Forum: SuRun Beta RSS
SuRun 1.2.0.9
Seite:  vorherige  1  2  3 ... 6  7  8  9  10  nächste 
DrSnuggles (Gast) #106
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Antwort auf Beitrag ID 2898
Zitat von Kay am 09.08.2010, 18:05:
SuRun erstellt seit dem einen neuen Admin-Token mit der ID des normalen Windows Benutzers.
Da SuRun das Kennwort nicht kennt, es aber sichern kann, verpasst es dem Benutzer ein neues, zufälliges Kennwort, macht ihn zum Admin, meldet ihn an, macht ihn wieder zum User und restauriert das Kennwort.

Das dürfte im Netzwerk zu großen Problemen führen.
Kay (Administrator) #107
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Die Probleme sollten eigentlich nur in Netzwerken auftreten, die NT-LAN-Manager Hashes benutzen.
Ich hoffe, dass keiner mehr diese Hashes benutzt, weil sie zu anfällig für Rainbow-Table-Cracks sind.

Wenn NTLM-Hashes jedoch funktionieren müssen, wird SuRun zu benutzen unsicher:
  • Man verändert den Benutzertoken so, dass er zu den Administratoren gehört (SuRun 1.2.0.0...1.2.0.6).
Dann injiziert Windows alle Systemweiten Hooks auch in SuRun-Prozesse, was eingeschränkt laufenden Programmen ermöglicht, administrative Rechte zu bekommen.
  • Man speichert das Benutzerkennwort, wie SuRun das für Domänen-Benutzer-Kennwörter ja macht.
Da SuRun's Quelltext aber offen liegt, kann man so die Benutzer-Kennwörter als Administrator oder mit einer externen Boot-CD etc. entschlüsseln. Wenn man die Kennwörter statt wie bisher mit BlowFish mit festem Schlüssel evtl. mit CryptProtectData und CryptUnprotectData sichert, scheint das Risiko des externen Entschlüsselns kleiner, aber die Windows Funktionen benutzen zum ver-/entschlüsseln auch nur Daten aus der Registry, die von extern zugänglich sind.

Kennworte direkt speichern ist IMHO immer unsicher.

...ein temporäres Kennwort zu generieren scheint mir der einzig gangbare sichere Weg.

Hab ich da was übersehen/vergessen?
DrSnuggles (Gast) #108
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Zitat von Kay am 08.10.2010, 11:05:
  • Man speichert das Benutzerkennwort, wie SuRun das für Domänen-Benutzer-Kennwörter ja macht.
Vielleicht überseh ich was, aber warum muss das auf der Festplatte gespeichert werden?
Kann man das nicht nur im RAM halten?
Mik.c.OS #109
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
stromausfall!?
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Kay (Administrator) #110
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Das Kennwort im RAM zu halte würde bedeuten, es jedes Mal bei der Benutzeranmeldung zu erfahren. SuRun kann das Anmeldekennwort aber nicht "abfangen". Dazu gibt es nichts hinreichend dokumentiert Funktionierendes, man müsste tricksen, wahrscheinlich mit einem Treiber, der dann wieder als verhaltensauffällig (Avira) eingestuft wird...

Eine andere Möglichkeit wäre tatsächlich nach jedem Systemstart das Kennwort einmalig abzufragen... Allerdings leidet da der Komfort IMHO erheblich.
DrSnuggles (Gast) #111
Kein Benutzerprofil vorhanden.
Link auf diesen Beitrag
Das Kennwort im RAM zu halte würde bedeuten, es jedes Mal bei der Benutzeranmeldung zu erfahren. SuRun kann das Anmeldekennwort aber nicht "abfangen".
Bei XP müsste das via GINA funktionieren (OpenSource-Variante http://www.pgina.org/ )
und ab Vista evtl. per Credential Provider.
Kay (Administrator) #112
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
...es ist ca. 2 Jahre her, da habe ich das Thema schon mal mit Chris Wimmer diskutiert.

Ich habe noch dunkel im Kopf:
  • XP--: Ein GINA-Proxy wäre nötig. Der funktioniert aber nicht zuverlässig, da andere GINA-Proxy/Hook Dlls bereits vor SuRun's an die Reihe kommen könnten und SuRun das Kennwort nicht mitbekommt. Das kann man ganz gut z.B. bei pGINA sehen.
  • VISTA++: Credential Provider sind AFAIK nicht für den Mitschnitt des Kennworts gedacht, sondern um Zugriff zu gewähren. SuRun's Credential Provider würde wahrscheinlich nicht aufgerufen werden, weil vorher ein anderer das OK zum Login gibt.

Soweit ich mich erinnere haben wir damals nichts "wartungsfrei" Einsetzbares gefunden.
Kay (Administrator) #113
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
SuRun 1.2.0.9 Beta15 vom 08.11.2010
  • NEU: SuRun benutzt CryptProtectData() zum Speichern von Kennwörtern.
Diese Funktion benutzt einen Master-Schlüssel, der aus dem Benutzerpasswort generiert wird. Das ist (hoffentlich) sicherer als das bisher benutzte BlowFish mit festem Schlüssel.
  • NEU: Für jeden Benutzer kann festgelegt werden, das tatsächliche Windows-Kennwort zu speichern und zu benutzen (so, wie SuRun vor v1.2.0.0 es tat).
Damit dürften die Probleme in Domänen weniger werden.
  • NEU: Ist "Ersetze Windows 'Ausführen als...' durch SuRuns 'Ausführen als...'" aktiv, kann diese Funktion von jedem benutzt werden, auch wenn er nicht zu "SuRunners" gehört.
  • FIX: Mit dem Windows Theme "Kontrast-Schwarz" konnte man in einigen SuRun-Fenstern nichts lesen.
Der Autor hat eine Datei an diesen Beitrag angehängt:
SuRun1209b15.zip | Speichern   715,3 kBytes, 289 mal heruntergeladen
Mik.c.OS #114
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
hmm...
das icon ist nicht mit drin.
wohl vergessen :D

- SuRuns 'Ausführen als...' startet den explorer nicht administrativ
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Kay (Administrator) #115
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zitat von Mik.c.OS:
das icon ist nicht mit drin.

Jepp... :blush:

Zitat von Mik.c.OS:
- SuRuns 'Ausführen als...' startet den explorer nicht administrativ

Natürlich nicht.
Es führt ihn genau als der Benutzer aus, den Du angibst.
Unter Win7 mit einem UAC-Admin könnte ich den "elevated"-Token verwenden. Meinst Du dass?
Mik.c.OS #116
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Unter Win7 mit einem UAC-Admin könnte ich den "elevated"-Token verwenden. Meinst Du dass?
das kann ich nicht meinen, ich bin zwar ein poweruser, aber ich verstehe diese hochsprache nicht komplett
selbst ich versuche die fachsprache zu vermeiden, weil mich eh keiner verstehen würde,
darum rede ich immer als hätte ich es mit einen DAU zu tun...

zum eigendlichen thema:
also wenn ich das richtg verstehe, dann ist surun /runas nur ein benutzerumschalter
vielleicht könnte man das problem einfacher lösen, wenn man in den runas-dialog eine zusätliche option einbaut
"wenn möglich mit adminrechten starten"
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Kay (Administrator) #117
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zitat von Mik.c.OS:
also wenn ich das richtg verstehe, dann ist surun /runas nur ein benutzerumschalter

Ja. Deswegen geht das bei XP auch prima mit einem Admin.
Aber bei WinVista++ mit UAC bekommst Du nur die eingeschränkten Admin-Benutzer-Rechte.

Zitat von Mik.c.OS:
vielleicht könnte man das problem einfacher lösen, wenn man in den runas-dialog eine zusätliche option einbaut
"wenn möglich mit adminrechten starten"

Das kann man bei UAC sogar automatisieren.
Ist ein Benutzername nicht in der Administratoren-Gruppe, wird eine Checkbox "mit gehobenen Rechten starten" deaktiviert (ausgegraut).
Ist der Benutzername in der Admin-Gruppe und UAC aktiv, wird die Checkbox aktiviert und man kann kann einen Haken rein setzen, was einen Start mit gehobenen Rechten zur Folge hat.

Da SuRun eh' schon den letzten RunAs-Benutzernamen speichert, kann es den Zustand der Checkbox auch gleich speichern und alles sollte gehen...
Mik.c.OS #118
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
gerade eben:
Problemsignatur:
  Problemereignisname:    BEX64
  Anwendungsname:    wuauclt.exe
  Anwendungsversion:    7.3.7600.16385
  Anwendungszeitstempel:    4a5bd2a8
  Fehlermodulname:    SuRunExt.dll_unloaded
  Fehlermodulversion:    0.0.0.0
  Fehlermodulzeitstempel:    4cd9b3b0
  Ausnahmeoffset:    0000000010005990
  Ausnahmecode:    c0000005
  Ausnahmedaten:    0000000000000008
  Betriebsystemversion:    6.1.7600.2.0.0.256.1
  Gebietsschema-ID:    1031
  Zusatzinformation 1:    36ac
  Zusatzinformation 2:    36ac3dcec246c3ac1d4dc4d7f4a4c185
  Zusatzinformation 3:    2703
  Zusatzinformation 4:    27038c886fbadf8571c43ad24697ee02

Lesen Sie unsere Datenschutzbestimmungen online:
  http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x…

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
  C:\Windows\system32\de-DE\erofflps.txt

und nochmal
Problemsignatur:
  Problemereignisname:    BEX64
  Anwendungsname:    explorer.exe
  Anwendungsversion:    6.1.7600.16450
  Anwendungszeitstempel:    4aebab8d
  Fehlermodulname:    SuRunExt.dll_unloaded
  Fehlermodulversion:    0.0.0.0
  Fehlermodulzeitstempel:    4cd9b3b0
  Ausnahmeoffset:    0000000010005990
  Ausnahmecode:    c0000005
  Ausnahmedaten:    0000000000000008
  Betriebsystemversion:    6.1.7600.2.0.0.256.1
  Gebietsschema-ID:    1031
  Zusatzinformation 1:    af43
  Zusatzinformation 2:    af43cfa5a38f564daf6cd0dd54691b07
  Zusatzinformation 3:    bac6
  Zusatzinformation 4:    bac67a5f052e2a35d458c15650cc95db

Lesen Sie unsere Datenschutzbestimmungen online:
  http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x…

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
  C:\Windows\system32\de-DE\erofflps.txt

mein surun-icon ist auch weg... mal ein sauberen neustart wagen...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Kay (Administrator) #119
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1471 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Hab an der Dll IMO nichts geändert...
Hat das mit dem Neustart dann geklappt?
Mik.c.OS #120
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
jo nit dem neustart war wieder alles ok
hab den rechner letztens länger in ruhezustands versetzt
da scheind sich wohl n paar unstimmigkeiten angesammelt zu haben :P

alles wieder gut.
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Schließen Kleiner – Größer + Auf diesen Beitrag antworten:
Prüfcode: VeriCode Gib bitte das Wort aus dem Bild ins folgende Textfeld ein. (Nur die Buchstaben eingeben, Kleinschreibung ist in Ordnung.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Weitere Zeichen:
Seite:  vorherige  1  2  3 ... 6  7  8  9  10  nächste 
Gehe zu Forum
Nicht angemeldet. · Kennwort vergessen · Registrieren
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Seite erstellt in 149,4 ms (100,6 ms) · 128 Datenbankabfragen in 16,4 ms
Aktuelle Zeit: 23.10.2017, 15:33:21 (UTC +02:00)