GELÖST Makemeadmin.cmd

[tabbyhund]

Mit dem Script makemeadmin.cmd von: http://blogs.msdn.com/aaron_margosis/archi.../24/193721.aspx

dann funktioniert das zwar, aber ich werde nach dem administratorkennwort gefragt. gibt es eine möglichkeit diese frage zu umgehen ???

 

[HWFlo]

glaube ich nicht da man damit sonst viel zu viel unsinn treiben könnte

 

[SuperTux]

Abgesehen davon rate ich dringend von der Benutzung dieses Programms ab, da es nur Sicherheitslücken verursacht!

 

[automatthias]

Den Script gibt's übrigens auch auf deutsch bei heise (c't).

Intern wird das Windows-Kommando "runas" verwendet, und das erwartet nun einmal, dass man das Passwort eingibt.
Grundsätzlich ist das sinnvoll, weil es hier ja um sicherheitsrelevante Aktionen geht. Aber wenn Du nur alleine auf Deinem Rechner bist, kann ich natürlich auch Deine Bequemlichkeit verstehen.

Vielleicht kann man irgendwas mit einem Keyboard-Makro-Tool machen.

 

[Guest_Domi]

An sich ist das mit der Option /savecred nach dem ersten 'runas' Befehl möglich. Allerdings kann so auch ein Virus mit einem Mausklick Administrator-Rechte erlangen ohne dass Du es merkst.

Beim c't MachMichAdmin musst Du in der ersten runas-Kommandozeile vor /u:%_Admin_% einfügen:
%_savecred_%

@SuperTux.
Du deutest es immer wieder an, dass MachMichAdmin eine Sicherheitslücke öffnet. Welche? Spielst Du darauf an, dass der Benutzer der ein Programm installiert automatisch Besitzer des Ordners ist und damit in der Standard-Rechtevergabe Vollzugriff besitzt?
Dem kann man abhelfen! (ich erwähnte es bereits hier)
Mit der kleinen Registry Änderung ist der Besitzer automatisch immer die 'Gruppe der Administratoren'.
Oder meinst die Sicherheitskücke entsteht, dass nun ein Prozess im Hintergrund mit Adminrechten läuft und Befehle von anderen Prozessen ausführen könnte? Jedoch ist die Gefahr gering, da MachMichAdmin an sich nur bei Administrativen Aufgaben verwendet wird, die ja beim Endbenutzer zeitlich betrachtet einen geringen Teil der täglichen Arbeit ausmachen.
Viel tragischer ist da das Prinzip von "Lower my rights" oder wie das hieß. Dort wurde ein einzelner Prozess im Kontext des eingeschränkten Users gestartet. Zwar kann dann der so gestartete Browser oder das Mailprogramm nicht direkt Systemänderungen durchführen, da aber in WinXP das Versenden von Befehlen zwischen einzelnen Prozessen gestattet ist (hat im übrigen nichts mit dem Nachrichtendienst zu tun) und da ja immer der Prozess explorer.exe (in diesem Beispiel) mit Admin-Rechten läuft ist es ein leichtes, dass Malware, wenn sie direkt keinen Zugriff auf das System bekommt den kleinen Umweg über explorer.exe geht.
Aber Microsoft schein daraus gelernt zu haben: In Vista geht das mit den Befehlen zwischen Prozessen nicht mehr, somit kann man problemlos ein Programm als Administrator mit geringesten Rechten starten und hat dadurch ein hohes Maß an Sicherheit. Z.B soll der InternetExplorer 7+ in Vista von Haus aus nur noch in diesem LUA (Limited User Access)-Status laufen.

Lange Worte. SuperTux poste doch mal was Du genau meinst!

Grüße.

 

[Filzer]

ZITAT(SuperTux @ 06.06.2006, 17:11) Quoted post
Abgesehen davon rate ich dringend von der Benutzung dieses Programms ab, da es nur Sicherheitslücken verursacht!
[/b]

welche dann? Zähle die mal auf wenn wir gerade mal Adminrechte brauchen?

was bei dir immer alles Sicherheitslücken verursacht, kaum zu glauben.
Du bist ein wenig Paranoid mein Jung und wirklich Ahnung hast auch nicht. Ist Sudo auch so unsicher? Wenn jemand dann Admin Pass hat, ists doch eh schon wurst, ob script oder ohne.....

 

[SuperTux]

Guest_Domi, ich kenne den REG-Eintrag nicht, aber wenn er das tut, was du sagst, ist machmichadmin ja überflüssig, denn dann kommt am Ende genau das raus, was man mit RUNAS oder Ausführen als auch machen kann. Nix anderes. Wenn du also den REG-Eintrag setzt, ist machmichadmin wirkungslos. Ist der REG-Eintrag nicht gesetzt, ist machmichadmin eine Sicherheitslücke weil der User Besitzer der Dateien ist, wie du richtig verstanden hast.

Richtig ist es, ein Programm mit Ausführen als zu installieren und dann nur den benötigten Konfig-Dateien oder Save-Ordner die Schreibrechte zu geben, damit das Programm speichern kann. So sind die Programm-Dateien schreibgeschützt.

 

[Ronny]

@Filzer

ZITATDu bist ein wenig Paranoid mein Jung und wirklich Ahnung hast auch nicht.[/b]

Bei aller Liebe, Filzer, aber wir pflegen hier nach Möglichkeit einen akzeptablen Ton, und ich glaube, deine Kritik wäre auch weniger scharf formuliert noch angekommen. Also versuch' bitte mal in Zukunft darauf zu achten.

 

[theunknown]

@ ronny *zustimm*

@ all
was macht das script nun ? is das ne exe ? und wie muss ic mir das vorstellen ? einfach öffnen und dann hab ich admin rechte ?

 

[Guest_Domi]

ZITAT(SuperTux @ 06.06.2006, 19:37) Quoted post
Guest_Domi, ich kenne den REG-Eintrag nicht, aber wenn er das tut, was du sagst, ist machmichadmin ja überflüssig, denn dann kommt am Ende genau das raus, was man mit RUNAS oder Ausführen als auch machen kann. Nix anderes.zt.
[/b]

Auch dort muss ich Dir widersprechen. Wenn Du ein Programm mit MachmichAdmin installierst (und vorher die besagte Registry-Änderung durchgeführt hast) kanst Du sicher sein, dass alle Verknüpfungen, Konfig-Einstellungen, Profile etc. unter Deinem Profil angelegt sind. Bei Deiner runas Lösung musst Du erst handish alle Verknüpfungen etc. vom Admin Profilordner auf den UserProfilordner übertragen. Das ist unhandlich. Und da ein Computer nicht künstlich Arbeit erzeugen soll, sondern dem Menschen abnehmen, hat sich jemand "MachMichAdmin" ausgedacht...
Beispiel: Du möchtest Einstellungen Deines eingeschränkten Kontos ändern, die Adminrechte verlangen. Es hilft Dir nicht wenn Du per runas Einstellungen des AdminKonto änderst, oder?

Grüße.

 

[SuperTux]

ZITAT(Guest_Domi @ 06.06.2006, 20:45) Quoted post
Beispiel: Du möchtest Einstellungen Deines eingeschränkten Kontos ändern, die Adminrechte verlangen.
[/b]

Das gibt es nicht, Einstellungen an meinem Konto kann ich immer ohne PW ändern, man braucht ein PW nur für systemweite Einstellungen!

Das mit dem Links stimmt wohl. Ist aber für mich kein Problem, da ich mein Start-Menü eh anders anordne als die Programme das möchten. Und an dem PC sind mehrere User angemeldet, da muss es für jeden User eingerichtet sein, also kommen die Links in "All Users".

Wie ist das mit dem REG-Key, wenn ich den aktiviere und eine Datei auf meinem Desktop erstelle, ist der Besitzer dann auch der Admin oder wirkt das dann nicht?

 

[Guest_Domi]

ZITAT(SuperTux @ 06.06.2006, 20:52) Quoted post
Wie ist das mit dem REG-Key, wenn ich den aktiviere und eine Datei auf meinem Desktop erstelle, ist der Besitzer dann auch der Admin oder wirkt das dann nicht?
[/b]

Habs ausprobiert. Eine Datei auf dem Desktop übernimmt die Rechte des übergeordenten Ordners: Admin & System: Vollzugriff; [Benutzer]Vollzugriff; Besitzer: [Benutzer]
Programme die vom [Benutzer] mit MachmichAdmin installiert wurden: Rechte wie Ordner \Programme\ ; Besitzer: Administratoren
Scheinbar gelten für den Profilordner in Sachen Besitzer andere Vorgaben, was ja auch Sinn macht.

Grüße.

 

[automatthias]

ZITAT(theunknown @ 06.06.2006, 19:39) Quoted post
@ all
was macht das script nun ? is das ne exe ? und wie muss ic mir das vorstellen ? einfach öffnen und dann hab ich admin rechte ?
[/b]

Nein, es ist keine EXE, sondern ein script (eine .cmd-Datei, die man mit dem Editor bearbeiten kann).
In diesem Skript wird nach einigen Konfigurationen das Windows-Kommandozeilenprogramm "runas" gestartet. RUNAS ist eine EXE, und RUNAS verlangt die Eingabe des Admin-Kennworts. (Programmiertechnisch gesehen, wird der security-Kontext des Administrators geladen, um in diesem Kontext eine Shell auszuführen. Und es ist nicht für den Dauereinsatz gedacht, sondern nur für Einzelaktionen).
Man kann also als einfacher Benutzer im Internet surfen u.ä. und nur bei Bedarf Adminrechte in Anspruch nehmen. Das ist etwas sicherer als mit einem Benutzerkonto zu arbeiten, dass immer Admin-Rechte besitzt, und es ist bequemer als den Benutzer z.B. mit WIN-L zu wechseln.

Es geht also nicht, dass Du z.B. den script auf irgendeinem Rechner aufrufst, auf dem Du normalerweise keine Rechte hast.

 

[tabbyhund]

an alle Atworten