SuRun 1.2.0.9

[gelöscht]

Kay:1283095552 wrote:
Rico wrote: Ich würde dieses tolle Tool auch gerne benutzen nur leider lässt es sich garnicht installieren.
Bei dem Problem habe ich irgendwie ein Déjà-vu... hab nur vergessen, was damals das Problem mit der Installation war.

Hab das Problem gefunden. Kaspersky AV war schuld. Normalerweise meckert der zwar bei jedem auch nur halbwegs verdächtigen Objekt aber bei SuRun kam garnix. Kein Hinweis. Nix. Hab Kaspersky deaktiviert und schon gings reibungslos.

Soweit ich gestern noch getestet habe funktioniert alles wunderbar, bis auf meinen Firefox der jetzt einfach nicht mehr starten will (und dabei braucht der ja keine Admin-Rechte). Habs mit/ohne "starte als Admin" versucht und letzendlich auch firefox in die Ausnahmenliste bei SuRun hinzugefügt, hat aber alles nix geholfen. Werd das Problem heute abend nochmal genauer unter die Lupe nehmen.

Und: Die Funktion "Automatisch immer als Admin starten" verstehe ich nicht so ganz. Es klingt so als ob damit das Programm automatisch als Admin gestartet wird wenn man das Programm mit Doppelklick anklickt (für das automatische starten über "starteAlsAdmin" gibts ja die Option "nicht erneut fragen"). Wenn ich diese Option also nun einzeln ankreuze (oder auch gemeinsam mit "nicht erneut fragen") und dann das Programm doppelt anklicke, kommt aber immer die Windows UAC die mich ganz normal nach dem PW des Admin-Kontos fragt. Ist das gewollt so oder mach ich was falsch ?

System: Win7 Ultimate x64
SuRun 1.2.0.9 Beta 14

Kay

Das Dich weiterhin UAC fragt, liegt sicher daran, dass UAC vor SuRun an die Reihe kommt, merkt, dass das Programm administrative Rechte braucht und so SuRun gar nicht erst zu Zug kommen kann.

Wenn Du "Automatisch immer als Admin starten" für ein Programm aktivierst, dass normaler Weise keine Adminrechte braucht (z.B. Notepad.exe), sollte SuRun Dich fragen.

[gelöscht]

... funktioniert alles wunderbar, bis auf meinen Firefox der jetzt einfach nicht mehr starten will...

Ich nehm das zurück. War gestern abend wohl etwas voreilig und müde. Funktioniert alles wunderbar. Bin echt zufrieden mit dem Programm. Vielen herzlichen Dank, Kay.

falls ich noch probleme finde werd ich dir bescheid geben, auf das die 1.2.0.9 mal irgendwann final status erreicht :P

[gelöscht]

Standardinstalation, keine Optionen verändert
Fehlermeldungen beim einloggen:

Group Policy Script Application funktioniert nicht mehr

Problemsignatur:
Problemereignisname: BEX64
Anwendungsname: gpscript.exe
Anwendungsversion: 6.1.7600.16385
Anwendungszeitstempel: 4a5bc929
Fehlermodulname: SuRunExt.dll_unloaded
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 4c590aa2
Ausnahmeoffset: 0000000010006520
Ausnahmecode: c0000005
Ausnahmedaten: 0000000000000008
Betriebsystemversion: 6.1.7600.2.0.0.256.48
Gebietsschema-ID: 1031
Zusatzinformation 1: 1e7f
Zusatzinformation 2: 1e7f50d5a7a7b5eaeebc43d4d975ab25
Zusatzinformation 3: b34f
Zusatzinformation 4: b34f8a16071f1adfa29331acfe44a15e

Userinit-Anmeldeanwendung funktioniert nicht mehr

Problemsignatur:
Problemereignisname: BEX64
Anwendungsname: userinit.exe
Anwendungsversion: 6.1.7600.16385
Anwendungszeitstempel: 4a5bc848
Fehlermodulname: SuRunExt.dll_unloaded
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 4c590aa2
Ausnahmeoffset: 0000000010006520
Ausnahmecode: c0000005
Ausnahmedaten: 0000000000000008
Betriebsystemversion: 6.1.7600.2.0.0.256.48
Gebietsschema-ID: 1031
Zusatzinformation 1: 1e7f
Zusatzinformation 2: 1e7f50d5a7a7b5eaeebc43d4d975ab25
Zusatzinformation 3: b34f
Zusatzinformation 4: b34f8a16071f1adfa29331acfe44a15e

System: Windows 7 Professional 64Bit an Server Win 2008
SuRun1.2.0.9 Beta 14
Alle Benutzer sind Domänenbenutzer

Grüße,

WFS

Kay

Hat etwas gedauert.

Das GPF passiert in der Funktion "LoadLibW" der bereits entladenen SuRunExt.Dll.

Der in SuRunExt.dll implementierte IAT-Hook "biegt" die Windows Funktion "LoadLibraryW" auf "LoadLibW" um, damit das Ausführen von Anwendungen abgefangen werden kann. Beim Entladen von SuRunExt.DLL wird die Funktion wieder zurück auf die originale gesetzt.

Userinit und gpscript scheinen sich einen Funktionszeiger auf "LiadLibW" zu merken, den sie nach dem Entladen von SuRunExt aufrufen...

Das einzige, das bis jetzt dagegen hilft ist, die beiden Prozesse in SuRuns "Ausnahmen"-Liste zu setzen.
(SuRun-Einstellungen->"Programmfilter"->"Ausnahmen...")

[gelöscht]

Kay:1281369914 wrote: SuRun erstellt seit dem einen neuen Admin-Token mit der ID des normalen Windows Benutzers.
Da SuRun das Kennwort nicht kennt, es aber sichern kann, verpasst es dem Benutzer ein neues, zufälliges Kennwort, macht ihn zum Admin, meldet ihn an, macht ihn wieder zum User und restauriert das Kennwort.

Das dürfte im Netzwerk zu großen Problemen führen.

Kay

Die Probleme sollten eigentlich nur in Netzwerken auftreten, die NT-LAN-Manager Hashes benutzen.
Ich hoffe, dass keiner mehr diese Hashes benutzt, weil sie zu anfällig für Rainbow-Table-Cracks sind.

Wenn NTLM-Hashes jedoch funktionieren müssen, wird SuRun zu benutzen unsicher:
* Man verändert den Benutzertoken so, dass er zu den Administratoren gehört (SuRun 1.2.0.0...1.2.0.6).
[indent]Dann injiziert Windows alle Systemweiten Hooks auch in SuRun-Prozesse, was eingeschränkt laufenden Programmen ermöglicht, administrative Rechte zu bekommen.[/indent]
* Man speichert das Benutzerkennwort, wie SuRun das für Domänen-Benutzer-Kennwörter ja macht.
[indent]Da SuRun's Quelltext aber offen liegt, kann man so die Benutzer-Kennwörter als Administrator oder mit einer externen Boot-CD etc. entschlüsseln. Wenn man die Kennwörter statt wie bisher mit BlowFish mit festem Schlüssel evtl. mit CryptProtectData und CryptUnprotectData sichert, scheint das Risiko des externen Entschlüsselns kleiner, aber die Windows Funktionen benutzen zum ver-/entschlüsseln auch nur Daten aus der Registry, die von extern zugänglich sind.[/indent]

Kennworte direkt speichern ist IMHO immer unsicher.

...ein temporäres Kennwort zu generieren scheint mir der einzig gangbare sichere Weg.

Hab ich da was übersehen/vergessen?

[gelöscht]

Kay:1286528702 wrote: * Man speichert das Benutzerkennwort, wie SuRun das für Domänen-Benutzer-Kennwörter ja macht.

Vielleicht überseh ich was, aber warum muss das auf der Festplatte gespeichert werden?
Kann man das nicht nur im RAM halten?

mik-c-os

stromausfall!?

Kay

Das Kennwort im RAM zu halte würde bedeuten, es jedes Mal bei der Benutzeranmeldung zu erfahren. SuRun kann das Anmeldekennwort aber nicht "abfangen". Dazu gibt es nichts hinreichend dokumentiert Funktionierendes, man müsste tricksen, wahrscheinlich mit einem Treiber, der dann wieder als verhaltensauffällig (Avira) eingestuft wird...

Eine andere Möglichkeit wäre tatsächlich nach jedem Systemstart das Kennwort einmalig abzufragen... Allerdings leidet da der Komfort IMHO erheblich.

[gelöscht]

Das Kennwort im RAM zu halte würde bedeuten, es jedes Mal bei der Benutzeranmeldung zu erfahren. SuRun kann das Anmeldekennwort aber nicht "abfangen".

Bei XP müsste das via GINA funktionieren (OpenSource-Variante http://www.pgina.org/ )
und ab Vista evtl. per Credential Provider.

Kay

...es ist ca. 2 Jahre her, da habe ich das Thema schon mal mit Chris Wimmer diskutiert.

Ich habe noch dunkel im Kopf:
* XP--: Ein GINA-Proxy wäre nötig. Der funktioniert aber nicht zuverlässig, da andere GINA-Proxy/Hook Dlls bereits vor SuRun's an die Reihe kommen könnten und SuRun das Kennwort nicht mitbekommt. Das kann man ganz gut z.B. bei pGINA sehen.
* VISTA++: Credential Provider sind AFAIK nicht für den Mitschnitt des Kennworts gedacht, sondern um Zugriff zu gewähren. SuRun's Credential Provider würde wahrscheinlich nicht aufgerufen werden, weil vorher ein anderer das OK zum Login gibt.

Soweit ich mich erinnere haben wir damals nichts "wartungsfrei" Einsetzbares gefunden.

Kay

SuRun 1.2.0.9 Beta15 vom 08.11.2010
* NEU: SuRun benutzt CryptProtectData() zum Speichern von Kennwörtern.
[indent]Diese Funktion benutzt einen Master-Schlüssel, der aus dem Benutzerpasswort generiert wird. Das ist (hoffentlich) sicherer als das bisher benutzte BlowFish mit festem Schlüssel.[/indent]
* NEU: Für jeden Benutzer kann festgelegt werden, das tatsächliche Windows-Kennwort zu speichern und zu benutzen (so, wie SuRun vor v1.2.0.0 es tat).
[indent]Damit dürften die Probleme in Domänen weniger werden.[/indent]
* NEU: Ist "Ersetze Windows 'Ausführen als...' durch SuRuns 'Ausführen als...'" aktiv, kann diese Funktion von jedem benutzt werden, auch wenn er nicht zu "SuRunners" gehört.
* FIX: Mit dem Windows Theme "Kontrast-Schwarz" konnte man in einigen SuRun-Fenstern nichts lesen.

mik-c-os

hmm...
das icon ist nicht mit drin.
wohl vergessen :D

- SuRuns 'Ausführen als...' startet den explorer nicht administrativ

Kay

Mik.c.OS wrote: das icon ist nicht mit drin.

Jepp... :blush:

Mik.c.OS wrote: - SuRuns 'Ausführen als...' startet den explorer nicht administrativ

Natürlich nicht.
Es führt ihn genau als der Benutzer aus, den Du angibst.
Unter Win7 mit einem UAC-Admin könnte ich den "elevated"-Token verwenden. Meinst Du dass?

mik-c-os

Unter Win7 mit einem UAC-Admin könnte ich den "elevated"-Token verwenden. Meinst Du dass?

das kann ich nicht meinen, ich bin zwar ein poweruser, aber ich verstehe diese hochsprache nicht komplett
selbst ich versuche die fachsprache zu vermeiden, weil mich eh keiner verstehen würde,
darum rede ich immer als hätte ich es mit einen DAU zu tun...

zum eigendlichen thema:
also wenn ich das richtg verstehe, dann ist surun /runas nur ein benutzerumschalter
vielleicht könnte man das problem einfacher lösen, wenn man in den runas-dialog eine zusätliche option einbaut
"wenn möglich mit adminrechten starten"

Kay

Mik.c.OS wrote: also wenn ich das richtg verstehe, dann ist surun /runas nur ein benutzerumschalter

Ja. Deswegen geht das bei XP auch prima mit einem Admin.
Aber bei WinVista++ mit UAC bekommst Du nur die eingeschränkten Admin-Benutzer-Rechte.

Mik.c.OS wrote: vielleicht könnte man das problem einfacher lösen, wenn man in den runas-dialog eine zusätliche option einbaut
"wenn möglich mit adminrechten starten"

Das kann man bei UAC sogar automatisieren.
Ist ein Benutzername nicht in der Administratoren-Gruppe, wird eine Checkbox "mit gehobenen Rechten starten" deaktiviert (ausgegraut).
Ist der Benutzername in der Admin-Gruppe und UAC aktiv, wird die Checkbox aktiviert und man kann kann einen Haken rein setzen, was einen Start mit gehobenen Rechten zur Folge hat.

Da SuRun eh' schon den letzten RunAs-Benutzernamen speichert, kann es den Zustand der Checkbox auch gleich speichern und alles sollte gehen...

mik-c-os

gerade eben:

Problemsignatur:
Problemereignisname: BEX64
Anwendungsname: wuauclt.exe
Anwendungsversion: 7.3.7600.16385
Anwendungszeitstempel: 4a5bd2a8
Fehlermodulname: SuRunExt.dll_unloaded
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 4cd9b3b0
Ausnahmeoffset: 0000000010005990
Ausnahmecode: c0000005
Ausnahmedaten: 0000000000000008
Betriebsystemversion: 6.1.7600.2.0.0.256.1
Gebietsschema-ID: 1031
Zusatzinformation 1: 36ac
Zusatzinformation 2: 36ac3dcec246c3ac1d4dc4d7f4a4c185
Zusatzinformation 3: 2703
Zusatzinformation 4: 27038c886fbadf8571c43ad24697ee02

Lesen Sie unsere Datenschutzbestimmungen online:
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
C:\Windows\system32\de-DE\erofflps.txt

und nochmal

Problemsignatur:
Problemereignisname: BEX64
Anwendungsname: explorer.exe
Anwendungsversion: 6.1.7600.16450
Anwendungszeitstempel: 4aebab8d
Fehlermodulname: SuRunExt.dll_unloaded
Fehlermodulversion: 0.0.0.0
Fehlermodulzeitstempel: 4cd9b3b0
Ausnahmeoffset: 0000000010005990
Ausnahmecode: c0000005
Ausnahmedaten: 0000000000000008
Betriebsystemversion: 6.1.7600.2.0.0.256.1
Gebietsschema-ID: 1031
Zusatzinformation 1: af43
Zusatzinformation 2: af43cfa5a38f564daf6cd0dd54691b07
Zusatzinformation 3: bac6
Zusatzinformation 4: bac67a5f052e2a35d458c15650cc95db

Lesen Sie unsere Datenschutzbestimmungen online:
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
C:\Windows\system32\de-DE\erofflps.txt

mein surun-icon ist auch weg... mal ein sauberen neustart wagen...

Kay

Hab an der Dll IMO nichts geändert...
Hat das mit dem Neustart dann geklappt?

mik-c-os

jo nit dem neustart war wieder alles ok
hab den rechner letztens länger in ruhezustands versetzt
da scheind sich wohl n paar unstimmigkeiten angesammelt zu haben :P

alles wieder gut.

« vorherige Seite Nächste Seite »