negativ liste

Aandy · 11. Juli 2009

hallo Kay,

ist es möglich dem programm eine Negativ Liste zu spendieren!?
so auf die art wie jetzt: "diese programme immer als admin starten" nur "diese programme auf keinen fall mit admin rechten starten" um dem benutzer die möglichkeit zu nehmen zb. IE oder Firefox, Explorer oä so zu missbrauchen?
bzw computersicherheit gefährden.

andy.

Mmik-c-os · 11. Juli 2009

mit der aktuellen liste ist es doch bereits möglich
programme administrativ zu starten oder zu blockieren

ist alles eine sache der einstellung

Aandy · 11. Juli 2009

ich habe version 1205 noch und da habe keine möglichkeit des admin verbots gefunden.
es ist nähmlich so:
ich kann programme in die Liste der erlaubten eintragen, oder ich kann "fast alles" erlauben und nur gezielte
programme verbieten.
sicher macht es an einem PC keinen aufwand "erlaubte" liste zu pflegen, aber an mehreren verbietet man lieber installationen von allerhand, erlaubt "alles" was da ist und verbietet bestimmte, zb. XP board programme und werkzeuge.
Da ich Surun per msi (und auch andere programme) verteile wäre es von vorteil immer die gleiche verbots liste mitzugeben.

Mmik-c-os · 11. Juli 2009

es gibt doch schon v1.2.0.6 als stable
und bei sicherheissoftware sollte man diese schon regelmäßig updaten...
bevor man ein featurerequest startet...

vielleicht nimmste sogar die aktuellste beta...

wobei mir gleich eine idee kommt...
man könnte ja surun ja regelmäßig nach updates prüfen lassen
natürlich optional abschaltbar :P

aber ob man das auch wirklich will!?
es gibt schon genug programme die nachhause telefonieren...
wenigstens sind ja die quellen offen...

Ccosmo · 12. Juli 2009

Erstens: Mik hat ja schon geschrieben, daß die Verwendung alter Versionen keinen Sinn macht, wenn man ein Feature Request losläßt.

Zweitens: Falls ich den Wunsch richtig verstanden habe, dann ist das Placebo. Über die Vererbung kann aus fast jedem erlaubten Programm fast jedes andere mit erhöhten Rechten gestartet werden

Drittens: SuRun unterstützt den Benutzer durch die Möglichkeit, wo erforderlich Programme mit erhöhten Rechten auszuführen, ohne das Konto mit administrativen Rechten ausstatten zu müssen. Es ist keine Richtlinienverwaltung, dazu bedürfe es noch viel mehr. Der Gedanke ist, den Computer-Benutzer das Leben zu erleichtern, nicht es einzuschränken.

KKay · 13. Juli 2009

Hallo Andy,

Schön zu hören, dass das mit den MSIs jetzt klappt :-)

Andy:1247317051 wrote: ist es möglich dem programm eine Negativ Liste zu spendieren!?
so auf die art wie jetzt: "diese programme immer als admin starten" nur "diese programme auf keinen fall mit admin rechten starten"

Wie Mik schon erwähnte: Das geht schon lange, es ist halt nur ein und dieselbe Liste für erlauben und verbieten.
Auch bei SuRun 1.2.0.5 war das schon so.
Du kannst pro Programm einstellen, dass es auf keinen Fall von SuRun administrativ gestartet werden darf.

Du kannst jeden SuRunner auch gezielt einschränken.
Dann darf der nur die in der Programmliste angegebenen Programme starten und nichts anderes.

Aandy · 14. Juli 2009

Hallo Kay,

du meist sicher die einstellung: "Benutzer darf nur fesgelegte programme starten" wo ich ein Programm angebe
und die start/verbots Erlaubnis?
aber bedeutet das das wenn ich einigen Programmen das Admin Starten verbiete das alle anderen per Surun
mit erhöhten rechten gestartet werden dürfen??? oder darf ich nur für die festgelegte Programme start/stop
erlaubnis geben!?

was ich wollte war die funktion von div. Dsl-Routern mit MAC Filtern, zb:
man gibt eine Mac rein und sagt: du darfst nicht raus dafür aber alle anderen, oder
eine mac und sagt: du darfst raus aber alle anderen nicht.

So wie ich die Funktion von mittlerweile Surun 1.2.0.6 verstanden habe kann ich eine Liste editieren und programmen
start/stop erlaubnis geben, das würde den verwaltungs aufwand erhöhen, denn ich müsste praktisch elendlange liste
mit "darf/darf nicht" pflegen.

.....oder heisst das wenn ich zb. IE verbiete das ich automatisch alle nicht aufgeführten Programme mit erhöhten rechten starten darf!?
oder soll ich "benutzer darf nur die festgelegte..." nicht aktivieren? ist dann die liste trotzden wirksam?

Fragen über Fragen.... :)

KKay · 14. Juli 2009

Andy wrote: du meist sicher die einstellung: "Benutzer darf nur fesgelegte programme starten"

Unter anderem, ja.
Damit legst Du fest, dass der Benutzer nur Programme in der Liste mit SuRun starten darf, alle anderen werden niemals administrativ gestartet.
Da hast Du also die erste "Router-Option": Standardmäßig alle erlaubt oder alle verboten.

Du kannst auch pro Programm (oder mit Jokerzeichen sogar pro Programmpfad) festlegen, dass genau das Programm niemals mit gehobenen Rechten gestartet wird, bzw. wenn "alle verboten", dieses Programm erlaubt ist.
Damit hast Du die zweite Option, pro Programm erlaubt oder verboten.

BTW: Das steht auch in der Doku ab Seite 17.