Jump to content

runas- Befehl mit Benutzer ohne Kennwort


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe folgendes Problem: Ich würde gerne auf einem Windows XP SP2- System, dessen Benutzer sich als Administrator anmeldet, den Browser als Benutzer starten lassen, ohne dass sich für den Benutzer etwas verändert. Es geht um einen Benutzer, der Veränderungen überhaupt nicht haben kann. Das Grundkonzept stand sofort: runas /user:<Benutzername> <Programmpfad> als Verknüpfung. Um das machen zu können, habe ich zunächstmal mit Hilfe der gpedit.msc die Option, dass beim runas- Befehl ein Kennwort zwangsläufig notwendig ist, deaktiviert. (Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsptionen- Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken- Deaktiviert). Dann hat es im Grunde geklappt, nur es wurde noch die Eingabeaufforderung angezeigt, bei der man dann die Eingabetaste drücken muss. Das ist etwas, was dieser Benutzer nicht akzeptieren kann. Deshalb meine Frage: Gibt es eine Möglichkeit, dafür zu sorgen, dass diese Eingabeaufforderung nicht angezeigt wird und das Programm direkt mit dem entsprechenden Benutzer gestartet wird?

Link zu diesem Kommentar

Ich weiss, ich bin normalerweise der im Board hier, der immer was gegen "****e" Nachfragen für ein Problem á la "Warum macht ihr das so und nicht so?" hat, aber jetzt selber mal:

Warum soll dieser Admin den Browser als normaler Benutzer starten? Sicherheit? Na dann, warum bietet Microsoft nicht die Möglichkeit, im runas das Kennwort mit zu übergeben? ..... vielleicht aus Gründen der Sicherheit?! Aha, man will sich jetzt also Pseudo-Sicherheit erkaufen, indem man Sicherheit verringert :rolleyes:

Pseudo-Sicherheit: Der Benutzer soll aus Sicherheitsgründen als normaler User browsen, damit Malware und ähnlich Sachen nicht als Administrator das Unwesen treiben, korrekt? :suspect:

Na hoffentlich wissen die bösen Programme auch, dass sie NICHT im Kontext des angemeldeten Benutzers laufen dürfen, sondern im Kontext des Benutzers im Browserfenster. Muss man den Malware-Programmierern auch mal sagen :D

 

Alles Spekulation von mir, aber wenn dem so ist, und du hier auf Sicherheit bedacht bist: Der User meldet sich als Benutzer an, und gut iss'. Und wenn er administrative Aufgaben zu erledigen hat, dann nimmt er runas, und nicht umgekehrt :cry:

 

grizzly999

Link zu diesem Kommentar
  • 4 Wochen später...

Entschuldigung für meine späte Antwort.

1. Ist es nicht klar, dass ein Browser, der im Kontext eines einfachen Benutzers läuft, sicherer ist als ein Browser, der im Kontext des Administrators läuft und es somit für einen Benutzer, der als Admin arbeitet, sinnvoll ist, den Browser als Benutzer zu starten? Das Loch mit dem eingeschränkten Benutzer ohne Passwort ist ja wohl lächerlich. Schon mal was von Bart PE gehört? Da kann das Passwort noch so kompliziert sein, damit kommt jeder, der physischen Zugriff auf den Rechner hat, zumindest bei den meisten Rechnern ohne Probleme rein. Wer sich vor so etwas schützen will, muss sein Dateisystem so oder so verschlüsseln oder mit Festplatte im Wechselrahmen arbeiten. Benutzer- Passwörter als Schutz vor physischem Zugriff auf das System sind lächerlich, insbesondere, wenn es um eingeschränkte Konten geht. Ich will den bösen Menschen sehen, der mit einer Bart PE- CD in der Tasche an einem gesetzten Passwort für ein eingeschränktes Konto verzweifelt.

2. Ist es nicht klar, dass es Leute gibt, bei denen es schwerer fällt, sie davon zu überzeugen, sich mit Benutzerrechten einzuloggen als sie davon zu überzeugen, ihren Browser automatisch mit Benutzerrechten starten zu lassen? Es gibt Leute, denen kann man Benutzerrechte einrichten, dann installieren sie irgendein Programm, das nur mit Adminrechten geht, und schon arbeiten sie wieder als Admin.

3. Ich brauche keine Nachhilfe in Sachen Bildung von Sicherheitskonzepten. Was meint ihr, warum ich mich jahrelang mit dem Thema Sicherheit beschäftigt habe? Wenn ich nur die Ideen, die andere an mich herantragen, kopieren wollte, hätte ich mir das sparen können.

Pseudo-Sicherheit: Der Benutzer soll aus Sicherheitsgründen als normaler User browsen, damit Malware und ähnlich Sachen nicht als Administrator das Unwesen treiben, korrekt?

Nein, viel mehr: Damit Malware nicht ohne weiteres ausgeführt werden kann. Schon mal was von der erweiterten NTFS- Option "Ordner durchsuchen/ Datei ausführen" gehört? Ist die für einen Ordner nicht gesetzt, können in diesem Ordner gespeicherte Dateien von diesem Benutzer nicht ausgeführt werden (.exe, .pif, .cmd, .bat). Klar, Dateien für den Windows Scripting Host, den Windows Installer, Java- Programme und ähnliches oder sowas können immernoch ausgeführt werden. Aber die kann man ja auch sperren, indem man die jeweiligen Dateien wie etwa den Windows Scripting Host für den jeweiligen Benutzer sperrt. Auf diese Weise ist es leicht möglich, dieses Ausführungsrecht für jeden beschreibbaren Ordner zu sperren.

 

Die Hauptvorteile an dem Konzept sind also:

1. Es fällt oft nicht so schwer, Leute davon zu überzeugen.

2. Die Leute werden seltener rückfällig.

3. Es ist deutlich einfacher verwendbar, da man bei Programmen, die für den Einsatz durch eingeschränkte Benutzer nicht ausgelegt sind, keine Probleme einhandelt. Ich selbst krieg die damit mitunter verbundene komplizierte und zeitaufwändige Arbeit mit Regmon, Filemon usw. schon hin, aber bei einem normalen Benutzer kann man das nicht erwarten.

Link zu diesem Kommentar

Hi paulx,

 

Entschuldigung für meine späte Antwort.

2. Ist es nicht klar, dass es Leute gibt, bei denen es schwerer fällt, sie davon zu überzeugen, sich mit Benutzerrechten einzuloggen als sie davon zu überzeugen, ihren Browser automatisch mit Benutzerrechten starten zu lassen? Es gibt Leute, denen kann man Benutzerrechte einrichten, dann installieren sie irgendein Programm, das nur mit Adminrechten geht, und schon arbeiten sie wieder als Admin.

erwarten.

 

Ich gehe mal davon aus, dass du von einer Umgebung redest, die man zu Hause vorfindet. Innerhalb einer Unternehmung muss ich den User nicht davon überzeugen, nur mit Benutzerrechten zu arbeiten, denn Sie haben gar keine anderen :D

@home ist jeder für sein System und seine Daten selber verantwortlich...

 

Gruß qmaestroq

Link zu diesem Kommentar

Hi paulx,

 

3. Es ist deutlich einfacher verwendbar, da man bei Programmen, die für den Einsatz durch eingeschränkte Benutzer nicht ausgelegt sind, keine Probleme einhandelt. Ich selbst krieg die damit mitunter verbundene komplizierte und zeitaufwändige Arbeit mit Regmon, Filemon usw. schon hin, aber bei einem normalen Benutzer kann man das nicht erwarten.

 

ich will dir nicht zu nahe treten... aber halte dein Konzept, dass übrigens über Dropmyrights (findest du in meinem Artikel) umsetzbar wäre, für schlicht und einfach falsch... Grizzly hat die auch schon versucht zu erklären warum...

 

Lies dir mal bezüglich deines Sicherheitskonzeptes den Blog von Aaron Margosis ein bisserl durch... wenn du uns nicht glauben willst... (Aaron Margosis ist Mitauthor der Technischen Referenz für Windows Server 2003)

 

http://blogs.msdn.com/aaron_margosis/archive/category/10085.aspx

 

und falls es Probleme mit Applikationen geben sollte, die erhöhte Rechte benötigen (Üble Programmier) kannst du immer noch das Programm Policymaker Application Security einsezten, um Applikationen soviel Rechte zu erteilen wie Sie benötigen... aber selbst immer mit einem LUA angemeldet bleiben....

 

http://nonadmin.editme.com/PolicyMakerApplicationSecurity

 

Mein Beitrag dazu:

http://www.mcseboard.de/showthread.php?t=66853

 

Schulungsvideo:

http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032274955&EventCategory=5&culture=en-US&CountryCode=US

 

LG Gadget

Link zu diesem Kommentar

Warum redet ihr eigentlich immer um den heißen Brei herum? Warum sagt ihr nicht einfach, warum dieses Sicherheitskonzept schlecht ist sprich warum Viren aus dem Browser heraus in der von mir beschriebenen Konfiguration leichter starten als wenn man sich direkt als Benutzer einloggt. Dass man sich mit dem Setzen eines Passworts für einen ziemlich entrechteten Benutzer nicht vor physischen Zugriffen auf das System schützen kann, sollte doch eigentlich bekannt sein.

Für den Hinweis mit der dropmyrights.msi: Danke.

Ich habe das Problem inzwischen allerdings selbst gelöst: Mit der /savecred- Option des runas- Befehls.

Link zu diesem Kommentar

Hi,

es spielt doch gar keine Rolle.

Für die Sicherheit ist eine solche Vorgehensweise kontraproduktiv und augenscheinlich nicht vorgesehen.

Nun meine Frage an dich: was spricht dagegen, dem eingeschränkten user ein Passwort zu geben?

Wenn du das über die Verknüpfung runas user .... anlegst, tut das der Funktion keinen Abbruch.

Meine Meinung.

mfg andre

Link zu diesem Kommentar

3. Ich brauche keine Nachhilfe in Sachen Bildung von Sicherheitskonzepten. Was meint ihr, warum ich mich jahrelang mit dem Thema Sicherheit beschäftigt habe?

Ich melde hier Zweifel an, denn wer sich mit Sicherheit beschäftigt, Sicherheit auf der WS uns Sicherheit beim Web-Browsing will, für den gibt es nicht: "als Admin arbeiten ud gleichzeitig als Benutzer surfen", sondern nur "als Benutzer arbeiten und surfen und als Admin arbeiten, wenn man muss". Punkt. Das ist einer der Grundlagen von Security, erstes Kapitel in allen guten Security Büchern.

Aber naja, Nachhilfe ersteile hier im Board gerne :)

 

Und was der Benutzer will... ich will auch nen Porsche als Firmenwagen :D

 

grizzly999

Link zu diesem Kommentar

Was dagegen spricht, dem Benutzer ein Passwort zu geben? Ist doch eigentlich klar. Es bringt sicherheitsmäßig nichts, dem User ein Passwort zu geben, wie ich bereits schrieb. Und es erhöht den Aufwand. OK, nicht stark, aber ein bißchen mehr Aufwand für ein quasi gleiches Ergebnis ist eben insgesamt schlecht. Abgesehen davon, dass der User dann als Admin surfen würde.

Ob das in irgendwelchen Büchern drinsteht, dass man das so machen soll, ist mir nicht so wichtig. Bzw., wenn es überall drin steht, senkt es sogar die Glaubwürdigkeit. Denn wenn alle etwas schreiben und Kritiker zurechtgewiesen werden, kommt leicht der Verdacht auf, dass ein gewisser Teil das nur schreibt, um nicht das eigene Ansehen zu riskieren, nicht, weil sie das wirklich meinen.

Aber ich habe keine Lust mehr auf die Diskussion. Ich habe sie ohnehin nur geführt, weil ich lernen wollte, warum dieses Sicherheitskonzept schlecht ist. Aber das werde ich hier wohl nicht lernen. Ich übernehme nicht einfach Meinungen, wenn ich sie nicht nachvollziehen kann, auch wenn es Mehrheitsmeinungen sind. Warum? Ich kann Meinungen nicht damit begründen, dass das allgemeine Meinung ist. Ich muss Argumente liefern. Und zwar Argumente, die derjenige nachvollziehen kann, auch wenn er wenig Ahnung von der Sache hat. Und dafür ist es zunächstmal erforderlich, dass ich die Argumente richtig finde. Ich kann ja keine Argumente bringen, an deren Relevanz ich selbst zweifle.

Zu dem Porsche: Man versucht, Wünsche zu erfüllen. Wenn man es nicht kann oder der Aufwand zu hoch wäre, macht man es eben nicht, so wie beim Porsche.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...