Runas ersetzen und NOD32

cosmo

Ich bin soeben auf folgendes Problem gestoßen (XP Sp3 SuRun 1.2.0.9 NOD32 Antivirus 4.2.67 Testversion hier):

Es gibt in NOD die Funktion beim On-Demand-Scan, die Prüfung als Administrator durchzuführen. Damit diese Option (im eingeschränkten Konto) erscheint, muß in den erweiterten Einstellungen unter Benutzeroberfläche -> Einstellungen für Zugriff die Option unter "Benutzerrechte": Administratorrechte bei Bedarf anfordern aktiviert sein. Startet man nun ein manuellen benutzerdefinierten Scan aus der Programmoberfläche und klickt dafür innerhalb des NOD-Dialoges für die benutzerdefinierte Prüfung auf "Als Administrator prüfen", so öffnet sich der "Ausführen als"-Dialog. Solange es sich dabei um den Windows-eigenen Dialog handelt funktioniert alles anstandslos. Hat man diesen durch den SuRuns Dialog ersetzt, öffnet sich der Dialog von SuRun, doch nachdem man hier auf OK klickt, meldet NOD "Prüfung konnte nicht gestartet werden", klickt man erneut auf "Als Administrator prüfen", so funktioniert es meistens (so daß man letztlich doch zum Ziel kommt), später jedoch (spätestens nach erneutem Anmelden des Kontos) tritt das Problem erneut auf.

Ach ja, noch etwas ist mir gerade aufgefallen: Ersetzt man den Dialog durch SuRuns Version, so wirkt sich das nicht in Konten vom Administratorentyp aus. Ich weiß nicht, ob das früher anders war (weil diese Funktion im Administratorkonto in der Regel keinen Sinn macht habe ich sie bislang dort nie verwendet) und ich bin mir auch nicht sicher, ob das überhaupt geändert werden sollte; der Windows-Dialog bietet ja noch eine Funktionalität zusätzlich (die aber unter XP nur für Admin-Konten relevant ist). Da ich gerade darauf gestoßen bin schneide ich das hier mit an.

Ich wünsche allen, insbesondere Kay, einen guten Rutsch (bitte nicht wörtlich) und alles Gute für das neue Jahr. :-)

Kay

Ich suche auch schon nach einer konsistenten Lösung des Problems.

Viele Programme vertrauen ohne Prüfung auf UAC und benutzen das ShellexEcuteEx "runas" Verb, um gehobene Rechte zu erlangen. Um Windows XP kümmern sie sich nicht mehr.

SuRun's Hooks selbst können nicht unterscheiden, ob "Ausführen als..." oder "starte als Administrator" gemeint ist.

Vielleicht sollte SuRun's "Ausführen als..."-Dialog den SuRunner zur Auswahl mit anbieten und ein "administrativ starten" Kästchen haben. Mal sehen.

Bei echten Administratoren installiert SuRun keine Hooks. Deshalb sieht man da auch nur den Windows-Dialog. Komfortabler wäre natürlich, wenn SuRun's Dialog auch da zu sehen wäre. Sicherheitstechnisch ist es aber egal.

cosmo

Kay wrote:Viele Programme ... Um Windows XP kümmern sie sich nicht mehr.

Ist ja auch nur der Marktführer. :nuts: (Da müßte man noch die W7-Systeme mit installiertem XP-Modus dazu addieren.)

Kay wrote:SuRun's Hooks selbst können nicht unterscheiden, ob "Ausführen als..." oder "starte als Administrator" gemeint ist.

Mh, ob es daran liegt? Ich hatte mehr an ein Timing-Problem gedacht, da es ja bei wiederholtem Versuch klappt.

Kay wrote:Vielleicht sollte SuRun's "Ausführen als..."-Dialog den SuRunner zur Auswahl mit anbieten und ein "administrativ starten" Kästchen haben. Mal sehen.

Das wäre zumindest nicht in meinem Sinn die Lösung. Da ich - wie ich früher schon schrieb - sehr genau unterscheide, ob ich ein Programm im fremden Benutzerkontext starte oder den aktuellen Benutzer als SuRunner mit erhöhten Rechten ausstatte (das tue ich nur dann, wenn es wirklich darauf ankommt, die erhöhten Rechte im Kontext des betreffenden Benutzers zu erhalten) und infolgedessen die Option, die Gruppe der Administratoren zu Besitzern zu machen, bewußt deaktiviere, wäre das für meine Herangehensweise kontraproduktiv. Da im gegebenen Fall (NOD) das Programm mit der besagten Funktion den Scan tatsächlich im Kontext eines Admin-Kontos durchführen will und das in diesem Fall auch die richtige Lösung ist, würde ich also auch nie den SuRunner auswählen.

Ich werde wohl darüber nachdenken müssen, ob ich das Ersetzen des Dialogs so belasse, wenn das nicht anders geht. :scared:

Kay wrote:Bei echten Administratoren installiert SuRun keine Hooks. Deshalb sieht man da auch nur den Windows-Dialog. Komfortabler wäre natürlich, wenn SuRun's Dialog auch da zu sehen wäre. Sicherheitstechnisch ist es aber egal.

Aha, danke für die Erläuterung, das war mir bislang so nicht klar. Wie ich oben schon schrieb, ist das für mich auch durchaus so in Ordnung. Im Gegenteil, innerhalb von Admin-Konten den SuRun-Dialog zu verwenden sehe ich als nicht zielführend an, es gibt dabei nur das Risiko von Kompatibilitätsproblemen - und dann müßte zumindest die erste Option im Windows-eigenen Dialog im SuRun-Dialog auch noch nachgebaut werden (was eher sinnlos ist, da es dort das Problem der Paßworteingabe und damit die Notwendigkeit des Ersetzens nicht gibt, wie du mit dem letzten Satz ja selber schon festgestellt hast). Nach meinem Gusto sollte das so bleiben wie es ist.

Nochmals einen guten Rutsch.

Kay

Danke. :-)

Ich habe NOD mal in einer VM installiert.
Der scheint eeclnt.exe nur als Admin-Benutzer starten zu wollen, um das Kennwort zu überprüfen.
Dann meckert er, dass das schief ging, speichert aber, dass alles ok war. :huh:
Dann kann man eine bestimmte Zeit lang (solange eeclnt.exe aktiv ist?) alles machen, bevor man wieder gefragt wird.

Mit Process Explorer sind der von SuRun gestartete und der von Windows gestartete eeclnt.exe-Prozess gleich, bis auf die Tatsache, dass Windows den Prozess in ein "Job-Object" packt.

Vielleicht fragt NOD die Eigenschaften des Job-Objects ab und das schlägt fehl. Und beim zweiten Versuch läuft schon der eeclnt.exe als anderer Benutzer und das ist ok. Wer weiss?

cosmo

Danke für die Erläuterungen.