GELÖST Makemeadmin.cmd

Diskutiere Makemeadmin.cmd im WinXP - Software Forum im Bereich Windows XP Forum; Mit dem Script makemeadmin.cmd von: http://blogs.msdn.com/aaron_margosis/archi.../24/193721.aspx dann funktioniert das zwar, aber ich werde nach...
H

HWFlo

Mitglied seit
04.09.2005
Beiträge
5.271
Alter
31
glaube ich nicht da man damit sonst viel zu viel unsinn treiben könnte :deal
 
S

SuperTux

Gast
Abgesehen davon rate ich dringend von der Benutzung dieses Programms ab, da es nur Sicherheitslücken verursacht!
 
automatthias

automatthias

vernunftgeplagt
Mitglied seit
21.04.2006
Beiträge
8.347
Den Script gibt's übrigens auch auf deutsch bei heise (c't).

Intern wird das Windows-Kommando "runas" verwendet, und das erwartet nun einmal, dass man das Passwort eingibt.
Grundsätzlich ist das sinnvoll, weil es hier ja um sicherheitsrelevante Aktionen geht. Aber wenn Du nur alleine auf Deinem Rechner bist, kann ich natürlich auch Deine Bequemlichkeit verstehen.

Vielleicht kann man irgendwas mit einem Keyboard-Makro-Tool machen.
 
G

Guest_Domi

Mitglied seit
17.10.2005
Beiträge
79
An sich ist das mit der Option /savecred nach dem ersten 'runas' Befehl möglich. Allerdings kann so auch ein Virus mit einem Mausklick Administrator-Rechte erlangen ohne dass Du es merkst.

Beim c't MachMichAdmin musst Du in der ersten runas-Kommandozeile vor /u:%_Admin_% einfügen:
%_savecred_%

@SuperTux.
Du deutest es immer wieder an, dass MachMichAdmin eine Sicherheitslücke öffnet. Welche? Spielst Du darauf an, dass der Benutzer der ein Programm installiert automatisch Besitzer des Ordners ist und damit in der Standard-Rechtevergabe Vollzugriff besitzt?
Dem kann man abhelfen! (ich erwähnte es bereits hier)
Mit der kleinen Registry Änderung ist der Besitzer automatisch immer die 'Gruppe der Administratoren'.
Oder meinst die Sicherheitskücke entsteht, dass nun ein Prozess im Hintergrund mit Adminrechten läuft und Befehle von anderen Prozessen ausführen könnte? Jedoch ist die Gefahr gering, da MachMichAdmin an sich nur bei Administrativen Aufgaben verwendet wird, die ja beim Endbenutzer zeitlich betrachtet einen geringen Teil der täglichen Arbeit ausmachen.
Viel tragischer ist da das Prinzip von "Lower my rights" oder wie das hieß. Dort wurde ein einzelner Prozess im Kontext des eingeschränkten Users gestartet. Zwar kann dann der so gestartete Browser oder das Mailprogramm nicht direkt Systemänderungen durchführen, da aber in WinXP das Versenden von Befehlen zwischen einzelnen Prozessen gestattet ist (hat im übrigen nichts mit dem Nachrichtendienst zu tun) und da ja immer der Prozess explorer.exe (in diesem Beispiel) mit Admin-Rechten läuft ist es ein leichtes, dass Malware, wenn sie direkt keinen Zugriff auf das System bekommt den kleinen Umweg über explorer.exe geht.
Aber Microsoft schein daraus gelernt zu haben: In Vista geht das mit den Befehlen zwischen Prozessen nicht mehr, somit kann man problemlos ein Programm als Administrator mit geringesten Rechten starten und hat dadurch ein hohes Maß an Sicherheit. Z.B soll der InternetExplorer 7+ in Vista von Haus aus nur noch in diesem LUA (Limited User Access)-Status laufen.

Lange Worte. SuperTux poste doch mal was Du genau meinst!

Grüße.
 
F

Filzer

Mitglied seit
18.02.2006
Beiträge
24
ZITAT(SuperTux @ 06.06.2006, 17:11) Quoted post
Abgesehen davon rate ich dringend von der Benutzung dieses Programms ab, da es nur Sicherheitslücken verursacht!
[/b]
welche dann? Zähle die mal auf wenn wir gerade mal Adminrechte brauchen?

was bei dir immer alles Sicherheitslücken verursacht, kaum zu glauben.
Du bist ein wenig Paranoid mein Jung und wirklich Ahnung hast auch nicht. Ist Sudo auch so unsicher? Wenn jemand dann Admin Pass hat, ists doch eh schon wurst, ob script oder ohne.....
 
S

SuperTux

Gast
Guest_Domi, ich kenne den REG-Eintrag nicht, aber wenn er das tut, was du sagst, ist machmichadmin ja überflüssig, denn dann kommt am Ende genau das raus, was man mit RUNAS oder Ausführen als auch machen kann. Nix anderes. Wenn du also den REG-Eintrag setzt, ist machmichadmin wirkungslos. Ist der REG-Eintrag nicht gesetzt, ist machmichadmin eine Sicherheitslücke weil der User Besitzer der Dateien ist, wie du richtig verstanden hast.

Richtig ist es, ein Programm mit Ausführen als zu installieren und dann nur den benötigten Konfig-Dateien oder Save-Ordner die Schreibrechte zu geben, damit das Programm speichern kann. So sind die Programm-Dateien schreibgeschützt.
 
R

Ronny

SPONSOREN
Mitglied seit
07.08.2004
Beiträge
12.311
Standort
Rheinland
@Filzer

ZITATDu bist ein wenig Paranoid mein Jung und wirklich Ahnung hast auch nicht.[/b]
Bei aller Liebe, Filzer, aber wir pflegen hier nach Möglichkeit einen akzeptablen Ton, und ich glaube, deine Kritik wäre auch weniger scharf formuliert noch angekommen. Also versuch' bitte mal in Zukunft darauf zu achten. :danke :blush
 
T

theunknown

Mitglied seit
26.02.2006
Beiträge
357
@ ronny *zustimm*

@ all
was macht das script nun ? is das ne exe ? und wie muss ic mir das vorstellen ? einfach öffnen und dann hab ich admin rechte ?
 
G

Guest_Domi

Mitglied seit
17.10.2005
Beiträge
79
ZITAT(SuperTux @ 06.06.2006, 19:37) Quoted post
Guest_Domi, ich kenne den REG-Eintrag nicht, aber wenn er das tut, was du sagst, ist machmichadmin ja überflüssig, denn dann kommt am Ende genau das raus, was man mit RUNAS oder Ausführen als auch machen kann. Nix anderes.zt.
[/b]
Auch dort muss ich Dir widersprechen. Wenn Du ein Programm mit MachmichAdmin installierst (und vorher die besagte Registry-Änderung durchgeführt hast) kanst Du sicher sein, dass alle Verknüpfungen, Konfig-Einstellungen, Profile etc. unter Deinem Profil angelegt sind. Bei Deiner runas Lösung musst Du erst handish alle Verknüpfungen etc. vom Admin Profilordner auf den UserProfilordner übertragen. Das ist unhandlich. Und da ein Computer nicht künstlich Arbeit erzeugen soll, sondern dem Menschen abnehmen, hat sich jemand "MachMichAdmin" ausgedacht...
Beispiel: Du möchtest Einstellungen Deines eingeschränkten Kontos ändern, die Adminrechte verlangen. Es hilft Dir nicht wenn Du per runas Einstellungen des AdminKonto änderst, oder?

Grüße.
 
S

SuperTux

Gast
ZITAT(Guest_Domi @ 06.06.2006, 20:45) Quoted post
Beispiel: Du möchtest Einstellungen Deines eingeschränkten Kontos ändern, die Adminrechte verlangen.
[/b]
Das gibt es nicht, Einstellungen an meinem Konto kann ich immer ohne PW ändern, man braucht ein PW nur für systemweite Einstellungen!

Das mit dem Links stimmt wohl. Ist aber für mich kein Problem, da ich mein Start-Menü eh anders anordne als die Programme das möchten. Und an dem PC sind mehrere User angemeldet, da muss es für jeden User eingerichtet sein, also kommen die Links in "All Users".

Wie ist das mit dem REG-Key, wenn ich den aktiviere und eine Datei auf meinem Desktop erstelle, ist der Besitzer dann auch der Admin oder wirkt das dann nicht?
 
G

Guest_Domi

Mitglied seit
17.10.2005
Beiträge
79
ZITAT(SuperTux @ 06.06.2006, 20:52) Quoted post
Wie ist das mit dem REG-Key, wenn ich den aktiviere und eine Datei auf meinem Desktop erstelle, ist der Besitzer dann auch der Admin oder wirkt das dann nicht?
[/b]
Habs ausprobiert. Eine Datei auf dem Desktop übernimmt die Rechte des übergeordenten Ordners: Admin & System: Vollzugriff; [Benutzer]Vollzugriff; Besitzer: [Benutzer]
Programme die vom [Benutzer] mit MachmichAdmin installiert wurden: Rechte wie Ordner \Programme\ ; Besitzer: Administratoren
Scheinbar gelten für den Profilordner in Sachen Besitzer andere Vorgaben, was ja auch Sinn macht.

Grüße.
 
automatthias

automatthias

vernunftgeplagt
Mitglied seit
21.04.2006
Beiträge
8.347
ZITAT(theunknown @ 06.06.2006, 19:39) Quoted post
@ all
was macht das script nun ? is das ne exe ? und wie muss ic mir das vorstellen ? einfach öffnen und dann hab ich admin rechte ?
[/b]
Nein, es ist keine EXE, sondern ein script (eine .cmd-Datei, die man mit dem Editor bearbeiten kann).
In diesem Skript wird nach einigen Konfigurationen das Windows-Kommandozeilenprogramm "runas" gestartet. RUNAS ist eine EXE, und RUNAS verlangt die Eingabe des Admin-Kennworts. (Programmiertechnisch gesehen, wird der security-Kontext des Administrators geladen, um in diesem Kontext eine Shell auszuführen. Und es ist nicht für den Dauereinsatz gedacht, sondern nur für Einzelaktionen).
Man kann also als einfacher Benutzer im Internet surfen u.ä. und nur bei Bedarf Adminrechte in Anspruch nehmen. Das ist etwas sicherer als mit einem Benutzerkonto zu arbeiten, dass immer Admin-Rechte besitzt, und es ist bequemer als den Benutzer z.B. mit WIN-L zu wechseln.

Es geht also nicht, dass Du z.B. den script auf irgendeinem Rechner aufrufst, auf dem Du normalerweise keine Rechte hast.
 
Thema:

Makemeadmin.cmd

Sucheingaben

machmichadmin cmd

Makemeadmin.cmd - Ähnliche Themen

  • GELÖST Automatisches schließen der CMD nach timeout

    GELÖST Automatisches schließen der CMD nach timeout: Hallo Leute! Ich lasse momentan per batch-Datei ein Programm mit einer Zeitverzögerung von 30s, automatisch nach der Windows-Anmeldung starten...
  • Cmd funktioniert nicht wegen Systemresourcen

    Cmd funktioniert nicht wegen Systemresourcen: Hallo zusammen, Ich versuche seit einiger Zeit mit Cmd Befehle auszuführen, doch seit kurzer Zeit steht oben bei Cmd jetzt auf einmal: "Nicht...
  • Lässt sich per Batch-Skript eine neue CMD-Datei speichern?

    Lässt sich per Batch-Skript eine neue CMD-Datei speichern?: Ich habe z.B. die Datei BatchA.bat und sie soll eigens etwa in einer RAM-Disk die Datei BatchB.bat mit anderem Inhalt als die erste Batchdatei...
  • Wie kann ich per CMD-Befehl einen Registry-(Standard)-Eintrag mit einem Pfad versehen?

    Wie kann ich per CMD-Befehl einen Registry-(Standard)-Eintrag mit einem Pfad versehen?: Mit folgendem Befehl erstelle ich erfolgreich einen neuen Key samt Unterschlüssel namens command: reg add...
  • Windows 10 Bildschirmtastatur per CMD öffnen

    Windows 10 Bildschirmtastatur per CMD öffnen: Hallo, gibt es eine Möglichkeit die Windows 10 Bildschirmtastatur in der Taskleiste per CMD zu Öffnen? Da es 2 Tastaturen gibt, gemeint ist...
  • Ähnliche Themen

    Oben