Es scheint verwirrend zu sein ;-)
Hook-Optionsgruppe:
Einer der beiden Hooks muss an sein, sonst kann SuRun Systemweit gar kein Ausführen von Prozessen abfangen.
Die Liste der "Ausnahmen..." gilt für beide Hooks, obwohl sie normal nur für den IAT-Hook erforderlich wäre.
Ist die dritte Option "Versuche zu erkennen..." und mindestens ein Hook an, wird SuRun
zusätzlich zu den Programmen in der Benutzer-Programmliste bei Setup(etc.)-Programmen fragen, ob die als Admin gestartet werden sollen. Ist der Haken also aus, nervt SuRun nie, ohne dass man das vorher festlegt.
Cosmo wrote:
Kontext-Menü: Mir erschließt sich nicht, warum Explorer in den Empfehlungen aktiviert ist, cmd dagegen nicht.
Ungeübte kennen cmd nicht, Explorer schon. Denen nutzt also die cmd Option nichts, also müssen sie die auch nicht sehen. Aber beide abschalten wäre wahrscheinlich die beste Alternative.
Cosmo wrote:
Ähnlich verhält es sich bei den Systemmenü-Optionen; ich vermag die Logik, sie unterschiedlich zu empfehlen, nicht zu erkennen.
Ein normaler Benutzer will selten ein bereits laufendes Programm nochmal als Admin starten. Aber ein "Berechtigung erforderlich" meckerndes Programm neu zu starten ist häufig nötig.
Cosmo wrote:
Das Ändern der Systemzeit ist ein Eingriff, mit dem digitale Angreifer unter Umständen ihre Aktivitäten verschleiern könnten (in dem sie zum Beispiel regelmäßige Aktionen unterbinden). Da über das Systemmenü der Dialog im Bedarfsfall dennoch jederzeit gestartet werden kann, würde ich hier dafür plädieren, diese Option nicht in den Empfehlungen zu aktivieren.
Stimmt auffallend.
Man könnte auch "%windir%\System32\rundll32.exe *%windir%\system32\shell32.dll,Control_RunDLL timedate.cpl" in die Automagie Liste packen, dann würden die Einstellungen nicht meckern und die Angriffsfläche klein bleiben.
Cosmo wrote:
Noch einmal zu den Hook-Einstellungen: Ich kann mir lebhaft vorstellen, daß es etlichen Leuten Bauchschmerzen bereiten wird, wenn in den Empfehlungen eine Option aktiviert wird, die im Programm selbst als experimentell bezeichnet wird.
Irgend wie muss man den Leuten doch verklickern, dass das schon ok ist, aber nicht immer funktioniert.
In Vista z.B. ist man ohne den IAT-Hook ziemlich aufgeschmissen. Auch Arbeitsplatz->Verwalten automagisch als Admin zu starten geht nur mit dem IAT-Hook.
Aber einige Programme mögen ihn nicht.
Deshalb steht experimentell dran... Mir fällt bisher nichts Besseres ein.
Cosmo wrote:
Ich will auf folgendes hinaus (hier als Extremfall überspitzt dargestellt):
Eintrag: "*.*" steht auf Nie mit erhöhten Rechten ausführen
Eintrag: notepad.exe steht auf immer mit erhöhten Rechten ausführen.
Statt es jetzt auszuprobieren frage ich dich: Was passiert jetzt, wenn der Surunner notepad als Admin zu starten versucht?
SuRun fragt ab, ob ein Programm in der Liste steht.
Ist das nicht direkt drin, versucht es eine Übereinstimmung mit JokerZeichen.
Bei der ersten Übereinstimmung werden die Optionen ausgewertet.
Steht also direkt "C:\Windows\NotePad.exe" drin, werden diese Optionen genommen. (Also es würde bei Dir als Admin gestartet werden)
Steht "C:\Windows\NotePad.exe" NICHT in der Liste, aber "*.*" und "*NotePad.exe*", ist nicht vorhersagbar was passiert, denn SuRun fragt die Einträge in der Reihenfolge ab, in der sie in der Registry stehen, also nicht Aphabetisch, sondern, wie Microsoft die ablegt.
Hier muss der Admin aufpassen, wie er die Liste anlegt.
Ich kann die Routine aber leicht verändern, dass sie immer die ganze Liste nach der Übereinstimmung mit den höchsten bzw. niedrigsten Privilegien sucht. Aber das ist glaube ich nicht nötig.
EDIT: Oh ich vergaß:
Das mit den "unentschiedenen" Häkchen für das TraySymbol und die RunAs-Ersetzung ist in der Tat verwirrend für die meisten.
Das Symbol werde ich für SuRunner aktivieren, sofern das nicht explizit deaktiviert wird.
Mit RunAs muss ich mir was einfallen lassen.