Kay wrote:
Cosmo wrote:
Kay, was verstehst du unter unbekannter Software?
Hätte ich genauer spezifizieren sollen: Software, die SuRun nicht kennt.
Das zielte darauf ab, ob in der Automagie und im Bestätigungs-Dialog eine zusätzliche Option rein müsste...
Aber Dank der bisherigen Reaktionen kann ich mir die ganze Arbeit ja wahrscheinlich sparen. :-D
Was obiges mit den HB-Männchen zu tun hat, vermag ich nicht zu erkennen.
Genauso wenig wie die Frage mit den Gästen.
Sparen kannst du dir das, aber nicht wegen der Reaktionen, sondern weil es falsch ist.
Wünsche gibt es für alles mögliche. Heerscharen von Benutzern, die ihre XP / Vista immer noch so benutzen wie vor 1 Jahrzehnt W98 sprechen für den Wunsch, einmal im Leben Admin sein zu dürfen. Dieser Wunsch ändert nichts daran, daß er hintergestrig und falsch ist. (Im übrigen wäre SuRun anderenfalls flüssig ein Kropf, denn wozu braucht ein Rund-um-die-Uhr-Admin Surun?
Kay wrote:Ich habe mal probehalber einen Hauptbenutzer angelegt und mir dessen Rechte angesehen.
Er hat gegenüber normalen Benutzern nur das "SeProfileSingleProcessPrivilege", was das Profilieren anderer Prozesse ermöglicht. Der Hauptbenutzer kann also anscheinend keine Dienste oder Treiber installieren.
Wie ja auch in der Hilfe dokumentiert ist (1. Treffer bei Stichwort HB).
Thomas wrote:
Die Frage ob es Software gibt die nicht das macht was sie vorgibt stellt sich kaum, weil einer der Hauptgründe statt "ausführen als" lieber "surun" zu nutzen ist dass es Software geben könnte die das Admin PW mitloggen könnte...
Falsch. Und das gleich doppelt und dreifach.
Erstens: Wenn von einer eingesetzten Software nicht ausgeschlossen werden kann, daß sie das PW mitloggt, so ist sie nicht bekannt (per Definition). Damit gehört sie nicht auf ein Produktivsystem. Und erst recht ist das Starten von Software, der man nicht vertraut, daß sie so etwas nicht tut, mit wie auch immer erhöhten Rechten ein Schuß ins eigene Knie.
Zweitens: Oder sollte auf dem Rechner virulent eine solche SW laufen, ohne daß der Benutzer das weiß? Dann gäbe es auf dem Rechner allerdings ein kardinales Sicherheitproblem und die Gesamt-Konfiguration wäre fehlerhaft. Das wissend ein HB-Männchen zu verwenden, indem man die Literaturstellen darüber einfach ignoriert statt sie zu lesen und statt dessen der Illusion folgt, ist ... naja: weniger gelungen. Denn wie soll sich Schad-Software auf einem richtig konfigurierten und verwendeten System einnisten? Im Konto wäre es möglich, aber nur bei fehlerhafter Konfiguration und Benutzung. (Was aber nichts mehr mit SuRun zu tun hat.)
Drittens: In Post #1 ist der Bezug zwischen dem HB-Wunsch und dem Installieren ausdrücklich geschrieben worden. Niemand hindert dich, ein HB-Konto einzurichten und es zum Installieren zu verwenden, SuRun wird dafür nicht gebraucht. In dem Fall bist du ganz allein für fehlerhafte Installationen verantwortlich.
Viertens: Wenn es auch im Nicht-Installer geht, so hat dich Kay bereits darauf hingewiesen, wie es noch besser und sicherer geht.
Fünftens: Du magst es noch nicht gesehen haben. aber SuRun bietet eine Option an, den "Ausführen als" Dialog durch einen eigenen, gegenüber "mitloggen" sicheren zu ersetzen. Wenn es also um nicht mehr als das geht (ich finde in dem Quote oben nicht mehr als Begründung), so ist das bereits machbar. Hat aber wiederum nichts mit HB zu tun.
Thomas wrote:Es ist für die meisten Programme, die aus irgendwelchen Gründen nicht im Benutzerkontext laufen, einfach nicht nötig dass diese mit Administratorrechten gestartet werden. Sollte diese Programme (nicht das angeführte Beispiel) selber Programme o.ä. starten, laufen diese wiederum mit Adminrechten...usw. Thunderbird und Firefox zum update sind tatsächlich solche Beispiele. Warum nicht mit Adminrechten? Weil es nicht nötig ist und jeder Prozeß der unnötig mit Amdinrechten läuft ein zusätzliches Risiko darstellt.
Du
behauptest, daß Admin-Rechte nicht nötig und HB-Rechte für die meisten Programme ausreichend sind. Wie willst du deine Behauptung denn
beweisen? Das ist völlig unmöglich mangels entsprechender Dokumentation. Daß du selbst die meisten Programme (die es gibt, nicht nur die, die du kennst) selber darauf untersucht hast, stelle ich in Abrede. Womit die Haltlosigkeit der Behauptung schon klar auf der Hand liegt. Aber selbst das einmal hypothetisch zugestanden: Was hilft das einem Benutzer, bei dem das betreffende Installationsprogramm mit HB-Rechten ausgeführt nur noch Schrott hinterläßt? Er hat eine Baustelle, die erst so richtig langatmige Reparaturen mit vollen Admin-Rechten erforderlich machen, also das genaue Gegenteil von sicher. Erfahrungsgemäß wird anschließend das betreffende Programm oder SuRun als Schuldiger angeprangert, "denn das hat das ja erlaubt". (Ich stelle mir gerade einen Geisterfahrer vor, wegen dem es ein paar Tote gegeben hat und der darauf erklärt: "Die meisten leben aber noch".)
Sollte das Installationsprogramm zu Beginn den Typ des aktuellen Kontos prüfen, so wird es gar nicht erst laufen sondern mit dem Hinweis auf erforderliche Admin-Rechte stoppen. Nur kann man sich nicht darauf verlassen, daß diese Kontrolle eingebaut ist und meinen, daß ohne dem die Installation mit HB-Rechten funktioniert. Es interessiert heute keinen mehr (schon gar nicht Leute, die ihre aktuelle Software verkaufen wollen), was auf NT4-Systemen passiert. Bestenfalls findet man NT4 in vielen Fällen nicht als unterstütztes OS angegeben. Und HB ist eine NT4-Kompatibilitäts-Schnittstelle und nichts anderes.
Es ist falsch und ein Ausdruck falschen Verständnisses (sagte ich schon, daß du die Literatur mal lesen solltest?), wenn du das Ausführen von vertrauenswürdigen Programmen (siehe Beispiele) für legitime Zwecke mit Admin-Rechten per se als zusätzliches Risiko darstellst. Welches Risiko denn? Und welche Prozesse startest du aus dem Update-Installer von Thunderbird (zum Beispiel)? Vernünftigerweise keinen. Und ich vertraue diesem Programm (wiederum als Beispiel), daß es ebenfalls keine als den zum Zweck des Update erforderlichen startet, anderenfalls würde ich ihm nicht meine Mails anvertrauen.
Jeder Windows-Rechner läuft mit etlichen Diensten, also administrativ ausgeführten Programmen. Es gibt jede Menge obskurer Empfehlungen, alle möglichen MS-Dienste abzustellen. Und es gibt jede Menge Systeme, die anschließend nicht oder fehlerhaft laufen. Stellen diese Dienste per se ein Risiko dar? Nein, es sei denn es lägen Programmfehler oder nicht installierte Updates (weil zum Beispiel der erforderliche Dienst für AU deaktiviert wurde) vor, aber dann reicht das HB-Männchen zum Kompromittieren völlig aus. EDIT: Die Frage lautet also nicht, ob ein Programm mit administrativen Rechten läuft (wenn das nämlich so einfach wäre, dürfte man kein OS der Welt verwenden, weil sie nämich darauf angewiesen sind), sondern ob das administrativ ausgeführte Programm im Zusammenhang mit der aktuellen Aufgabe (Update ist OK, Mails lesenen oder Browsen nicht) einen Schadcode ausführen wird. Tut es das nicht, dann passiert ... na was wohl: Nur das, was passieren soll (zum Beispiel das Update), und nicht mehr. [1]
Das kann man auch nicht damit "beweisen", indem man jetzt Schubladen mit "HB-Haßern" und Freunden konstruiert. Aber bitte, wenn du meinst, das tlu und ich einen Club bilden, wir befinden uns da in guter Gesellschaft, denn nach deiner Einteilung gehört merkwürdigerweise auch Microsoft zu den HB-Haßern. Mit der Gesellschaft kann ich leben. Und habe damit auch gleich noch die ausdrückliche Bestätigung von dir, daß du dich im Widerspruch zur MS-Dokumentation befindest. Auch das ist ja nichts verbotenes, aber dann muß man schon sachlich dagegen argumentieren, und zwar Punkt für Punkt. Daß die Tatsache, daß du dich in den Widerspruch zu MS manövriert hast, irgendeinen Anspruch auf solide Begründung darstellen soll, erschließt sich mir nicht.
Kay wrote:
Hmmm.
Der Punkt ist: Bietet SuRun HB als Option an, so wird es benutzt werden. Die Benutzer werden damit Schiffbruch erleiden; es ist gar keine Frage, ob es passiert, sondern nur wann. Es wird korrumpierte Systeme geben, weil die Option zur Unzeit benutzt worden ist - und sei es nur deswegen, weil sie vergessen haben, für eine kritische Installation vom HB wieder auf Admin umzustellen oder aus Gewohnheit im Dialog (wie immer es auch angeboten wird) dieses mal eben doch nicht Admin statt HB zu wählen. Und die Benutzer werden - nicht völlig zu Unrecht - argumentieren, daß die Option ja da sei und einen Sinn machen müsse; anderenfalls sei sie ja sinnlos. (Eben) Und deswegen werden sie SuRun zumindest eine Mitschuld für ihr nicht funktionierendes Programm oder im Murphy-Fall korrumpiertes System geben.
Übrigens: HB würden genau diejenigen benutzen, die ihn nicht verstanden (wenn überhaupt etwas darüber gelesen) haben. Sieht nicht wie eine Zielgruppe aus.
Der Hauptbenutzer ist technisch einem Moderator gleichzusetzen, einem Begriff, den aus dem Forenbegriff die meisten kennen dürften. Es ist kein eingeschränkter Kontotyp, sondern ein impotenter Administrator. Er kann Schadsoftware nicht aufhalten, aber viel Schaden anrichten. Dafür eine Option anzubieten, beurteile ich als falsch.
[1] Es gibt bekanntlich Update-Muffel. Ich sehe schon die neue "Begründung":
Ich habe nicht upgedatet, weil ich das automatische Update abgeschaltet habe, um administrative Prozesse einzusparen und ich auch nur einmal im Jahr in das Admin-Konto zum manuellen Update gehe,
um das Risko zu reduzieren." Herr, laß Hirn regnen.