Feedback von SuRun-Benutzer

Kay

SuRun erkennt, dass es von einer Admin-Shell aufgerufen wurde.
Ich muss programmieren, dass dann standardmäßig der Setup-Dialog auf dem Benutzer-Desktop erscheint.
Das ist so eine Art Notlösung.
Wenn man als SuRunner nicht ins Setup kommt, wie z.B. mit Kaspersky, kann man immer das Admin Konto dafür nehmen.

Ich halte das für sicher genug... aber Cosmo fällt dazu bestimmt was ein ;-)

Nachdem ich die Doku angepasst habe und meine Müdigkeit los bin, werde ich das mal basteln und hier posten.

cosmo

Danke für die Blumen.

Also, wenn ich das richtig durchschaue, dann soll der Surun-Desktop ja die Möglichkeit des Ausspionierens von Paßwörtern verhindern. Wenn das und nichts anderes - bin mir aber da nicht 100% sicher - die Funktion des separaten Desktops ist, so ist das im Admin-Konto genauso erforderlich wie im Benutzerkonto. (Vielleicht noch dringlicher, weil z.B. ein Keylogger, der versucht sich systemweit autozustarten, dabei im Benutzer-Konto scheidern wird.) Andererseits ahne ich, welche Probleme HIPS und HIPS-ähnliche Software (zu der der proaktive Schutz von Kaspersky teilweise auch gehört) durch die Desktop-Trennung hervorrufen kann. (Bei Wilders gibt es einen Benutzer, der - soweit die teilweise verworrenen Beschreibungen das erkennen lassen - ein ähnliches Problem zu haben scheint.) (Man könnte jetzt eine Diskussion über HIPS führen, aber ich laß' das jetzt.)

Mir scheint es deshalb am sinnvollsten, die Ausführung der Surun-Einstellung auf einem separaten Desktop als OPTION anzubieten (die dann aus Sicherheitsgründen eben nur benutzt werden sollte, wenn HIPS und Co es notwendig machen). Diese Option müßte dann natürlich auch im Installer erscheinen. - Auch wenn damit ein Keylogger-Schutz nicht mehr sicher gestellt ist, sollten die Paßwort-Eingabefelder dennoch gegen Spionage weitgehend sicher sein; ich denke hier an das, was in KeePass umgesetzt ist.

Kay

...Vielleicht noch dringlicher, weil z.B. ein Keylogger, der versucht sich systemweit autozustarten, dabei im Benutzer-Konto scheidern wird.

Ich denke zwar das Keylogger in einem Admin-Konto das falsche Werkzeug sind, man kann einfach einen Kernel-Mode Treiber laden, ab auf Ring0 und aus die Maus...aber: Es geht "nur" um SuRuns Setup, nicht den Abnick-Dialog.
Alles, dass Kennworte braucht muss auf dem separaten Desktop laufen! (Es sei denn ich finde einen Weg, IAT-Hooks und Keylogger sicher abzuwehren)

Cosmo wrote: Mir scheint es deshalb am sinnvollsten, die Ausführung der Surun-Einstellung auf einem separaten Desktop als OPTION anzubieten (die dann aus Sicherheitsgründen eben nur benutzt werden sollte, wenn HIPS und Co es notwendig machen). Diese Option müßte dann natürlich auch im Installer erscheinen. - Auch wenn damit ein Keylogger-Schutz nicht mehr sicher gestellt ist, sollten die Paßwort-Eingabefelder dennoch gegen Spionage weitgehend sicher sein; ich denke hier an das, was in KeePass umgesetzt ist.

Ich habe es nicht bis zu Ende durchgelesen. Dem ersten Endruck nach scheint KeePass gegen low level Keyboard hooks anfällig zu sein. Es müßte zufällige Tastendrücke simulieren, sich selber per keybd_event() schicken und wieder aussortieren... das scheint es nicht zu tun. Ich werde mir die Quellen mal besorgen und schauen, was die machen.

Aber egal: Ein IAT-Hook z.B. loggt keine Paßworte, er krallt sich CreateProcessWithLogonW() da müssen Namen und Passwort passen das originale CreateProcessWithLogonW() wird aufgerufen und meldet "OK", dann hat der IAT-Hook einen User Namen, Passwort und Token und kann machen was er will...

Im Setup-Dialog werden aber keine Paßworte abgefragt, deshalb scheint es mir sicher, den bei echten Administratoren IMMER ohne sicheren Desktop anzuzeigen... siehst Du da irgendwelche Lücken?

cosmo

Nein, für den Setup-Dialog sehe ich auch keine Lücken.

Wenn denn für den Admin der Setup-Dialog im gleichen Bildschirm läuft, dann könnte man noch folgendes Feature realisieren: Eine Import-/Export-Möglichkeit für die Surunner-Programmlisten mit den Einstellungen. Damit könnte man zum Beispiel beim Wechsel auf ein neues System diese Einstellungen (die ja eventuell recht umfangreich sein können) ganz einfach übertragen. (Oder einem Benutzer, der Probleme hat, sagen, daß er Surun deinstallieren und dabei alle Einstellungen löschen lassen soll, ohne daß der hinterher stundenlang am klicken ist.) Die anderen Einstellungen sind ja nicht so umfangreich (obwohl, man könnte ...)

Kay

Na dann baue ich das Setup mal um.

Im- und Export der Einstellungen wollte ich auch schon lange mal machen.

Aber das muss eigentlich verschlüsselt werden, mit Passphrase und Prüfwort... Ich will das noch vor mir her schieben bis die Frühjahrsmüdigkeit vorbei ist. ;-)

cosmo

Kay wrote:Aber das muss eigentlich verschlüsselt werden, mit Passphrase und Prüfwort

Muß es das wirklich? Würde man (zur Zeit) die Werte aus der Registry (HKLM) exportieren, so könnte sie
a) niemend ohne Admin-Rechte re-importieren
b) wenn der Admin nicht so dumm ist, seine REG-Datei außerhalb seines Profilordners abzulegen, hat auch keiner einen Lesezugriff, geschweige daß er sie verändern könnte.

Ich räume andererseits ein, daß ein Surunner, der den Explorer oder einen anderen Dateimanager mit erhöhten Rechten ausführen darf, diese Rechte dann schon hätte. Ein Surunner, dem diese Rechte eingeräumt werden, hat nun allerdings sowieso nahezu unbegrenzte Möglichkeiten, so daß dieser Surunner entweder das volle Vertrauen des Admins genießen wird (vielleicht ein zweites Konto des Admins ist) oder der Admin hat bei der Rechtevergabe auf dem System ein noch ganz anderes Problem als die Lesbarkeit einer Exportdatei.

Kay

Cosmo:1208518971 wrote: Muß es das wirklich? Würde man (zur Zeit) die Werte aus der Registry (HKLM) exportieren, so könnte sie
a) niemend ohne Admin-Rechte re-importieren
b) wenn der Admin nicht so dumm ist, seine REG-Datei außerhalb seines Profilordners abzulegen, hat auch keiner einen Lesezugriff, geschweige daß er sie verändern könnte.

Mir ginge es rein um die Lesbarkeit für Andere.
Elliptisch verschlüsselt könnte man auch alle Passworte mit im/exportieren.

Aber der Aufwand ist hoch und alles auf Sicherheit zu prüfen auch.

mik-c-os

SuRun 1.1.0.5 - 2008-04-23:
----------------------------
* Administrators see SuRuns Setup Dialog on their desktop

ui das ist aber ne nette funktion
so kann man surun auf dem admin desktop mit kaspersky trainieren
damit er später ruhe gibt... :D
ich hoffe aber das du irgenwann das problem anders lösen kannst :P

ne kleine bitte...
kannst du bitte sämtliche von surun verwendeten /schalter in die readme aufnehmen
für die power user wie mich ^^

wenn wir schon beim thema "power user" sind
wie sieht es aus mit der komandozeilen version von surun aus!?
ich steh' sehr auf dem schlauch mit meinen scripten
wenn es darum geht mehrere variablen zu übermitteln...

OT:
wollte mal fragen wer alles bei dir mit schafft oder ob du alles allein machst
leider fehlen mir die fähigkeiten & fertigkeiten um programieren zu können :'-(

Kay

Hi Mik.c.OS,

Probierst Du bitte mal das hier?

Löst das das Kaspersky-Problem?

Kay

so kann man surun auf dem admin desktop mit kaspersky trainieren
damit er später ruhe gibt... :D

Leider funktioniert das nur mit Nebenwirkungen. :-(
Hab's wieder abgeschaltet.

ich hoffe aber das du irgenwann das problem anders lösen kannst :P

Ich auch!

kannst du bitte sämtliche von surun verwendeten /schalter in die readme aufnehmen
für die power user wie mich ^^

Das sollte ich wohl mal machen :-)

wenn wir schon beim thema "power user" sind
wie sieht es aus mit der komandozeilen version von surun aus!?

Steht auf der Liste... erstmal muss aber die englische Doku und Webseite gemacht werden.

wollte mal fragen wer alles bei dir mit schafft

Ich mache das allein, nach der Arbeit.
Deshalb ist Feedback auch so wichtig. ;-)

mik-c-os

[kaspersky test:]
cool das mit dem umschalten klappt einwandfrei
damit kann ich die regeln in kaspersky nun auch auf meinem benutzerdesktop erstellen
big thx *ich bin glücklich* :P

[edit:]
komfort feature request:
die anordnung der knöpfe: 'übernehmen' 'speichern' 'abbrechen' sind doch ehr ungewöhnlich
vielleicht kann man sie mal in der "windows standart" anordnung: 'ok' 'abbrechen' 'übernehmen' setzen...

mik-c-os

ich wollte nochmal ein feature request loswerden:
und zwar das das surun-setup (optional) passwort geschützt werden kann

situation:
wenn ein Vater am pc arbeitet und den arbeitsplatz verlässt
um mal eben in die küche zu gehen um sich ein kaffee zu holen
und dabei noch aus fahrlässigkeit sich nicht abmeldet
bzw. seinen mit auf zeitlimit gesetzten bildschirmschonder überlässt,
dann könnte der Sohn das ausnutzen
und über den desktop des Vaters seinen accound heimlich mehr rechte geben

cosmo

Vorschlag: Wie wäre es, wenn du einstellst, daß nach dem Beenden des Bildschirmschoners Windows automatisch auf die Willkommenseite geht? (Was im übrigen die Standard-Einstellung ist, wenn mehr als ein Konto existieren.)

Ich befürchte nämlich, das der Nutzwert eines zusätzlichen Paßwortes eher gering ist. Wenn Vater zu bequem ist, um beim Gang in die Küche Win-L zu drücken, wird er im Zweifelsfall die Notwendigkeit ein Paßwort eingeben zu müssen, auch umgehen.

mik-c-os

der bildschirmschoner ist so eingestellt, dass er auf die willkommenseite geht
es geht aber hier um die zeit bevor der bildchirmschoner das system sperrt...

es ist eh ein gedanken experiment
was nutzt ein surun der das system schützt aber sich selbst nicht

für die die mit der gefahr leben wollen, währe es ja nicht schlecht
im surun setup das ganze optional an & aus schaltbar einzubinden (default ein)

cosmo

Vielleicht hilft dir folgender Vorschlag als Kompromiß weiter: Mit TweakUI (XP) kann man eine Zeit einstellen, innerhalb der sich der Bildschirmschoner beenden läßt, ohne auf die Willkommenseite zu wechseln. Damit kann man die Startzeit des Schoners herabsetzen, ohne daß man jedesmal - wenn man innerhalb der Gnadenzeit Maus oder Tastatur betätigt - das Kontokennwort eingeben muß. Nur mal so als Hinweis.

BTW: Was mich bezüglich der Kennwörter skeptisch sein läßt ist folgendes: Kennwörter, die wirklich sicher sind, sind ab einer schon gar nicht so großen Anzahl vom menschlichen Gehirn nicht zuverlässig verwaltbar. (Und unterschiedliche Zugänge mit ein und demselben Kennwort zu sichern das Gegenteil von Sicherheit.) Kommt noch hinzu, daß außer dem Gehirn-Jogging schon die pure Eingabe sicherer Paßwörter eine Tortur ist. Deswegen bin ich ein überzeugter Verwender von KeePass, einem Paßwortmanager, der die Fähigkeit besitzt, die Zugangsdaten selbständig aus einer Datenbank heraus zu suchen. Das beißt sich aber mit dem sicheren Desktop von Surun - leider. (Und ich bin überzeugt, daß Kay ein solches Paßwort über den sicheren Desktop abfragen würde.) So gut der sichere Desktop gegen Keylogger ist - nach meiner Philosophie beginnt die Gegenwehr gegen Keylogger an anderer Stelle, nämlich dem Absichern des System gegen jegliche Schadsoftware. Nur KeePass und sicherer Surun-Desktop lassen sich nicht miteinander vereinbaren. Konsequenz: Mit Paßwort-Option (im Surun-Desktop)erhöht sich der ganz normale menschliche Drang, das Paßwort möglichst einfach zu machen - und da überlege ich, wie ich das Erreichte nicht in Wirklichkeit sicherer umsetzen kann. (Wobei Win-L nicht die schlechteste Lösung ist.)

mik-c-os

mir geht es nicht um den bildschirmschoner
mir geht es darum wenn der benutzer sich gegen seine typischen gewohnheiten verhält
mir geht es nicht um die sicherheisstärke von kennwörtern (das kann surun einen nicht abnehmen)
und es geht mir um den selbstschutzes des suruns-setups

ich hab ja die möglichkeit angeboten das ganze optional zu gestalten,
d.h. für die die mit dem feature nichts anfangen können es auch wieder aus zuschalten

passworter in einer datenbank zu lager ist auch nicht sicherer

und wenn wir das ganze konzept der kennwörter in fragestellen,
dann müssen wir wohl auf den 'Gehirnwellen gestützten Finger-Iris Scanner mit Biometie abfrage' warten

p.s. Win-L nutze ich auch aber wenn ik mal kurz zum klo muss vergess ik sowas leicht...
ein tipp für passwörter ich merk mir meine auch nicht
man muss sie eine gewisse strucktur & eine bedeutung geben.
z.B. Qscft-159753 (es hat große/kleine buchstaben sonderzeichen und zahlen)
als strucktur kann man z.b. untypische muster auf der tastertur nehmen oder
inizalien eines satzes (QuantenSchiffCorrisionsFlussTeich)

aber egal ich würde gern auch meinungen von mehr als nur einer persion hören...

Kay

Da ist man mal ein Wochenende weg...

Mik.c.OS:1211103241 wrote: und zwar das das surun-setup (optional) passwort geschützt werden kann

Das geht!
Verbiete Deinem SuRunner das Aufrufen des Setup.
Dann kannst Du Dich mit einem Admin-Kennwort als Setup-Berechtigter ausweisen. :-D

Ok?

mik-c-os

gesagt, getan...
aber da kann ich nur noch mit den admin accounds das setup öffnen
ich dachte ehr an eine lösung wo ich mein passwort verwenden kann...
schade das mein featurerequest jetzt zum komfort-featurerequest geworden ist :(

Kay

Eine "Für SuRun-Einstellungen Benutzerpasswort erneut abfragen"-Option ist, genau wie die Offene "Zeige nicht-SuRunnern keine Meldungen"-Option kein Problem und passt auf die Erweitert-Seite im Setup ;-)

mik-c-os

hoi Kay,
nach langer zeit hab ich nun auch wieder was auf dem herzen

und zwar habe ich ein programm das ich gerne automatisch ohne nachfrage des benutzer passwortes starten möchte
also habe ich es in der programmliste dementsprechend eintragen lassen
es funktioniert auch,

nur dass er immer das passwort haben will...
wenn ich dann die benutzer-passwort-abfrage ausschalte, dann geht es...

nur habe ich jetzt das problem das alle programme keine passwort eingabe mehr benötigen

mein feature request ist für die programmliste, indem man zusätzlich eine "Passwort immer/nie abfragen" option eingaut.
so das die gesetzen programmlisten optionen eine höhere priorität haben, als die globalen optionen

mfg
Mik.c.OS

« vorherige Seite Nächste Seite »