Tipps für Win7 + SuRun

[gelöscht] · 24. Apr 2010

Also ich benutze SuRun auf meinem Win7 64Bit, hier hab ich ein paar Tipps die mir geholfen haben:

1. Vorhandenen Administrator Account aktivieren und als solcher anmelden, damit man einmal alles einstellen kann.

2. UAC deaktivieren
Entweder über die msconfig oder mit http://www.xp-antispy.org

3. Alle rechte für den Administrator
Da man auch als Administrator keine Benutzerrechte auf dem z.B. Programme- Ordner umstellen kann, weil der Besitzer aller Dateien ein gewisser "TrustedInstaller" ist, habe ich auf der C- Platte den Besitzer auf "Administratoren" gestellt, das Hakerl bei "Besitzer der Objekte und untergeordneten Containern ersetzen" gemacht, und auf übernehmen gedrückt.
Somit lassen sich dann auch überall die Benutzerrechte setzen.

4. Admin- Explorer:
Das Problem mit dem Explorer kann man dadurch umgehen in dem man sich einen alternativen Explorer installiert und den dann als Admin- Explorer verwendet.
Habe zur Zeit z.B. den http://www.freecommander.com und lasse den durch SuRun automatisch mit Adminrechten starten.
Habe leider auf die Schnelle keinen alternativen Explorer der auch Open Source ist gefunden, weil so einen könnte man dann ja mit SuRun mitliefern.

So, vielleicht hat sonst noch jemand Tips?

[gelöscht] · 11. Mai 2010

Habe leider auf die Schnelle keinen alternativen Explorer der auch Open Source ist gefunden, weil so einen könnte man dann ja mit SuRun mitliefern.

z.B. Explorer++ by derceg (http://sourceforge.net/projects/explorerplus/)

[gelöscht] · 28. Juni 2010

Mit einem Registry- Eingriff kann man eh auch wieder nur ein Explorerfenster als Admin ausführen, siehe:
http://forum.kay-bruns.de/thread/350

Oolisan · 2. Sept 2010

Hallo zusammen :)

Zwar sind diese Beiträge schon ein paar Tage alt, aber aus aktuellem Anlass wollte ich trotzdem mal anknüpfen. :) Status quo bei mir ist ein Windows XP x64 mit SuRun 1.2.0.8 -- wollte die kommenden Tage aber auf Windows 7 x64 mit SunRun (1.2.0.9 Beta?) umsteigen.

Die Frage ist, was sollte ich hinsichtlich SunRun dabei am besten beachten?

Das UAC ist mir von anderen Windows 7-Rechnern zwar mittlerweile bekannt, die Lösung mit SuRun auf meinem Rechner aber bisher um einiges sympathischer, imho klarer und transparenter in seiner Bedienung, um einiges vielseitiger. Aber da geht’s eigentlich schon los: UAC und oder – oder SunRun? Wie ich an der einen oder anderen Stelle ja schon gelesen habe, könnte man beides ja auch parallel nutzen, was mich ehrlich gesagt, doch ein bisschen erstaunt hat. Aber was meint ihr?

Gibt's über die drei im ersten Beitrag genannten Tipps etwas, das ich ggf. noch beachten sollte (die Sache mit dem Admin-Explorer ist mit der Version 1.2.0.9 mittlerweile ja obsolet)?

Würde mich wirklich sehr über ein paar entsprechende Praxisberichte, Hinweise oder Tipps von euch freuen. Dafür schon mal besten Dank! :)

Mmik-c-os · 2. Sept 2010

tya was soll man da noch groß sagen
bei mir (Win7x64) läuft UAC und SuRun parrallel und das stört mich auch nicht weiter
für mich persönlich könnte man Surun v1.2.0.9 langsam finalisieren...

zum installieren von programmen bevorzuge ich die UAC,
weil es mit SuRun hin und wieder mal vorkahm das es nicht so recht klappte
(zu testzwecken lass ich aber zuerst immer SuRun ran :P )

ansonnsten gibt es keine nennensweten verhaltensauffälligkeiten im vergleich zu XP...

KKay · 3. Sept 2010

SuRun hat tatsächlich nichts mit UAC zu tun.
Du kannst AFAIK mit UAC aber keine Programme automatisch administrativ starten lassen. Das geht mit SuRun.
Einen anderen Grund für einen UAC-Administrator, SuRun zu nutzen, sehe ich nicht.

Oolisan · 2. Sept 2010

Also erstmal Danke für Deine Antwort, Mik.c.OS! :)

Du nutzt das UAC und SuRun also parallel. Hm, aber warum?

Und was "macht" SuRun dann eigentlich noch?

Nach meinem bisherigen Verständnis trägt SunRun einen Benutzer auf Anfrage vorübergehend in die Gruppe der Administratoren ein. Anders beim UAC, bei dem ein Benutzer ständig Mitglied der Administratoren ist und erst nach Rückfrage durch das UAC administrative Aktionen "durchgelassen" werden. Demnach hätte SuRun bei Logik des UACs doch eigentlich nichts mehr zu tun, oder? Oder doch? :)

Hm, wo ist da mein Denkfehler?

Mmik-c-os · 3. Sept 2010

das liegt wohl daran, das SuRun ursprünglich als "UAC für WinXP" entwikelt wurde...
unt er Vista/7 ist es ehr ein erweitertet UAC mit automatisierungs- & regelt- techniken

da SuRun seine eigene logik hat, kann man UAC komplett ausschalten
unt wie unter XP mit einen gewöhnlichen eingeschränkten benutzer arbeiten
also ist SuRun von der UAC unabhänig...

aber am besten kann dir das Kay erklären was er damit bezweckt,
er hat es schließlich programiert... ^^

Oolisan · 7. Sept 2010

Der automatische Start mit Admin-Rechten funktioniert im Zusammenhang mit dem UAC nur mit irgendwelchen Tricksereien, wie z.B. einem Eintrag in die Aufgabenplanung, siehe hier.

Was damit aber natürlich nicht funktioniert, ist sowas wie eine die Anzeige im System Tray, die den Anwender darüber informiert, dass eine Anwendung gerade nicht mit beschränkten Rechten (=Admin-Rechten) gestartet wurde. Dies ist neben anderen Punkten imho ein großer Vorteil gegenüber dem UAC. Vielleicht könnte man die entsprechenen Icons ja auch nochmal überarbeiten. Natürlich erfüllen sie iauch so ihren Zweck, aber etwas "schöner" wäre halt auch schön. :-p

Ich würde mich also sehr freuen, wenn SuRun auch weiterhin für Windows 7 weiterentwickelt würde. :)

Ist denn bereits abzusehen, wann die Version 1.2.0.9 veröffentlicht wird?

Darüber hinaus an dieser Stelle - vielen Dank für SunRun, Kay! :)

KKay · 14. Sept 2010

Whoops: Frage überlesen:

Olisan:1283845234 wrote: Ist denn bereits abzusehen, wann die Version 1.2.0.9 veröffentlicht wird?

Ich wollte auf jeden Fall noch "Programm immer als folgender Benutzer starten" in die Automagie einbauen und unter Windows Vista und 7, wenn möglich, immer den "elevated Token" verwenden, anstatt einen eigenen zu basteln. Die direkte Kommunikation der Hooks mit dem Dienst steht auch noch auf dem Plan... ist aber Zeitaufwändig.

Mmik-c-os · 14. Sept 2010

für mich ist nur wichtig wann die nächste beta rauskommt :P

Oolisan · 14. Sept 2010

Mik.c.OS wrote: für mich ist nur wichtig wann die nächste beta rauskommt :P

;)

Kay wrote:Ich wollte auf jeden Fall noch "Programm immer als folgender Benutzer starten" in die Automagie einbauen und unter Windows Vista und 7, wenn möglich, immer den "elevated Token" verwenden, anstatt einen eigenen zu basteln. Die direkte Kommunikation der Hooks mit dem Dienst steht auch noch auf dem Plan... ist aber Zeitaufwändig.

Klingt gut. :)

Dabei kommt mir eine Frage in den Sinn: Ist die Einstellung

------------------
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"nodefaultadminowner"=dword:00000000
------------------

bzw. die SuRun-Einstellung "Administratoren' statt 'Ersteller' als Standard-Besitzer für von Administratoren erstellte Objekte" unter Windows 7 eigentlich noch nötig bzw. sinnvoll? Wenn man SuRun 1.2.0.9 Beta-14 (ohne UAC) unter Windows 7 verwendet, hat sich hier gegenüber Windows XP doch nichts geändert, oder? Sprich, "nodefaultadminowner" sollte weiterhin von 1 auf 0 umgestellt werden.

Und wie schaut es aus, wenn eine zukünftige SuRun-Version unter Windows 7 ein Programm mit einem "Elevated Token" startet oder hier jemand nur das UAC benutzt? Denn ich weiß nicht, wie Windows 7 die Prozedur mit dem "Elevated Token" in Bezug auf die Datei- und Verzeichnisrechte handhabt. :huh:

KKay · 15. Sept 2010

Olisan wrote: unter Windows 7 verwendet, hat sich hier gegenüber Windows XP doch nichts geändert, oder? Sprich, "nodefaultadminowner" sollte weiterhin von 1 auf 0 umgestellt werden.

Windows Vista und neuer haben "Integrity Levels" (IL).
Legst Du eine Datei als SuRun-Admin oder UAC-Admin an, sollte diese dann IL==HIGH bekommen und Du kannst als Dauser nur noch lesend darauf zugreifen (Read-Up-Policy). Dadurch kannst Du die Datei z.B. nicht mehr durch Schadsoftware ersetzen, die dann Dein System übernimmt... jedenfalls theoretisch nicht. ;-)

Oolisan · 15. Sept 2010

Kay wrote: Legst Du eine Datei als SuRun-Admin oder UAC-Admin an, sollte diese dann IL==HIGH bekommen und Du kannst als Dauser nur noch lesend darauf zugreifen (Read-Up-Policy). Dadurch kannst Du die Datei z.B. nicht mehr durch Schadsoftware ersetzen, die dann Dein System übernimmt... jedenfalls theoretisch nicht. ;-)

Was ich so lese, kann man es wohl auch anders andrücken. ;) Demnach gilt das UAC theoretisch als unsicher, da sich hier administrative Prozesse mit nicht administrativen Prozessen ständig ein und die selbe Nutzersitzung teilen müssen. Vor diesem Hintergrund betrachtet - hätte es nicht eher Nachteile, wenn SuRun ebenfalls einen "Elevated Token" anstelle eines exta Token nutzen würde?

Sollte ich da grad was durcheinanderbringen, dann bitte korrigiert mich. Ich bin grad erst dabei, das UAC (bzw. Windows 7) in Bezug auf SuRun näher kennenzulernen. ;)

KKay · 16. Sept 2010

Hab' mich lange nicht mit UAC beschäftigt...
Was soll unsicher daran sein, dieselbe Logon-Session zu teilen?
Oder besser: Was soll unsicherer sein, als ein Programm auszuführen, das eine andere Logon-Session hat, sich aber denselben Desktop teilt?

Der Zugriff von unprivilegierten auf "höher gestufte" ist in beiden Fällen nur lesend möglich.

Wenn man echte Sicherheit möchte, dürfen natürlich auch "Read up" und GUI-Zugriff auf andere Prozesse nicht möglich sein... aber das kann bisher nur Qubes.

Oolisan · 21. Sept 2010

Kay:1284664090 wrote:Was soll unsicher daran sein, dieselbe Logon-Session zu teilen?
Oder besser: Was soll unsicherer sein, als ein Programm auszuführen, das eine andere Logon-Session hat, sich aber denselben Desktop teilt?

Ja, stimmt, natürlich... ist irgendwie auch nicht so einfach, all diese Zusammenhänge zu durchschauen -- sie aus den verschiedenen Ecken zusammenzutragen.

Zusammenfassend kann ich zurzeit nur sagen, dass die UAC für mich keine Erleichterung ist -- vielmehr macht sie die Dinge aus meiner Sicht nur unnötig kompliziert - und vor allem unsicher(er als noch unter Windows XP). Warum ein UAC mit einem "eingeschränkten Admin" (mit unterschiedlichen Integritätsstufen etc.) und nicht einfach ein klarer Schnitt mit klaren Benutzergruppen?

Worauf ich hinaus möchte, klar ist es etwas anders, ausgewählten Programmen explizit den "Lift Off" zu erlauben, als ständig mit einem "Lift Down"-Admin zu arbeiten!

Für mich ist somit unter Windows 7 auch weiterhin die Arbeit mit einem "echtem" eingeschränkten Benutzer und ausgewählen Programmstarts mit administrativen Rechten via SuRun (bzw. schneller Benutzerumschaltung, wenn es aus Sicherheitsgründen denn auch ein separater Desktop sein soll) das einzig "Wahre".

Oolisan · 31. Okt 2010

Kay:1284529585 wrote:
Olisan wrote: unter Windows 7 verwendet, hat sich hier gegenüber Windows XP doch nichts geändert, oder? Sprich, "nodefaultadminowner" sollte weiterhin von 1 auf 0 umgestellt werden.
Windows Vista und neuer haben "Integrity Levels" (IL).
Legst Du eine Datei als SuRun-Admin oder UAC-Admin an, sollte diese dann IL==HIGH bekommen und Du kannst als Dauser nur noch lesend darauf zugreifen (Read-Up-Policy). Dadurch kannst Du die Datei z.B. nicht mehr durch Schadsoftware ersetzen, die dann Dein System übernimmt... jedenfalls theoretisch nicht. ;-)

Ich frage nur sicherheitshalber nochmal nach, da man mich in letzter Zeit öfters darauf angesprochen hat:

Bei Installation von SuRun (Beta-14) unter Windows 7 kann also der Haken bei

[X] 'Administratoren' statt 'Ersteller' als Standard-Besitzer für von Admninistratoren erstellte Objekte
WARNUNG: Ist diese Option deaktiviert, können eingeschränkte Benutzer unter SuRun administrativ erstellte Registry-Schlüssel und Dateien manipulieren.

entfallen?

KKay · 1. Nov 2010

Ja, das kann IMHO entfallen.

Oolisan · 6. Nov 2010

OK, Danke. :)

Du selbst nutzt Windows 7 noch nicht oder nur selten, Kay?

KKay · 9. Nov 2010

Ich habe eine Zeit lang Win7 auf meinem "zu Hause Rechner" benutzt, bin dann aber wieder zu XP zurück, weil ich keinen Vorteil fand und Win7 bei mir langsamer läuft.