[dante]

Hallo zusammen!

Wollt mal nachfragen, wer sich schon das Skript "MachMichAdmin" von der aktuellen ct angeschaut hat, und wie die Meinungen darüber sind. Bin grad fleißig am testen und finde es (bis jetzt) sehr gelungen. Hat es vielleicht enorme Sicherheitslücken oder gibt es gar viel bessere Alternativen?

Hier der Link zum Skript

mephisto

[DK2000]

Ziemlich umständliche Methode runas /user:Administrator "Anwendung.exe" auszuführen.
Sehe momentan nicht den tieferen Sinn, der dahinter steckt, außer sich ein wenig Tipparbeit zu ersparen.

[dante]

So wie ich das verstanden habe, installiert man z.B. ein Programm nicht wie bei runas im Benutzerkonto des Administrators, sondern die Installation erfolgt im eingeschränkten Benutzerkonto, nur eben kurzzeitig mit Adminrechten.

mephisto

[Rika]

Was man aber nur braucht, wenn man ein Programm für den Benutzer bezogen installierten möchte, dies aber trotzdem Adminrechte verlangt - gerade der Grund, sie ihm nicht zu geben.

Außerdem ist runas ja wie fast alle anderen Alternativen eine potentielle Sicherheitslücke, da das Passwort irgendwo für den Benutzer lesbar gespeichert wird - da hilft auch keine Verschlüsselung. Deshalb lieber SuSrv.

[dante]

@Rika: Aber wo wird mein Passwort denn gespeichert? Ich muss es ja jedes mal eingeben, oder hab ich nen Denkfehler?

PS: Was bedeuted SuSrv

[Rika]

Entweder musst du es jedes mal eingeben oder es via /savecred speichern. Das Problem ist, daß, solange das Tool ausschließlich im Kontext des Benutzers läuft, auch das Passwort entsprechend für den Userkontext lesbar hinterlegt werden muss. Quasi ein su.

Bei sudo unter Linux und SuSrv unter Windows läuft ein entsprechender privilegierter Prozess, der sich vom Benutzerkontext aus steuern lässt - wohl aber nur für sich änderbar eine Liste mit Programmen (unter Linux: suid-Bit) und eventuell deren Authentifizierung (wenn sie denn für den Benutzer schreibbar sind).

[dante]

Ergo lohnt es sich nicht mit dem Skript weiterzuarbeiten.

Bzgl. SuSrv hab ich folgenden Link gefunden. Ist der korrekt?

Was ich noch gefunden hab ist xsudo für Windows. Taugt das mehr?

Danke sagt dante


Warum ist es nicht so einfach wie in Linux, wa man alles von einem Konto aus machen kann

Dieser Beitrag wurde von dante bearbeitet: 01. November 2005 - 18:23

[DerXero]

Zitat (dante: 01.11.2005, 18:20)

Warum ist es nicht so einfach wie in Linux, wa man alles von einem Konto aus machen kann

*flame* weil es Windows ist

btw: in Kiel bekommt man aber auch nirgends die c't das regt mich langsam auf

[Rika]

@dante: Nein, xsudo macht genau das gleiche wie runas, nur in grün. Wenigstens wird dort der Unterschied erläutert. Ansonsten kann man es ja trivial nachprüfen: via Regmon und Filemon alle Zugriffe mitschneiden und dann sperren - wenn es trotzdem läuft, dann macht es richtiges sudo.

Man kann übrigens unter Windows alles machen, nur mag die Software das nicht - weil unter Windows leider erstmal alle Leute per Default root sind. Daran orientiert sich die Software, daran wiederum die User... ein Teufelskreis.

[dante]

Nabend!

Hab jetzt mal SuSrv angetestet und muss sagen, dass man damit eigentlich dasselbe machen kann wie mit "MachMichAdmin", nur dass man kein Admin im eigenen Benutzerkontext ist.

Meine Frage nun:
(1) Was sind nun die eigentlichen Vorteile gegenüber "MachMichAdmin" oder runas?
(2) Warum ist hier das Admin-Passwort besser geschützt?
(3) Muss man etwas besonderes beachten?
(4) Kann man jetzt vollständig im Benutzerkonto arbeiten ohne ins Admin-Konto zu wechseln?

Hoff mal die Fragen sind jetzt nicht zu langweilig, aber ich denke, dass sie nicht nur für mich wichtig sind!

Danke


dante

[Rika]

(1) Das Passwort wird wirklich geschützt.

(2) Der Angriff auf die sudo-Programme (die eigentlich eher su-Programme sind), sobald man Passwörter speichert: Man kopiere das Programm (der Benutzer hat ja schließlich lesenden Zugriff darauf) und verändert es, sodass es, anstatt eine Session mit dem privilegierten Account zu erstellen, einfach das Passwort ausgibt. Dagegen hilft auch keine Verschlüsselung oder sonstiger Spass, und sowas kann ein Angreifer (z.B. ein böswilliges Programm) im Benutzerkontext machen.

Wenn man die Passwörter nicht speichern will, braucht man ja eh keinen Ersatz für runas.

(3) Dazu musst du auch das Steuerprogramm sunt als Dienst laufen haben, das wiederum musst du dann mit einer weiteren sunt-Instanz im Benutzerkontext steuern - ja, ist kompliziert und könnte besser gemacht werden. Jetzt kannst du im Adminkontext dem sunt-Dienst entsprechende Skripte geben, die genau die suid-Programme definieren und das Passwort beinhalten. Ich sollte wirklich mal was selbst programmieren!

(4) Eigentlich schon, ist schließlich ein Session-Kontext genauso wie bei runas, nur das halt der privilegierte Dienst halt entscheidet, was ausgefährt werden darf und halt auch als einziger die Login-Credentials hat.


Ach ja, heißer Tipp: Die defekte timedate.cpl ("You do not the proper privilege..." - WTF? Ich will nur die Uhr und den Kalender anzeigen, also sperr doch einfach die GUI-Controls. Rechte zum Ändern der Zeit hab ich doch eh keine.) durch Rainlender ersetzen. Ich bastele da gerade an einem WinClassic-Skin.

[dante]

@Rika: Danke (von deiner Programmieridee sehr angetan )

Nun möcht ich im "SendTo"-Kontextmenu eine Verknüfung erstelllen, welche mir ermöglicht, dass jedes Programm(verknüpfung), das ich an den Eintrag sende, mit Adminrechten startet. Hierzu soll dann nur das Passwort eingegeben werden (kein Benutzer oder Pfadangabe). Bekomms aber net hin (muss vielleciht Platzhalter setzen oder ...)

Würd mich über nen Tip freuen!

dante

PS: Der Admin-Befehl lautet

sunt program username [password]

Dieser Beitrag wurde von dante bearbeitet: 04. November 2005 - 15:08

[cyberia]

Zitat (Rika: 02.11.2005, 22:07)

Wenn man die Passwörter nicht speichern will, braucht man ja eh keinen Ersatz für runas.

ein adminpasswort gehört nie gespeichert. ein sudu hat immer nur einen sinn, wenn man das pw für jede aktion die rootrechte benötigt, neu eingeben muss.

im übrigen braucht man sehr wohl einen ersatz für runas. du hast es doch selbst geschrieben, beispielsweise wenn ein programm priviligierte rechte unter dem angemeldeten user benötigt.

ein weiterer vorteil von machmichadmin: man kann sich einfach eine shell starten mit priviligierten rechten und solange man die offen lässt lassen sich von dieser shell aus beliebig viele prozesse mit priviligierten rechten starten. (die shell ist außerdem standardmäßig rot hinterlegt)

[Rika]

Zitat

ein sudu hat immer nur einen sinn, wenn man das pw für jede aktion die rootrechte benötigt, neu eingeben muss.

Nein. Unter Unix verwendet man seit jeher den SUID-Mechanismus, um Benutzer Zugriff auf spezielle Programme zu geben, die mit root-Rechten laufen, ohne daß sie beliebige andere Programme oder Zugriffe mit root-Rechten bekommen - dann allerdings muss auch dieses Programm entsprechend abgesichert sein, z.B. selbst keine beliebigen Dateien öffnen oder Prozesse starten können. Meine PPPoE-Einwahl und mein PowerManagement-Tool macht das beispielsweise richtig.

Zitat

im übrigen braucht man sehr wohl einen ersatz für runas. du hast es doch selbst geschrieben, beispielsweise wenn ein programm priviligierte rechte unter dem angemeldeten user benötigt.

Nein. Wenn man privilegierte Rechte braucht, dann nur unter der Session eines anderen Benutzers mit den entsprechenden Rechten, der ja gerade solche administrativen Tätigkeiten ausführen kann. Der aktuelle Benutzer selbst jedoch braucht das genau gar nicht. Und genau das kann runas.
Sollte das Programm trotz nichtadministrativem Zweck und trotz Filemon/Regmon-Frickelei sich beharrlich weigern, ohne Adminrechte zu laufen, ist es ganz offensichtlich defekt und gehört ersetzt. Was meinst du, warum ich das JDK manuell entpackt und mit entsprechenden Registry-Einträgen (und zwar unter HKCU statt HKLM) versehen habe?

Zitat

ein weiterer vorteil von machmichadmin: man kann sich einfach eine shell starten mit priviligierten rechten und solange man die offen lässt lassen sich von dieser shell aus beliebig viele prozesse mit priviligierten rechten starten. (die shell ist außerdem standardmäßig rot hinterlegt)

Bis auf die Übernahme der Shell-Einstellungen aus dem Profil kann runas genau das auch.