon lange als normaler Benutzer, aber dennoch brauchen einfach bestimmte Funktionen Adminrechte.
greetings from dante
Anzeige
#2
geschrieben 15. Juni 2005 - 12:55
Aber wie gesagt, ist ein Gefühl, bin mal gespannt was andere sagen...
#3
geschrieben 15. Juni 2005 - 20:24
Wesentlich interessanter ist eher die Frage, wie das Ding reagiert, wenn ich die Verknüpfung ändere und/oder das Executeable austausche.
Gibt's eigentlich ein gutes Tool für ein Pseudo-Runas über den Impersonation-Mechanismus?
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4
geschrieben 15. Juni 2005 - 21:58
Dass ein Passwort immer entschlüsselt werden kann ist klar. Die Frage ist nur mit welchem Aufwand Mein Passwort kann auch (z.B. durch einen Keylogger) bereits wärend der Eingabe während der Anmeldung bzw. im Betrieb abgefangen werden. Aber dazu muss das System ja erst mal durch einen Bösewicht befallen sein. Auch muss das Admin-Passwort irgendwo in Windows (verschlüsselt) gespeichert sein. Auch dort müsste man rankommen.
Zum Austausch der exe sagt der Autor:
Zitat
die aufgerufene Anwendung mit der Anwendung die vom Ersteller der Cryptdatei berechtigt
wurde anhand des Bitmusters der aaufgerufenen Datei. Beipiel: Es gibt viele Anwendungen mit dem namen setup.exe. Runasspc führt aber
nur diese setup.exe aus welche vom Ersteller der Cryptdatei berechtigt wurde.
Der Trick eine nicht berechtigte Anwendung durch einfaches umbenennen zu berechtigen
funktioniert also nicht.
Ich finde, dass der Autor sein Konzept gut begründet und sehr kompetent wirkt.
dante
#5
geschrieben 15. Juni 2005 - 22:27
Zitat
Null. Das Runas-Tool wird ja stets zunächst im Kontext des Benutzers gestartet.
Zitat
Nein. DU mögest dich über LSA+GINA informieren.
Zitat
Nein. Es wird nur ein Hash zusammen mit einem Salt gespeichert.
Zitat
Das heißt nur, daß er eine bekannte offensichtliche Macke nicht implementiert hat. Toll, das kann ich auch.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#6
geschrieben 15. Juni 2005 - 22:38
Zitat (Rika: 15.06.2005, 21:24)
anscheinend nicht wirklich genug: kein CRC checkup
Hi list, Just found an implementation bug in MAST RunAsP.exe v3.5.1 and below, that allows local privilege escalation. Vendor: MAST-Computer Homepage of product : http://www.mast-computer.com/c_9-s_7-l_en.html Description of product: For Windows 2000, Windows XP RunAs Professional is a substitute for Microsoft's command runas. RunAs Professional solves the problem that normal runas does not support the commandline parameter password. Now you can use RunAs Professional to install software, use it in batch scripts and much more. Bug description: This software uses a crypted .rap file to store the parameters such as DOMAIN NAME/USERNAME/PASSWORD, PATH and EXE name in order to do a "runas" from a script. A normal user is able to see the exe filename just by double clicking runasp.exe and load the .rap file (here password is hidden) It seems that the called exe is not CRC checked, so it's possible for example to rename cmd.exe to the name of the original exe, so when running the original script ("runasp test.rap" , you'll get a nice DOS box with administrator rights. Workaround : Modify code to embed CRC sum in crypted file Can anyone confirm, thx ? Vendor not yet contacted Regards traxx ======================================= ==> Visit us @ www.knowledgecave.com <== ======================================= Original post: http://www.securityfocus.com/archive/1/402234/30/0/threaded
#7
geschrieben 15. Juni 2005 - 22:42
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8
geschrieben 16. Juni 2005 - 07:49
Hier mal ein paar Antworten vom Autor.
- Es wird nicht nur eine Prüfsumme in der verschüsselten Datei angelegt, sondern ein ganzes Bitmuster des freigegebenen Programmes wird verschlüsselt abgelegt und beim Aufruf gegengeprüft.
- Der Schlüssel wird zur Laufzeit aus der ausführbaren Datei, zusammen mit einem errechneten Passwort erzeugt. Jede Anwendung erhält dadurch einen eigenen Schlüssel kombiniert mit enem festen Schlüssel. Beide Schlüssel stehen deshalb auch nicht irgendwo fest codiert.
- Das Tool wurde nach Vorgaben ursprünglich für eine Firma entwickelt welche sich an BSI Normen hält.
...
Früher hatte ich den Parameter savecred von runas verwendet. Die Kids haben nach 2 Tagen gemerkt dass Sie dadurch jedes beliebige Proggi starten können. Bis jetzt aber beissen Sie sich noch die Zähne aus.
Gruss
#9
geschrieben 16. Juni 2005 - 10:13
dante
#10
geschrieben 16. Juni 2005 - 13:45
Zitat
Das ist unsicherer auf auwendiger als einfache kryptographische Prüfsummen.
Zitat
Ja und? Berechnen kann man sie trotzdem.
Zitat
Und welche? Die Normen für IT-Grundschutz gemäß BSI sagen über solche Sachen genau gar nix aus.
Zitat
Hm... warum nimmst du nicht einfach Software Restriction Policies? Und sorgst dafür, daß überhaupt kein chroot nötig ist?
Wenn du Daten nur halbherzig verstecken möchtest, dann reicht auch die ZAN-Verschlüsselung aus (Zip And Rename).
Zitat
Nein, du erzeugst einfach eine zweite Datei mit der gleichen Prüfsumme und führst diese aus.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 16. Juni 2005 - 14:44
Aber einige Kommentare von Dir verstehe ich nicht ganz.
- Warum z.B. ist es unsicherer Zusätzlich zur Prüfsumme das Bitmuster der Anwendung abzuprüfen. Allein Deine Kommentare hier schreiben doch etwas von einer unsicherer Prüfsumme. Abgesehen davon liegt der ganze Senf auch noch verschlüsselt vor.
Kann es sein das Du öfter einfach ein letzes Wort brauchst?
#12
geschrieben 16. Juni 2005 - 15:49
Zitat
Würd ich ja gerne machen (gpedit.msc), kann aber mein (blödes) Home nicht. Mein Anliegen an den Admin-Benutzer ist eigentlich nur, dass ich die System-Uhr als Benutzer stellen darf.
Sicherer ist da natürlich, den Admin bei der Arbeit ganz zu vermeiden. Wie könnte ich dann aber solch ein Problem (oder andere) sinnvoll lösen?
dante
#13
geschrieben 16. Juni 2005 - 16:05
Zitat
Weil ich dann immernoch einfach die Programmfunktionen außerhalb des Bitmusters ändern kann. Das Problem wäre mit einer kryptographisch sicheren Prüfsumme erledigt und würde auch das Bitmuster überflüssig machen.
Zitat
Und? Der Schlüssel ist trivialerweise berechenbar.
Zitat
Rechteverwaltung kann XP Home, und man kann es sogar trivial freischalten.
Zitat
Das geht einwandfrei per Group Policy oder per Local Policy, nur daß man sich halt das MSC-Applet selbst zusammenstellen muss.
Ja, besser wäre natürlich ein date-Mechanismus wie in Unix, wo RTC != system_time != time gilt.
Zitat
Kommt auf die anderen Problem an.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#14
geschrieben 16. Juni 2005 - 16:17
Zitat
Ich kenn nur die Möglichkeit der "Rechteverwaltung von NTFS". Oder meinst du etwas anderes?
Wenn ich die Zeit ändern möchte, meldet mir Windows:
Zitat
Dann hab ich mit Reg- und Filemon mal nachgeschaut, aber es gibt nichts, welches den Zugriff verwehrt.
dante
#15
geschrieben 16. Juni 2005 - 16:28
Zitat
Das sind Berechtigungen, keine Rechte. Berechtigungen sind auf Objekte (wie Dateien, Registrykeys, ActiveDirectory-Objekte, ...) bezogen. Rechte sind auf Systemrechte bezogen, z.B. das Recht, den Besitztum einer Datei, auf das man keine Berechtigungen hat, zu übernehmen. Oder halt die Zeit einstellen zu dürfen. Unter XP Pro: Start, Ausführen, secpol.msc, dann "Lokale Richtlinien" und dort "Zuweisen von Benutzerrechten". Es gibt auch Kommandozeilentools, die die verändern können für Batchdateien, z.B. ntrights.exe aus dem Windows Resource Kit.
Zitat
Sagen wir so, ja, Rika ist ein Besserwisser, aber man muss ihm eins lassen: Über viele Dinge weiss er wirklich bescheid und das Thema Verschlüsselung und Sicherheit sind solche Dinge. Aber er wirkt oft... nunja... besserwisserisch. Zudem ist er recht festgefahren in vielen Punkten, sehr unflexibel. Aber so müssen wir ihn einfach hinnehmen, wie gesagt, verstehen tut er schon was davon, von was er redet ...
Dieser Beitrag wurde von Lofote bearbeitet: 16. Juni 2005 - 16:31