Forum: SuRun Beta RSS
SuRun 1.2.0.6
Seite:  1  2  3  4  5  nächste 
Kay (Administrator) #1
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Betreff: SuRun 1.2.0.6
...so, hier ein neuer Betatest.
Wenn der abgeschlossen, ist soll:
  • die "sicherer Desktop konnte nicht erstellt werden" Meldung nicht mehr kommen
  • SuRun mit VC2005 und VC2008 kompiliert werden können, damit (endlich) Andere auch an SuRun mithelfen können.
  • SuRun in Domänen besser/vollständig (Outlook 2007, Systemsteuerung als Admin, Links der Schnellstartleiste...) funktionieren
  • evtl. ein Konsolen-Modus verfügbar sein, sodass SuRun direkt Prozesse in der "Eltern-Konsole" starten kann.

SuRun 1.2.0.6 Beta 1 vom 19.10.2008:
  • SuRun erstellt keinen eigenen sicheren Desktop mehr. Es benutzt den WinLogon Desktop. Der ist sicher und immer verfügbar. (Danke mal wieder an Christian Wimmer!) Ich dachte, der WinLogon-Desktop wäre gegen Zugriffe geschützt, ist er aber nicht... "Administratoren" und "System" dürfen ihn missbrauchenbenutzen.
  • SuRun zeigt die Versionsnummer mit " beta x" an.

Als Nebenwirkung mit dem Dektop sehe ich bisher nur WinLogon selbst.
Wenn man <WIN>+"L" drückt (auch bei aktivem SuRun) erscheint der Logon-Bildschirm.
Mit <ALT>+<TAB> kann man zwischen dem und SuRun hin und herschalten.
Ein Sicherheitsrisiko sehe ich dadurch nicht.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b1.zip | Speichern   567,5 kBytes, 250 mal heruntergeladen
Dieser Beitrag wurde am 19.10.2008, 13:39 von Kay verändert.
Cosmo #2
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hallo Kay,

vorneweg: sicherheitstechnisch ein Rückschritt (zumindest für Leute, die sich in einem Umfeld befinden, wo die Möglichkeit besteht, daß nicht-autorisierte Leute darauf zugreifen, aber auch aus genereller Sicht). Nehmen wir an, man hat die SuRun-Einstellungen aufgerufen und das System dann mit Win-L in den Willkomensbildschirm geschaltet und SuRun dann vergessen (was normalerweise kein Problem ist, denn wenn der Rechner gesperrt ist, kommt niemand in ein Konto (sofern es ein Paßwort hat) heran und kann folglich auch kein laufendes Programm bedienen). Doch bei SuRun geht genau das: Einmal Alt-Tab gedrückt und man kann in SuRun einstellen was man will und jeden Benutzer zum uneingeschränkten SuRunner machen, letztlich also die Autorität eines Admins geben. Das darf nicht sein!

Weitere Probleme:
Hat man den SuRun-Bildschirm geöffnet, mit Win-L in den Willkommensbildschirm gewechselt und ist mit Alt-Tab wieder zu SuRun zuirück gegangen und läßt den Rechner dann über die Einschaltzeit des Bildschirmschoners unberührt stehen, so kann man im folgenden nur noch scheinbar mit Alt-Tab zwischen Logon und SuRun umschalten, tatsächlich bleibt man in SuRun hängen. Beendet man dann SuRun (die einzige Möglichkeit, die man tatsächlich hat), so sieht man dauerhaft die Sanduhr und das System ist unbenutzbar mit der einzigen Ausnahme Strg-Alt-Entf, was einen schließlich in den Willkommensbildschirm zurückbringt. Jetzt geht es endlich weiter.

EDIT: Läßt man den Rechner mit sichtbaren Logon-Bildschirm stehen, wechselt er selbständig zum SuRun Desktop, und dann geht es weiter wie zuvor beschrieben.

Hat man den unscharfen Desktop als Hintergrund abgeschaltet und wechselt dann mit Win-L und Alt-Tab ein wenig hin und her, so weiß man nach kurzer Zeit nicht mehr, zu wem denn nun der SuRun-Dialog gehört (wenn mit schneller Benutzerumschaltung mehrere SuRunner / Admin angemeldet sind).

Schaltet man den XP-Willkommensbildschirm ab (soviel ich weiß, bei Domänenrechnern u.U. obligatorisch, in jedem Fall bei W2k gar nicht vorhanden), so gerät man in unterschiedliche Ereignisse, je nachdem ob man bei laufenden SuRun Win-L oder Strg-Alt-Entf drückt. Die Möglichkeiten sind zu viele, als das ich sie hier einzeln beschreiben möchte, probier es einfach aus. Nur als Beispiel: Abmelden oder herunterfahren aus dem Strg-Alt-Entf-Auswahldialog bringt ein richtiges Feuerwerk an Flackereien, weil sich Windows und SuRun offensichtlich darum rangeln, wer denn nun das Sagen habe.

Ob man diese Probleme im Zusammenhang mit dem Logon Desktop lösen kann, weiß ich nicht, aber zur Zeit ist es keine Alternative.

EDIT: Im Text alle fehlerhaften Textstellen mit "Umschalt-Tab" durch "Alt-Tab" korrigiert.
Thomas
Dieser Beitrag wurde am 20.10.2008, 17:50 von Cosmo verändert.
Kay (Administrator) #3
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Bin gerade auf der EuroBlech und deshalb sehr knapp.

Ok, SuRun muss also "Abbrechen" drücken, sobald WinLogon aktiv wird.

Ich habe das mal eingebaut und angehängt... Bin ab Sonntag wieder zu Hause.

SuRun 1.2.0.6 Beta 2 vom 23.10.2008:
  • SuRuns GUI schließt sich mit "Abbrechen", wenn jemand WinLogon aktiviert.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b2.zip | Speichern   564,7 kBytes, 223 mal heruntergeladen
Cosmo #4
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
So funktioniert das. Vorerst kein Problem festgestellt.
Thomas
rnr (Gast) #5
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Ich teste die Beta jetzt eifrig seit 4 Tagen ohne auf Fehler gestoßen zu sein.
Das bekannte "Es konnte kein sicherer Desktop erstellt werden", das teilweise trotz 3GB freiem Arbeitsspeicher ständig nervte, scheint tatsächlich Geschichte zu sein.

Besten Dank für dieses wundervolle Stück Software.
Artemis #6
Mitglied seit 12/2007 · 11 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Ich habe folgendes Problem:

Beim Start von "Lokale Sicherheitsrichtlinie" über eine SuRun-Systemsteuerung oder per "surun secpol.msc" kommt folgende Meldung:

Sicherheitsvorlagen
Die Gruppenrichtlinieneinstellungen, die für diesen Computer gelten, konnten nicht ermittelt werden.
Beim Abrufen der Einstellungen von der lokalen Sciherheitsrichtliniendatenbank (%windir%\security\database\secedit.sdb) ist folgender Fehler aufgetreten: Falscher Parameter.


Alle lokalen Sicherheitseinstellungen werden angezeigt, aber es wird nicht angegeben, ob die jeweilige Sicherheitseinstellung von der Gruppenrichtlinie definiert wurde.
Alle durch diese Benutzerschnittstelle bearbeiteten lokalen Sicherheitseinstellungen können von den Domänenrichtlinien außer Kraft gesetzt werden.
OK  

Starte ich das jedoch per runas funktioniert alles tadellos.
Kay (Administrator) #7
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Das mit den Sicherheitsrichtlinien ist leider seit 1.2 so.

Da SuRun den Benutzertoken des angemeldeten Benutzers modifiziert, um kein Passwort speichern zu müssen, streiken einige wenige Microsoft Tools. Bei denen geht nur "SuRun /RunAs".
Kay (Administrator) #8
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
So, ich habe es geschafft, dass SuRun unter VC8 (VS2005) und VC6 kompilierbar ist. :-D
Tat gar nicht mal weh.

Allerdings macht das Kompilieren von SuRun x64 noch Probleme, der Linker meckert:
LIBCMT.lib(jmpuwind.obj) : error LNK2005: _local_unwind already defined in kernel32.lib(KERNEL32.dll)

Vielleicht kann sich das ja mal jemand ansehen, der schon länger mit VC8/9 arbeitet und mir die geänderten Dateien per eMail zurückschicken. :-)

Als nächster Schritt muss SuRuns "Visual Source Safe History" nach Subversion oder CVS portiert und öffentlich zugänglich gemacht werden. Einen Server hätte ich, gegen SourceForge hätte ich prinzipiell auch nichts. Ich brauche Tipps, wie das schmerzfrei geht!

SuRun 1.2.0.6 Beta 3 vom 01.11.2008
  • SuRun kann mit Visual Studio 2005 kompiliert werden
  • SuRun platziert seine Fenster immer explizit auf dem primären Monitor
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b3.zip | Speichern   573,5 kBytes, 215 mal heruntergeladen
Kay (Administrator) #9
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Neues Spielzeug, neue Sorgen!
Ich habe mir ein Lenovo X200t zugelegt. Auf dem war(!) Vista vorinstalliert.
Dabei habe ich gemerkt, dass SuRun unter Vista nicht so richtig flutscht... das habe ich geändert.
Nun ist WinXP Tablet PC edition drauf...aber SuRun besser für Vista nutzbar:

SuRun 1.2.0.6 beta 4 vom 12.11.2008
  • Bei einem SuRun Update bleibt die Sicherheitsrichtlinie "'Administratoren' statt 'Ersteller' als Standard-Besitzer für von Administratoren erstellte Objekte." wie sie ist.
  • Neue Kommandozeilen-Option "/BACKUP <Datei>" um alle Einstellungen zu sichern.
  • VISTA: Wenn UAC-Administratoren Mitglied in SuRunners sind, werden sie wie ein normaler SuRunner behandelt.
  • VISTA: Wenn ein UAC-Admin zum SuRunner gemacht wird, wird er nicht aus Administratoren ausgetragen.
  • VISTA: UAC-Admins bekommen immer ihren Admin-Token. SuRun erstellt also keinen neuen Token für diese Benutzer, um Prozesse administrativ zu starten.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b4.zip | Speichern   574,4 kBytes, 211 mal heruntergeladen
FRS (Gast) #10
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Hey Kay,
bist du eig. noch an dem Domain Problem dran? So langsam wird mein Desktop zu voll, da die Verknüpfungen ja aus dem Startmenü, sowie Schnellstartleiste nicht richtig funktionieren.

LG FRS
Kay (Administrator) #11
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Habe meine virtuelle Domäne noch nicht bekommen :-(
...ich baue erstmal Debug-Meldungen ein, die aufzeigen, was genau nicht funktioniert.
Dann sollte irgendwas in DbgView stehen, warum Die Anwendung nicht gestartet werden konnte.

Ich hoffe, dass das heute oder morgen fertig wird.
Kay (Administrator) #12
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Auf die Schnelle:

SuRun 1.2.0.6 beta 5 - 2008-11-13:
  • SuRuns IAT-Hook suspends all Threads in a process before modifying the IAT. Hopefully this finally solves the Outlook 2007 and Eclipse problems.
  • SuRun sends Messages to Windows Debug output if something fails while trying to start an elevated process. Hopefully this helps to fix the Problems with SuRun in Domains.
  • "SuRun /RESTORE" now displays a "File not found" message
  • FIX: "SuRun /BACKUP" did not work at all!
  • FIX: "SuRun /BACKUP" and "SuRun /RESTORE" did not support "quoted" file names

Hoffentlich geht Outlook2007 jetzt. Kann das jemand mal testen?

EDIT:
Die SuRun beta 5 schreibt fast alles, dass nicht erwartungsgemäß funktioniert in den Windows Debug-Output.
Dadurch könnte (mit DbgView) geklärt werden, was genau mit der Schnellstartleiste in Domänen nicht funktioniert und warum manche das "Anwendung konnte nicht gestartet werden"-Problem haben.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b5.zip | Speichern   592,7 kBytes, 236 mal heruntergeladen
Dieser Beitrag wurde am 13.11.2008, 16:29 von Kay verändert.
Kay (Administrator) #13
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Ich habe gestern meine Mini-Domäne bekommen und: Outlook wollte nicht :-D
Ich habe mir heute deshalb Urlaub genommen...

Das Problem ließ sich lösen, indem SuRuns IAT-Hook die Windows Funktion GetProcAddress nicht mehr abfängt.

SuRun 1.2.0.6 beta 6 - 25.11.2008:
  • SuRuns Meldungen sind System-Modal, kommen also immer im Vordergrund.
  • In Terminal Sitzungen wird der Desktop-Hintergrund nie ein- bzw. ausgeblendet.
  • In Windows Vista ist die erweiterte Option "Versuche zu erkennen, ob unbekannte Programme administrative Rechte benötigen." standardmäßig aus. Vista erkennt das auch so und SuRun nervt da. Man kann die Option aber aktivieren. Falls jemand Vista ohne UAC benutzt, ist das auch sehr sinnvoll.
  • Die Ausnahmen-Liste überprüft jetzt den kurzen und langen Dateinamen des laufenden Programms.
Tests haben gezeigt, dass Outlook 2007 aus dem Verzeichnis C:\PROGRA~1\MICROS~2\... läuft.  8-( Ich hätte so etwas dreizehn Jahre nach DOS von Microsoft niemals erwartet!
  • In "SuRun /RunAs" kann man jetzt auch Programme als anderer Benutzer und zusätzlich mit erhöhten Rechten starten. Um das zu dürfen, muss man entweder Admnistrator oder unbeschränkter SuRunner sein.
  • SuRuns Bestätigungsdialoge haben einen "Benutzer..."-Knopf. Mit dem kann man das Programm auch als anderer Benutzer ausführen (Genau so, wie mit "SuRun /RUNAS"). Dadurch kann man z.B. Sachen auch als echter Administrator installieren, wenn SuRun einen automatischen administrativen Start vorschlägt.
  • FIX: Der "Hinzu..."-Knopf der Ausnahmen Liste hat automatisch Anführungszeichen um das Programm gemacht, wenn dessen Pfad Leerzeichen enthielt. Anführungszeichen gehören aber nicht in die Ausnahmen-Liste!
  • FIX: Ich habe endlich gefunden, warum Outlook 2007 nicht wollte. SuRuns IATHook hat die Windows Funktion GetProcAddress abgefangen (das ist eigentlich nicht nötig) und deshalb stürzte Outlook 2007 in Verbindung mit Exchange Server und einer Domäne ab. (Hoffentlich war das alles!)
Sollte Outlook dennoch zicken, muss in die Ausnahmen-Liste:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\*
C:\Programme\Microsoft Office\*
Hat man Windows Desktop Search laufen, ist zusätzlich der Eintrag:
C:\WINDOWS\system32\searchprotocolhost.exe
von Nöten... das war mein QuickFix, bevor ich das mit GetProcAddress heraus fand.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1206b6.zip | Speichern   594,1 kBytes, 260 mal heruntergeladen
Eugen (Gast) #14
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Hallo Kay,

ich habe gestern deine Beta 6 heruntergeladen, da wir genau das Problem mit Outlook 2007 haben.
Wir benutzen outlook 2007 in einer Domäne mit einem Exchange Server 2003.

das beta 6 funktioniert!
jetzt muss ich nicht mehr Outlook in die Ausnahmeliste hinzufügen!

Außerdem habe ich Windows Desktop Search für Outlook installiert und das läuft (bis jetzt auch ohne Probleme)

zur Info: wir benutzen die Redemption-Library (http://www.dimastr.com/redemption/) um Outlook "fernzusteuern". Mit 1.2.0.5 und davor hatten wir ein Problem uns in das Outlook-Postfach einzuloggen. Aber die beta 6 behob dieses Problem nun auch!

Somit ist alles gut!
Super Programm!!!!!

Gruß
Eugen
Cosmo #15
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zur beta 6:

Ganz schnell ist folgendes erklärt:
In http://forum.kay-bruns.de/thread/127;?unb776sess=705571dc55f02693e8ca8be6ceaf981f wolltest du doch das Zeitlimit abschaffen; vergessen?

Zur Doppelfunktion (Surun / Runas):
Was ich nicht verstehe, ist die Bedeutung von "mit erhobenen Rechten starten". Im Kern ist schon klar, man könnte hier ein Programm mit den Kredentials eines anderen eingeschränkten Benutzers starten und hat dann zusätzlich die Option, mit administrativen Rechten auszuführen. Das ist mir aber so weit weg vom realen Bedarf, daß ich nicht getestet habe, ob dieses Verständnis von mir stimmt. Insbesondere mit der Erläuterung oben "als echter Admin starten" kommt da niemand drauf. Wähle ich - was wohl in 99,9% der Fälle relevant sein dürfte, den Admin hier aus, so spielt diese Option - das habe ich nun wiederum getestet - keine Rolle und verwirrt nur. Also IMHO sollte es weg weil verwirrend und überflüssig.

Was nun die Diskussion im Thunderbird-Thread betrifft, ich verlagere die Antwort auf deine jüngste Frage mal nach hier, damit das Thema nicht über das halbe Forum flutet: Den Kern des von mir angesprochenen Problems (die Besitzer-Option) betrifft es nicht und löst es nicht. Aber diese Doppelfunktion kann als Ausgangsbasis für eine Lösung dienen.

Was ich an dieser Doppelfunktion positiv sehe, ist die Tatsache, daß man den bislang optionalen Ersatz für den Windows-eigenen Dialog "Ausführen als" damit entfallen lassen kann. Das löst dann auch das Problem, daß mit diesem alten Ersatz die erweiterte Option, daß das Ausführen eines Befehl vom Administrator immer mit dem Zwang belegt werden konnte, ihn unter einem anderen Konto auszuführen, nicht mehr zur Verfügung stand; jetzt ist dieses Dilemma aufgehoben.

Was jetzt um so dringender wird, ist die Verbesserung der Steuerung der SuRun-Dialoge mit der Tastatur. Um jetzt zum Beispiel aus dem ersten Dialog zu dem Dialog Benutzerauswahl zu kommen, muß man nicht weniger als viermal Tab und dann Enter drücken; das ist nicht wirklich gut. Einfach die Taste B (oder U, falls du für die englische Version nicht eigene Tastenanschläge programmieren möchtest) sollte reichen; aber auch die anderen Optionen würde ich doch manchmal gerne wählen können, ohne erst zur Maus greifen zu müssen.

Unabhängig von Maus oder Tastatur: Im Benutzerauswahldialog (egal ob alt oder neu) ist die Vor-Auswahl imer der aktuelle Benutzer. Geht man davon aus, daß wohl kaum jemand ein Programm über die Benutzerauswahl starten wird, um dann doch bei seinen eigenen Kredentials zu bleiben, macht das immer erst die Wahl des gewünschten Kontos erforderlich. Geht man aber davon aus, daß man diese Auswahl wohl in 90%+ der Fälle verwendet, um mit immer wieder demselben Admin-Konto zu starten, und daß man wohl vielfach dieses Kennwort abspeichert, so wäre es doch sinnvoll, wenn SuRun hier immer das Konto als Vor-Auswahl vorgibt, zu dem es ein Kennwort gespeichert hat.

Während ich das so schreibe, überlege ich mir, daß die Trennung zwischen 2 Dialogen in hierarchischer Folge eigentlich ein Dialog zu viel sind. Würde man die Benutzerauswahl in den ersten Dialog integrieren (der Platz ist locker vorhanden), so würde die oben von mir kritisierte Option mit den erhobenen Rechten plötzlich wieder Sinn machen, denn wenn der Benutzer sein eigenes Konto auswählt, so stellt sich die Frage tatsächlich. Perfekt wäre dann folgendes: Der Benutzer kann nicht nur wählen, ob in Zukunft ohne Rückfrage erhöht gestartet werden soll und ob das auch aus der Shell (also mit dem eigenen Kontext) ausgeführt werden soll, sondern eine weitere Option legt fest, daß in Zukunft automatisch mit den Kredentials des ausgewählten Kontos gestartet werden soll. Das würde bedeuten, daß man administrative Programme aus der Shell mit dem Kontext des Admins ausführt - und damit wäre ein erster Schritt getan, um das Problem mit der Besitzeroption zu lösen. Mh, hab ich jetzt während des Schreibens so entwickelt, nur bin ich mir nicht klar darüber, ob ich mich verständlich genug ausgedrückt habe?
Thomas
Schließen Kleiner – Größer + Auf diesen Beitrag antworten:
Prüfcode: VeriCode Gib bitte das Wort aus dem Bild ins folgende Textfeld ein. (Nur die Buchstaben eingeben, Kleinschreibung ist in Ordnung.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Weitere Zeichen:
Seite:  1  2  3  4  5  nächste 
Gehe zu Forum
Nicht angemeldet. · Kennwort vergessen · Registrieren
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Seite erstellt in 200,9 ms (156,9 ms) · 125 Datenbankabfragen in 14,7 ms
Aktuelle Zeit: 20.10.2017, 07:09:39 (UTC +02:00)