[Nomansland]

hallo,

ich bin ziemlich neu hier und möchte euch um Hilfe oder Unterstützung, wenn jemand von euch sich mit machmichadmin von c't auskennt.

Ich habe ziemlich buchstäblich alles so gemacht wie in dem C't
Artikel "Souverän arbeiten ohne Administrator-Rechte unter SP" von
23/05 beschrieben ist, aber trotzdem funktioniert das nicht.

Meine Fragen:

a. ich habe in der Datei machmichadmin.cmd nur diese eine Zeile:

rem In der folgenden Zeile muss hinter dem \ der Name eines
Administrator-Kontos eingetragen werden.
set _Admin_="%COMPUTERNAME%\Systemverwalter

konfiguriert und zwar mit dem Namen meines Adminkontos:
Systemverwalter; mehr nicht! Muss da noch was anderes konfiguriert
werden?

b. ich habe kafu installiert bzw in /Programme reinkopiert und
ausgeführt, laut c't soll folgendes passieren:

*>>>>>
Starten Sie das Skript, das nun zuerst nach dem Passwort des
Admin-Accounts fragt. <<<<<

Ist nicht passiert, kafu hat nach nichts gefragt!
Nur folgende Meldung ershceint in der cmd-konsole:

Kafu - keine autostarts für User - c't 15/2004
Dieses Programm ändert die Zugriffsrechte für diverse
Registry-Schlüssel und Autostart-Ordner
<siee c't 15/04, S. 113>
Wollen Sie fortfahren? [j/N]

>>>>>Anschließend öffnet sich ein weiteres Fenster, in dem Sie nach
dem Passwort des eingeschränkten Benutzers gefragt werden. Sie müssen
es nur beim ersten Aufruf eintippen, danach merkt es sich das Skript
auf sichere Weise. Schließlich öffnet sich ein drittes Fenster mit
rotem Hintergrund, in dem Sie mit Admin-Rechten arbeiten können.
Ziehen Sie hier hinein kafu.exe und starten Sie das Programm mit
Return.<<<<<<<<

Hier ist auch nichts von all dem passiert!!!

* >>>> sind Auszüge aus der c't Ausgabe<<<<<

Kann mir bitte jmd weiterhelfen?

Danke

[Stefan_der_held]

Zitat (Nomansland: 30.11.2006, 13:55)

>>>>>Anschließend öffnet sich ein weiteres Fenster, in dem Sie nach
dem Passwort des eingeschränkten Benutzers gefragt werden. Sie müssen
es nur beim ersten Aufruf eintippen, danach merkt es sich das Skript
auf sichere Weise. Schließlich öffnet sich ein drittes Fenster mit
rotem Hintergrund, in dem Sie mit Admin-Rechten arbeiten können.
Ziehen Sie hier hinein kafu.exe und starten Sie das Programm mit
Return.<<<<<<<<

Ein Script was meines erachtens ziemlich schwachsinnig ist unter XP. Du klickst einfach mit der rechten Maustaste und wählst den Eintrag "Ausführen als....." wählst dort den ensprechenden Admin aus und gibst dessen Passwort ein und gut ist.

Jedes Programm durch ausführen mit Admin Rechten auszustatten was in diesem Script anscheinend passiert (so siehts zumindestens für mich aus) ist nicht gerade sinnvoll.

Überlegemal volgendes Scenario:

Du lädst dir Dateien aus dem Internet runter, klickst als eingeschränkter Benutzer drauf. (direkt daneben ist jedoch ein .EXE als Virus) und genau diese erwischt du durch unvorsichtigkeit. Das Script fragt dich dann ganz brav nach einem Password und schon hast du den Salat, weil die EXE dann schalten und walten darf wie es ihr belibt.

Die Gefahr ist jedoch weitdesgehend eingedämmt wenn du immer erst eine Exe als eingeschränkter Benutzer ausführst und NUR wenn das entsprechende Programm zwingend Adminrechte braucht diese mit "Ausführen Als....." diese Rechte zusprichtst.

Du darfst auch nie vergessen: JEDES Programm das mit Admin Rechten läuft und ein weiteres Programm startet, hat dieses automatisch auch Adminrechte.

MFG

Stefan

PS: Kritik gerne erwünscht

[Nomansland]

Ja das habe ich mir auch so vorgestellt, aber was ist mit Sachen wie Explorer starten und in C: was schreiben oder reinkopieren? Ohne Admin geht nixWas ist mit msconfig, regedit, Tastkmanager (wenn ich Prozesse killen will) oder die Uhr/Kalender... um nur ein paar zu nennen...
Deswegen dachte ich als ich das mit dem Machmichadmin gelesen habe, ist sei vielleicht eine klevere Idee!

Wäre euch dankbar für Vorschläge wie ich das am Besten lösen kann!

[Rika]

@Stefan, du Held: Denk mal bitte nach, was MakeMeAdmin macht und warum das nicht mit Runas zu vergleichen ist...

Zu dem Problem: Schalte doch einfach mal überall das Unterdrücken der Status/Fehlermeldungen ab.

[Murdoc]

Was macht es denn?

[daarg]

Zitat (Murdoc: 03.12.2006, 15:02)

Was macht es denn?

Den Benutzer kurzzeitig in die Administratorengruppe aufnehmen...

[Murdoc]

Mmmh, find ich Quatsch.

[Rika]

Ganz im Gegenteil. Damit werden administrative Eingriffe, die im Kontext des Benutzers erfolgen sollen, sehr einfach möglich und dank der Ownership an den Objekten auch nachvollziehbar.

[Murdoc]

Naja, aber ich hab ja nicht umsonst Benutzer und Admins. Wenn ich wollte das der Benutzer installieren darf,
könnt ich gleich die Berechtigung erteilen oder?

Klingt aber wirklich einfach, naja, kann ja jeder selbst entscheiden ob er das nutzen will.

[Graumagier]

Rika sagte:

Damit werden administrative Eingriffe, die im Kontext des Benutzers erfolgen sollen, sehr einfach möglich und dank der Ownership an den Objekten auch nachvollziehbar.

Jetzt mal als allgemeine Frage zu MakeMeAdmin, stellt das nicht bei jeder Rechteerweiterung eine potentielle Sicherheitslücke dar, wenn bspw. Malware im Hintergrund mitläuft?

[Murdoc]

Eben, deswegen schränkt man ja eigentlich die Rechte ein oder? Gute Frage

[Rika]

Zitat

Naja, aber ich hab ja nicht umsonst Benutzer und Admins.

Und die haben unterschiedliche Benutzerkennungen. Solche Änderungen müsstest du dann von dem Admin auf den Benutzer rüberportieren, was idR in eine reine Orgie ausartet.

Zitat

Wenn ich wollte das der Benutzer installieren darf, könnt ich gleich die Berechtigung erteilen oder?

Ich denke, daß das Ausloggen des Benutzers, Verfrachten desselbigen in die Administrator-Gruppe, erneutes Einloggen, Durchführen der Arbeit, Ausloggen, Entfernen aus der Administratoren-Gruppen und erneutes Einloggen weitaus mehr Nebeneffekte produziert als der gleiche Vorgang aus eine simples cmd.exe-Instanz beschränkt. Zudem ist es wesentlich einfacher.

Zitat

stellt das nicht bei jeder Rechteerweiterung eine potentielle Sicherheitslücke dar, wenn bspw. Malware im Hintergrund mitläuft?

Das wäre bei normaler Verwendung von "runas" auch der Fall, deshalb sollte man das nur mit Bedacht einsetzen. Korrektes Vorgehen wäre Ausloggen mittels Strg+Alt+Entf (Fast User Switching muss abgeschaltet sein) und Anmelden als Admin. Und selbst da gibt es noch erhebliche Zweifel (z.B. kann man dank OpenGL den Winlogon-Desktop überdecken, oder mit installierter Drittsofware a la VMware gar den Affengriff abfangen), sodaß der wirklich sichere Weg ein harter Reboot wäre.

Sinnvoll fände ich ein systemabhängiges Token, das auf dem WinLogon-Desktop erscheint, damit man diesen nicht so einfach spoofen kann, aber da müssen wir mal wieder zwei Windows-Versionen warten...

In jedem Falle können nach der Operation dem Benutzer Rechte an Objekten bzw. an Orten von Objekten verbleiben, die potentiell unerwünscht sind. Deshalb sollte man bei jeglichen solche administrativen Arbeiten stets die Zugriffsberechtigungen kontrollieren und die Vorgänge protokollieren.