Forum: SuRun Beta RSS
SuRun 1.2.0.7
Page:  previous  1  2  3  4  5  6  7  8  9  10  next 
Kay (Administrator) #91
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
In reply to post ID 2235
Ok, den IAT-Hook habe ich hoffentlich zum Guten verändert... auch gibt es anderes Neues:

SuRun 1.2.0.7 Beta 13 vom 26.08.2009:
  • NEW: SuRun benutzt ein Hilfskonto. Das Konto ist deaktiviert und wird bei Start des Dienstes kurz mit einem dynamisch generierten zufällig gewählten Kennwort aktiviert. Dadurch ist es endlich möglich, den Gruppenrichtlinien-Editor und die Benutzerverwaltung der Systemsteuerung zu verwenden.
  • CHG: Wenn Administratoren leere Kennwörter haben, warnt SuRun nicht mehr so streng, falls das Verwenden von leeren Kennwörtern nicht erlaubt ist.
  • CHG: SuRun benutzt nicht mehr den AppInit_DLLs Registry-Eintrag
  • CHG: Die Option, den Hook auch in administrative Programme einzuhängen wurde entfernt.
  • CHG: Der Installer fordert folglich in Vista++ nicht mehr zum Neustart auf.
  • CHG: SuRuns Dienst injiziert SuRunExt.dll direkt in services.exe, um das Installieren von Hardware zu ermöglichen ohne ein Admin-Kennwort preisgeben zu müssen.
  • FIX: "SuRun /Sysmenuhook" greift nur noch auf die Registry zu, wenn sich die interessierenden Einträge geändert haben.
  • FIX: Der System-Menü-Hook hatte "(Neu-)start als Administrator" in das System-Menü und all dessen Untermenüs eingetragen.
  • FIX: Gregory Maynard-Hoare hat eine ernste Sicherheitslücke entdeckt, die in SuRun 1.2.0.0 bis SuRun 1.2.0.7b12 vorhanden war. Diese Beta beseitigt das Loch. Ich habe den Fix in SuRun 1.2.0.6 zurück portiert. Sollte es wenig Probleme mit Beta 13 geben, werde ich SuRun 1.2.0.6a online stellen und danach genau das Loch erklären.
The author has attached one file to this post:
SuRun1207b13.zip | Save   657.7 kBytes, downloaded 186 times
Cosmo #92
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Quote by Kay:
* CHG: Wenn Administratoren leere Kennwörter haben, warnt SuRun nicht mehr so streng, falls das Verwenden von leeren Kennwörtern nicht erlaubt ist.
Ich habe hier in 2 VM's beta 12 und 13 nebeneinander laufen und sehe bis auf's letzte Komma keinen Unterschied im Text der Meldung. Allerdings rätsele ich noch darüber, was der letzte Halbsatz bedeuten soll beziehungsweise worauf er sich bezieht.

Quote by Kay:
* CHG: SuRuns Dienst injiziert SuRunExt.dll direkt in services.exe, um das Installieren von Hardware zu ermöglichen ohne ein Admin-Kennwort preisgeben zu müssen.
Ich kann das in der VM nicht nachvollziehen, deswegen meine Bitte, das etwas ausführlicher zu erläutern.
Heißt das, daß nunmehr beim Anstecken einer neuen Hardware die Treiberinstallation abläuft, ohne das die (in XP) ansonsten übliche Aufforderung, sich mit den Zugangsdaten eines Admins zu legitimieren nicht mehr erscheint?
Wenn dann die Treiberinstallation auch noch mit den Credentials des Benutzers / SuRunners erfolgt, so wäre das von Übel. Wie du weißt, verfechte und praktiziere ich die klare Trennung zwischen RunAs-Aufrufen und SuRun-Aufrufen und habe deswegen auch die Besitzeroption von SuRun nicht der Empfehlung entsprechend geändert, sondern belasse sie bewußt auf XP-Standardeinstellung. Jetzt frage ich mich, ob dieses neue Feature dem eventuell zuwider läuft. In diesem Falle müßte es unbedingt zu einer Option gemacht werden, sonst wird es zu einem Eigentor.
Thomas
Kay (Administrator) #93
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Quote by Cosmo:
Ich habe hier in 2 VM's beta 12 und 13 nebeneinander laufen und sehe bis auf's letzte Komma keinen Unterschied im Text der Meldung.

Jetzt wo Du's schreibst... Wird sofort behoben.

Quote by Cosmo:
Allerdings rätsele ich noch darüber, was der letzte Halbsatz bedeuten soll beziehungsweise worauf er sich bezieht.
Es gibt eine Windows Richtlinie, das verwenden von leeren Kennwörtern auf die lokale Anmeldung zu beschränken.
Ist die gesetzt, sind leere Kennwörter im Betrieb ungefährlich, weil man sich damit nur am Anmeldebildschirm einloggen kann. Also lässt SuRun (theoretisch) den letzten Satz weg (Was noch nicht funktioniert) und weist nur darauf hin, dass Administratoren leere Kennwörter haben, ohne auf die Nutzlosigkeit SuRuns hinzuweisen.

Quote by Kay:
Ich kann das in der VM nicht nachvollziehen, deswegen meine Bitte, das etwas ausführlicher zu erläutern.
In VMware kannst Du beliebige USB Hardware mit der VM verbinden. Ich nehme dazu immer einen Drucker oder die WebCam.
Ja, SuRun fängt den "neue Hardware gefunden" Zauberer ab (rundll32 newdev.dll,...).
Du kannst pro SuRunner einstellen, ob der neue Hardware installieren darf. Wenn ja, startet SuRun "rundll32 newdev.dll,..." aus Services.exe immer automagisch administrativ.

Ansonsten fordert rundll32 newdev.dll zu einem Admin Kennwort auf, das man leider auch als Gast rausbekommen kann.

Habe noch weitere Kleine Unstimmigkeiten im Tray-Symbol behoben. Unter Anderem nervt es nicht mehr so viel mit Ballon-Tips... Beta 18 kommt später oder morgen.

EDIT:
Irgendwie war bei mir das Benutzen leerer Kennwörter aktiviert, habe es deaktiviert und sehe dann das:
The author has attached one file to this post:
emptypw.png | Save   4.8 kBytes
Image
This post was edited on 2009-08-27, 20:23 by Kay.
Cosmo #94
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Danke für die Antwort. Ich hatte die Benutzer-Option bezüglich Hardware übersehen, weil sie grau ist, weil bei mir wiederum die 2. Option auf der dritten Seite deaktiviert ist.

Aber gleich noch eine Frage: Diese Benutzer-Option ist mit einem Häkchen (aktiviert) vorbelegt. Normalerweise bedeuten graue Optionen, daß die Option nicht geändert werden kann, aber wirksam ist. In diesem Fall gehe ich jedoch davon aus, daß durch die deaktivierte 2. Programmfilteroption die Benutzer-Hardware-Option trotz des Häkchens nicht wirksam ist. Richtig? Wäre es dann nicht besser weil zutreffend wenn die Vorbelegung in grau kein Häkchen zeigen würde?

Etwas anderes: Wieso sind auf deinem Screenshot 2 SuRun-Symbole im Tray zu sehen?

Übrigens: Ich erwarte Beta 14, nicht 18.
Thomas
Kay (Administrator) #95
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Quote by Cosmo:
Wäre es dann nicht besser weil zutreffend wenn die Vorbelegung in grau kein Häkchen zeigen würde?

Wird so gemacht.

Quote by Cosmo:
Etwas anderes: Wieso sind auf deinem Screenshot 2 SuRun-Symbole im Tray zu sehen?

Ich habe das Kennwort geleert, "SuRun /SYSMENUHOOK" gekillt und dann "SuRun /SYSMENUHOOK" gestartet.
Durch das killen war das alte Symbol noch da ;-)

Quote by Cosmo:
Übrigens: Ich erwarte Beta 14, nicht 18.

Jepp, genau :-)

Mir ist noch etwas mit der Beta13 aufgefallen:
Da sie eine "Logon-Sitzungs-ID" des temporären SuRun-User Kontos benutzt, liefern "WhoAmI.exe" und "SET" in der Eingabeaufforderung als Benutzernamen den temporären SuRun-Benutzer... Ich brauche noch eine Weile, das zu beheben!
Mik.c.OS #96
User title: scriptkiddy :D
Member since Dec 2007 · 338 posts · Location: Europa
Group memberships: Mitglieder
Show profile · Link to this post
das ist ein für mich ein z.t. schwerwiegendes problem,
da meine shellextentions nun nicht mehr fehlerfrei den benutzer erkennen...

edit:
hab grad ein experiment in der eingabeauffoderung gemacht
>set username
 USERNAME=MiC

>set username=WiK
>set username
 USERNAME=WiK

man könnte SuRun veranlassen die Variable vür den Benutzeraccound neu schreiben lassen,
dabei weis ich aber nicht ob die Variable dauerhaft bleibt... scheind aber vererbt zu werden...

ich glaube nicht dass sich WhoAmI.exe so leicht manipulieren lässt...
vielleicht kannst du es ertmal als workaround einbauen, bis dir was besseres einfällt...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Derelict (Guest) #97
No profile available.
Link to this post
Kay,
Ich entschuldige mich, wenn dies nicht gut zu übersetzen. Ich benutze Google. Ich habe in beta 13 bemerkt, dass ich immer am Event 1524 und Event 1517 in der Event-Log mit jedem Herunterfahren des Systems. Ich verwende die Microsoft User Profile Hive Cleanup Utility. Ich hatte nicht diese Fehler mit Beta-12. Wäre es besser für mich, in Englisch oder in den Englisch-Forum als hier?  :blush:
Derelict (Guest) #98
No profile available.
Link to this post
Ich denke, das Problem mit dem Event-Log-Einträge wurde, indem Sie ein paar Anwendungen als Administrator, die zuvor als SuRunner ausgeführt wurden behoben.
Kay (Administrator) #99
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Sorry for being late... just working on a fix for Beta 13 and all SuRun 1.2.x.x before.
I did not understand the last post.
You don't need to post in German. ;-)
Feel free to post in english.

I'll check the "Registry has been accessed while it was unloaded" problem after the security hole is closed.
Kay (Administrator) #100
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Damit SuRun vernünftig und ohne Sicherheitsloch funktioniert, muss es (wie bis SuRun 1.1.0.6) den eingeschränkten Benutzer in die Administratorengruppe eintragen, ihn anmelden und ihn wieder austragen. Das hat aber den Nachteil, das man das Kennwort des Benutzers braucht. Das Kennwort ist aber nicht auf dem System gespeichert, sondern nur ein Hash davon. Also macht SuRun ab jetzt folgenden Trick:
  • SuRun sichert Kennwort-Hash
  • Benutzer bekommt von SuRun zufällig gewähltes Kennwort
  • Benutzer wird in lokale Administratoren eingetragen
  • Benutzer wird angemeldet
  • SuRun sichert die Daten der Anmelde-Sitzung
  • Benutzer wird aus den Administratoren ausgetragen
  • Kennwort-Hash wird wiederhergestellt
Das sollte sicher sein, denn SuRun speichert und kennt das Benutzerkennwort nicht und der Benutzer kennt das zufällig gewählte Kennwort nicht, das nur gilt, während der Benutzer Mitglied der Administratoren-Gruppe ist.

Der SuRun-Dienst macht das nur ein Mal pro Lauf und Benutzer, wenn das erste Programm als Administrator gestartet werden soll.

Mit Domänen-Benutzern sieht es leider anders aus. :-(
Auf dem lokalen System ist nur ein Hash des Hashes gespeichert und SuRun kann das nicht sichern/wiederherstellen. Deshalb speichert die angehängte Beta das Benutzerkennwort in der Registry, wie es SuRun 1.1.0.6 tat.
Die Kennwortspeicherung für Domänen-Benutzer lässt sich IMHO leider nicht umgehen.
Ich suche derzeit eine Möglichkeit, die Verschlüsselung abhängig von Daten des Domänen-Controllers zu machen, damit man nicht mit einer Boot-CD das Benutzerkennwort knacken kann.

SuRun 1.2.0.7 Beta 14 vom 31.08.2009:
  • CHG: Das Tray-Symbol merkt sich, bei welchem Prozess zuletzt der Ballon-Tipp dargestellt wurde und stellt Ballon-Tipps erst wieder für einen anderen Prozess dar.
  • FIX: Während Prozesse des angemeldeten Benutzers aktiv waren, wurde der Tray-Symbol-Text nicht aktualisiert.
  • FIX: Das SuRun-Benutzerkonto wurde wieder entfernt, stattdessen benutzt SuRun das eigentliche Benutzerkonto mit temporär und zufällig vergebenem Kennwort.
The author has attached one file to this post:
surun1207b14.zip | Save   664.4 kBytes, downloaded 200 times
Cosmo #101
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Quote by Kay:
Damit SuRun vernünftig und ohne Sicherheitsloch funktioniert, muss es (wie bis SuRun 1.1.0.6)
(Nur, damit keine Mißverständnisse aufkommen: Das soll doch wohl 1.2.0.6 heißen (auch noch einmal weiter untem in dem Beitrag)?)

Heißt das jetzt, daß die Sicherheitslücke nun doch 1.2.0.6 nicht betrifft? So zumindest verstehe ich den Halbsatz.

Ich habe beta 14 noch nicht installiert, daß hier also nur aus theoretischen Überlegungen:
Quote by Kay:
  • SuRun sichert Kennwort-Hash
  • Benutzer bekommt von SuRun zufällig gewähltes Kennwort
  • Benutzer wird in lokale Administratoren eingetragen
  • Benutzer wird angemeldet
  • SuRun sichert die Daten der Anmelde-Sitzung
  • Benutzer wird aus den Administratoren ausgetragen
  • Kennwort-Hash wird wiederhergestellt
Mein Bauchgefühl ist verdammt ungut und ganz ehrlich: Auf einem Produktivrechner würde ich diese Version nicht einsetzen. Sollte irgend etwas zwischen Schritt 1 und 7 schief gehen (das muß nicht zwingend innerhalb und in der Verantwortlichkeit von SuRun geschehen, es kann auch ein überraschender Stromausfall sein), so befürchte ich, daß dann dasselbe passiert, wie wenn ein Admin das Kennwort eines Benutzers löscht, der es vergessen und keine Kennwort-Rücksetzdiskette angelegt hat: Alle Netzwerk-Kennwörter sind weg und - was am katastrophalsten wäre - sollte der Benutzer die NTFS-Datenverschlüsselung verwendet haben, sind die Daten unwiederbringlich im Nirwana.
Thomas
Kay (Administrator) #102
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Quote by Cosmo:
Nur, damit keine Mißverständnisse aufkommen: Das soll doch wohl 1.2.0.6 heißen?

Nein! 1.1.0.6.
Alle 1.2.x.x haben die Lücke, zum Glück hat's scheinbar noch keiner benutzt.
Das ist der Grund, warum eine neue Release schnell raus muss!

Quote by Cosmo:
Sollte irgend etwas zwischen Schritt 1 und 7 schief gehen (das muß nicht zwingend innerhalb und in der Verantwortlichkeit von SuRun geschehen, es kann auch ein überraschender Stromausfall sein), so befürchte ich, daß dann dasselbe passiert, wie wenn ein Admin das Kennwort eines Benutzers löscht, der es vergessen und keine Kennwort-Rücksetzdiskette angelegt hat: Alle Netzwerk-Kennwörter sind weg und - was am katastrophalsten wäre - sollte der Benutzer die NTFS-Datenverschlüsselung verwendet haben, sind die Daten unwiederbringlich im Nirwana.

Ich habe die Zwischenschritte sorgfältig geprüft und so programmiert, dass falls etwas im inneren Schief geht, dass äußere wiederhergestellt wird. Der Beta-Test wird zeigen, wie gut. Ich könnte auch eine Art "Journal" bauen, so dass SuRun den Kennwort-Hash auf Platte flusht, dann alles macht und dann den Hash von Platte löscht. Startet der Dienst neu und es sind noch Hash Daten auf der Platte, restauriert SuRun die zuerst und der Benutzer kann sich wie immer anmelden... aber das sollte (hoffentlich) nicht nötig sein.

Ich denke, dass bei einem Stromausfall gar nichts passiert, weil die ganze Prozedur in sehr kurzer Zeit abgeschlossen ist. Es ist also entweder noch oder schon wieder der alte Hash in der Registry, die ja im RAM gecached ist, was bei Stromausfall eh verloren geht.

Ich werde hier mal Zeitmessungen machen.

Getestet habe ich bisher als PC meine beiden WinXPpro und in VMware XPpro, XPproX64, Win2kpro, Vista business, Win7rc1, Win7rc1 x64. Alles ohne Domäne. Auch getestet Server Win2k3 als PDC mit WinXPpro als Client in einer VMware Domäne.

Edit:
Zeitmessungen für die Benutzer-Vergewaltigungs-Prozedur:
PC XPpro: <450ms
VM 2kpro: <400ms
VM Win7x64rc1: <110ms
VM VistaBusiness: <100ms
This post was edited on 2009-08-31, 15:41 by Kay.
Cosmo #103
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Beobachtungen zur Beta 14:

Ich habe 2 Programme via RunAs gestartet: Notepad und TweakUI; es kommen die betreffenden Balloon-Tips (so weit so gut).
Ich setze den Fokus auf den Desktop (um die Ballon-Tips abszuschalten), fokussiere dann Notepad und wechsle von dort direkt zu TwakUI.
Beobachtung: Der Balloon-Tip meldet mir nach dem Wechsel konstant weiter den Editor.
Erst wenn ich noch einmal auf den Editor und dann wieder zu TweakUI gehe, bekommt der Balloon-Tip ein entsprechendes Update.

Das Verhalten ist unter XP SP3 reproduzierbar und ist auch vorhanden, wenn ich die beschriebene Prozedur mit TweakUI beginne und von dort zu Notepad wechsle.

Ebenfalls reproduzierbar, wenn ich auf (z. B.) TweakUI gehe, den Ballon ausschalte, dann zu Notepad (Ballon geht an), wechsle direkt zu TweakUI (Ballon meldet weiterhin den Editor); noch einmal zu Notepad und dann zu TweakUI und die Sache ist wieder richtig.

Das Häkchen bei der Benutzereinstellung bzgl. Hardware-Installation ist nach wie vorbelegt (sowohl beim Update von beta 13 zu 14 wie auch von beta 11 zu 14).
Thomas
Kay (Administrator) #104
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Quote by Cosmo:
Der Balloon-Tip meldet mir nach dem Wechsel konstant weiter den Editor.
[...]
Ebenfalls reproduzierbar, wenn ich auf (z. B.) TweakUI gehe, den Ballon ausschalte, dann zu Notepad (Ballon geht an), wechsle direkt zu TweakUI (Ballon meldet weiterhin den Editor); noch einmal zu Notepad und dann zu TweakUI und die Sache ist wieder richtig.

Jepp, stimmt auffallend... hab's behoben, Danke!

Quote by Cosmo:
Das Häkchen bei der Benutzereinstellung bzgl. Hardware-Installation ist nach wie vorbelegt (sowohl beim Update von beta 13 zu 14 wie auch von beta 11 zu 14).

Das Häckchen ist per Voreinstellung an... wegen der (armen) Heimanwender ;-)
Die müssen Hardware installieren dürfen.
Derelict (Guest) #105
No profile available.
Link to this post
Hi Kay.

The problem that I am seeing is that since beta 13 I am getting Event Log 1524, "Windows cannot unload your classes registry file - it is still in use by other applications or services. The file will be unloaded when it is no longer in use." and Event Log 1517, "Windows saved user hostname\username registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use. This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account." errors. I checked all of my processes with Process Hacker and all of my processes launched under the service process are running under the SYSTEM or NETWORK SERVICE accounts.

I just tried installing beta 14 and still see the events. I have been installing the new versions over the old ones. Is that ok, or should I remove my user account from SuRun, uninstall, and then re-install?

I'm going to try doing that and also to revert to 1.2.0.6 to make sure the problem isn't being caused by something other than the SuRun beta versions.

Lastly, thanks with letting me post in this forum in english.  :-)

Darrell
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Page:  previous  1  2  3  4  5  6  7  8  9  10  next 
Go to forum
Not logged in. · Lost password · Register
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Page created in 120.4 ms (97.8 ms) · 125 database queries in 27.6 ms
Current time: 2019-10-16, 07:17:06 (UTC +02:00)