Meverick
Hallo zusammen,
Weniger Rechte für dunkle Mächte: DropMyRights - temporär die Administrator-Rechte entziehen (Freeware)
Heute möchte ich Euch gerne auf ein kleines geniales Tool hinweisen, das Michael Howard, Microsoft Senior Security Program Manager im Secure Engineering Team bei Microsoft, in seinem Blog vorgestellt hat.
Hinweis:
Ich möchte hier keine Diskussion über Sicherheitskonzepte und Co. vom Zaun brechen, nur den Hinweis geben.
Worum geht es?
Viele Computerschädlinge können nur deshalb auf einem System Schaden anrichten, weil der aktuelle Benutzer als
Admin (Administrator (mit Administratorrechten)) angemeldet ist. Als gute Beispiele halten hier die vielen Würmer, wie z.B. Beagle, her, die ohne entsprechende Machtbefugnis keine Chance hätten.
Doch selbst wenn man auf den Administratorstatus nicht verzichten möchte (kann), gibt es Abhilfe:
Die Freeware:
Das Tool
DropMyRights von Michael Howard startet beliebige Programme mit reduzierten Rechten. Eine ideale Methode, um potentielle gefährdete Anwendungen wie z.B. ein Mail-Client oder ein Webbrowser eine ganze Ecke sicherer zu machen.
Meine Meinung:
Wenn man es genau nimmt, sollte man gar nicht auf solche Tools zurückgreifen müssen, denn wer sich mit Administratorenrechten im Internet bewegt, begibt sich in große Gefahr (sei es aus Unkenntnis oder Bequemlichkeit). DropMyRights ist hier ein guter Ansatz, ersetzt aber nicht einen einzelnen Benutzeraccount mit niedrigeren Rechten als ein Administrator sie hätte.
So kann man doch eventuell behaupten: "
Browsing the Web and Reading E-mail Safely as an Administrator".
Beispiel für einen Programmaufruf:
| code: |
1:
|
C:\Programme\dropmyrights.exe "C:\Programme\Internet Explorer\iexplore.exe" |
|
Download:
Kostenloser Download der Freeware:
http://download.microsoft.com/download/f...ropMyRights.msi
Bebilderte Anleitung:
Eine bebilderte Anleitung in Englisch findet man hier:
http://msdn.microsoft.com/security/secur...ure11152004.asp
Wer Fragen dazu hat, kann sie natürlich hier stellen.
Viele Grüße Mev :)
Wen es interessierte, der Source-Code der Anwendung:
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
|
//////////////////////////////////////////////////////////////////////////////////
DWORD wmain(int argc, wchar_t **argv) {
DWORD fStatus = ERROR_SUCCESS;
if (2 != argc && 3 != argc) {
Usage();
return ERROR_INVALID_PARAMETER;
}
// get the SAFER level
DWORD hSaferLevel = SAFER_LEVELID_NORMALUSER;
if (3 == argc && argv[2]) {
switch(argv[2][0]) {
case 'C' :
case 'c' : hSaferLevel = SAFER_LEVELID_CONSTRAINED;
break;
case 'U' :
case 'u' : hSaferLevel = SAFER_LEVELID_UNTRUSTED;
break;
default : hSaferLevel = SAFER_LEVELID_NORMALUSER;
break;
}
}
// get the command line, and make sure it's not bogus
wchar_t *wszPath = argv[1];
size_t cchLen = 0;
if (FAILED(StringCchLength(wszPath,MAX_PATH,&cchLen)))
return ERROR_INVALID_PARAMETER;
SAFER_LEVEL_HANDLE hAuthzLevel = NULL;
if (SaferCreateLevel(SAFER_SCOPEID_USER,
hSaferLevel,
0,
&hAuthzLevel, NULL)) {
// Generate the restricted token we will use.
HANDLE hToken = NULL;
if (SaferComputeTokenFromLevel(
hAuthzLevel, // SAFER Level handle
NULL, // NULL is current thread token.
&hToken, // Target token
0, // No flags
NULL)) { // Reserved
STARTUPINFO si;
ZeroMemory(&si, sizeof(STARTUPINFO));
si.cb = sizeof(STARTUPINFO);
si.lpDesktop = NULL;
// Spin up the new process
PROCESS_INFORMATION pi;
if (CreateProcessAsUser(
hToken,
wszPath, NULL,
NULL, NULL,
FALSE, CREATE_NEW_CONSOLE,
NULL, NULL,
&si, &pi)) {
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
} else {
fStatus = GetLastError();
fwprintf(stderr,L"CreateProcessAsUser failed (%lu)\n",fStatus);
}
} else {
fStatus = GetLastError();
}
SaferCloseLevel(hAuthzLevel);
} else {
fStatus = GetLastError();
}
return fStatus;
} |
|
Administrator, Admin, Rechte, Adminrechte, Administratorrechte, Account, Benutzerrechte, Sicherheits, Security, Ausführen, runas, Benutzerrechte, Windows, XP, 2000, niedrigere, Sicherheitskonzept, Anwendung, Freeware, Download, kostenlos, Microsoft, Tipp
Meverick
Hallo zusammen,
seit ihr zufrieden mit dem Programm oder braucht ihr es alle nicht, weil ihr nicht mit einem Administrator-Account arbeitet ;)
Euer Feedback würde mich interessieren.
Viele Grüße Mev :)
HansWurst
Ehrlich gesagt finde ich dieses Mit-Wenig-Rechten-Surfen-Gefasel nervend...
Ich benutze seit dem ich Internet habe mein Admin-Konto und auch bloß die XP-Firewall und ich kann bis heute nicht über irgendwelche noch so üblen Viren berichten...
Außerdem hab ich echt keine Lust mich nur für das Surfen umzumelden... Nervend in Potenz!!!
Aber wer meint er ist so ein beliebtes Opfer und alle Hacker und Viren der Welt greifen ihn an, soll das ruhig weiter so machen ;)!
PS: Das ganze kommt bei mir in einer Reihe mit BSE-, Milzbrand-, "Überallzuschlagenden Terroristen"- und "Böses Microsoft"-Gelapp!
Genesis
ich surfe jetzt auch schon ein Jahr ohne Virus als Administrator. Jeder noch so gute Schutz kann die Vorsicht des Benutzers nicht ersetzen. Bei Viren wie dem SQL-Slammer wäre allerdings auch mein Computer betroffen, muss ich zugeben.
| quote: |
| Administrator, Admin, Rechte, Adminrechte, Administratorrechte, Account, Benutzerrechte, Sicherheits, Security, Ausführen, runas, Benutzerrechte, Windows, XP, 2000, niedrigere, Sicherheitskonzept, Anwendung, Freeware, Download, kostenlos, Microsoft, Tipp |
es hieß mal, das Google solche Keyword-Reihen erkennt, wenn sie klein oder in derselben Farbe wie der Hintergrund geschrieben werden.
Meverick
Hallo,
entschuldigt mich, aber sagt ihr mir und allen Usern die dies lesen, sie sollen mit Adminrechten surfen, weil ihr Glück bis jetzt hattet?
Hans-Wurst:
Du brauchst dich nicht umelden, deswegen ja der Hinweis auf dieses Tool.
PS: Ich habe Deine Signatur gesperrt; bitte ändere sie wieder. Alle User wollen hier gleich behandelt werden; so ist es nicht fair sich im großen Maße gegenüber anderen hervorzuheben.
Wenn Du Deine Signatur geändert hast, schicke mir bitte eine PN, ich schalte es wieder frei.
Danke und Grüße Mev :)
Genisis:
*lach* Recht haste - ich habe es eher für die Forensuche gedacht ... damit man besser danach suchen kann. Ich werde das bei Zeiten mal ändern.
Viele Grüße Mev :)
Lighty
Na ja, ich habe zwar ein Benutzerkonto eingerichtet,
aber ehrlich gesagt, benutze ich das kaum !
Es kommen so oft Situationen vor, da fehlen einem die Rechte !
Dann ist wieder ein Wechsel angesagt, und das nervt wirklich ! ;)
Bisher habe ich damit auch noch keine Probleme gehabt !
Soll jetzt keine Ermunterung sein, mit Admin-Rechten zu arbeiten,
aber man kommt wenn man viel macht, irgend wie nicht drum herum !
mag-s
Da muß ich mich Lighty anschließen. Wenn man täglich mit dem Computer arbeitet, ist das ständige Wechseln eher lästig als hilfreich.
Man muß aber wissen was man tut, sonst kann die "Faulheit", wie ich sie jetzt mal nenne ;-) zur Gefahr werden.
bulldog
Moin,
was man nicht hier alles finden kann,wenn man bissle "schnüffelt",
ähm, aus gegebenem Anlass hab ich schon überlegt mal die Frage zu stellen, -tue ich auch hiermit - ;) kann man eigentlich admin kontos komplett als "normaler User " ähm, umbauen? ohne allzugrosse Arbeit damit zu haben.?
Das tool scheint -zumindest für mein Schatzi User - mal ein netter anfang zu sein.
Weil, da wird schon mal was installiert,weil ich "gerade nicht da war" und tommi hat den Ärger und die Nacht damit zu tun,das wieder auszubügeln
Ich werde das Tool mal austesten,ob das nicht zu nervig ist.
tom
PCKatze
Mir gehts wie Lighty, diese Ummelderei nervt.
Auf meinem Notebook wachen:
Norton Internet Security 2004 Pro,
Ad-Awatch bewacht die Registri,
Pest Patroll überwacht den Ram und die Cockies.
Das Emaiprogramm ist auf nur Text eingestellt. Im EMailadressbuch kommen mir keine Emailadressen rein.
Da ich grundsätzlich keine Sexseiten und keine Illegalen Downloads starte, halte ich die Gefahr eine Vierenschleuder zu sein, für sehr gering.
Es kommt auch auf das persönliche Internetverhalten an.
Meverick
Hallo zusammen,
ich möchte jetzt nicht als Miesepeter hingestellt werden, aber ihr macht hier sehr gefährliche Aussagen, für User und Besucher des Forums, die nicht so eine Expertise wie ihr habt.
Grundsätzlich:
Es verlangt niemand von irgendeinem, ständig zu wechseln (habe ich auch nie gesagt). Dafür der Hinweis auf das Programm.
Gefährlich:
Ihr seit fahrlässig, wenn dies User lesen, die einigermaßen sicherheitsbewusst denken. Dass man nach Möglichkeit ohne Administratorrechte arbeiten sollte, dürfte sich doch mittlerweile im der letzten Ecke des Internets rumgesprochen haben.
Warum:
Jeder Ausbruch eines Wurms / von Viren und Co. ist die folge von ungepatchten, offenen und angreifbaren systemen.
Lösungsansatz:
Es ist doch viel schlauer zu sagen: „Bitte nutzt die „normalen“ Benutzerkonten; ich für meinen Teil surfe mit Admin-Rechten weil ich die Erfahrung und das Wissen habe, den bösen Buben zu begegnen.“
Es gibt viele Szenarien die man anwenden kann, z.B.:
- Erstellt eine Benutzergruppe
- Ordnet dieser Gruppe gezielt die Zugriffsrechte und Privilegien zu
- Ordnet der Gruppe alle Benutzer zu, die die Anwendung nutzen wollen.
D.h. ein Modell „Pro Anwendung eine Benutzergruppe“. Überblick einfach, Sicherheit einfach. (Bei einer großen Anzahl von Maschinen ist das natürlich nicht sinnvoll).
Überlegt es Euch:
Jede Anwendung, die mit Administratorrechten läuft, ist für Euch und Eure Umgebung ein potentielles Sicherheitsrisiko. Für Euch selbst solltet ihr entscheiden wie ihr möchtet, aber versucht zumindest öffentlich nicht anderen Usern zu empfehlen, sie mögen auf die Schutzhülle eines gut eingestellten Benutzerkontos verzichten, oder?
Viele Grüße Mev :)
Schuh
| quote: |
| „Bitte nutzt die „normalen“ Benutzerkonten; ich für meinen Teil surfe mit Admin-Rechten weil ich die Erfahrung und das Wissen habe, den bösen Buben zu begegnen.“ |
mev,
ich denke mal auch mit diesem Satz legst dir selber ein Ei ins Nest...
Denn wer gibt schon gerne zu (besonders bei solchen Themen) daß er nicht fit ist am PC?? Jeder meint doch: "Ich kenn mich aus und mir passiert nix und wenn so ein Würmchen auf meinen Rechner will werd ich schon fertig damit!"
Oder seh ich das falsch?
Genesis
| quote: |
Es ist doch viel schlauer zu sagen: „Bitte nutzt die „normalen“ Benutzerkonten; ich für meinen Teil surfe mit Admin-Rechten weil ich die Erfahrung und das Wissen habe, den bösen Buben zu begegnen.“
Es gibt viele Szenarien die man anwenden kann, z.B.:
- Erstellt eine Benutzergruppe
- Ordnet dieser Gruppe gezielt die Zugriffsrechte und Privilegien zu
- Ordnet der Gruppe alle Benutzer zu, die die Anwendung nutzen wollen. |
- kauft euch XP Pro
Wenn Windows Vista auch für die Home-Edition (wenns die gibt) eine ausreichende Benutzerverwaltung gewährleistet, werde ich mir wohl auch einen eingeschränkten Account zulegen.
Unter Linux surfe ich nie als root :)
Gruß
Genesis
PCKatze
So eine Diskussion hat ja keinen Sinn, wenn sie nicht Sachlich ist.
Ich ermuntere nicht dazu auf mit Admin Konto zu fahren.
Admin Konto nur bei entsprechender Absicherung.
Bei mir kann kein Wurm was finden um sich zu verbreiten. Mein Emailadressbuch ist leer.
| quote: |
Norton Internet Security 2004 Pro,
Ad-Awatch bewacht die Registri,
Pest Patroll überwacht den Ram und die Cockies.
Das Emaiprogramm ist auf nur Text eingestellt. Im EMailadressbuch kommen mir keine Emailadressen rein.
|
Lighty
| quote: |
Original von PCKatze
So eine Diskussion hat ja keinen Sinn, wenn sie nicht Sachlich ist.
Ich ermuntere nicht dazu auf mit Admin Konto zu fahren.
Admin Konto nur bei entsprechender Absicherung.
Bei mir kann kein Wurm was finden um sich zu verbreiten. Mein Emailadressbuch ist leer.
|
Stimmt !
Ermuntert habe ich dazu auch keinen !
( sollte man auch nicht tun )
Natürlich ist es sicherer wenn man sich ein Benutzerkonto einrichtet !
In meinem Fall aber irgend wie total überflüssig, weil ich eh ständig wechseln müsste !
Und das ist mir auf Dauer zu lästig ! ;)
Meverick
| quote: |
Original von Schuh
| quote: |
| „Bitte nutzt die „normalen“ Benutzerkonten; ich für meinen Teil surfe mit Admin-Rechten weil ich die Erfahrung und das Wissen habe, den bösen Buben zu begegnen.“ |
mev,
ich denke mal auch mit diesem Satz legst dir selber ein Ei ins Nest...
Denn wer gibt schon gerne zu (besonders bei solchen Themen) daß er nicht fit ist am PC?? Jeder meint doch: "Ich kenn mich aus und mir passiert nix und wenn so ein Würmchen auf meinen Rechner will werd ich schon fertig damit!"
Oder seh ich das falsch? |
Wenn ich Eier legen könnte ;-) - dann würde ich dringend jemanden konsultieren ;)
Spaß bei Seite, nein, wieso?
Ich meine es ist doch fatal zu glauben, egal jetzt woher überhaupt die Problematik kommt, dass Menschen keine Fehler zugeben können? Wieso kann man nicht auch mal sagen: "Keine Ahnung"?
Jawohl, ich habe keine Ahnung im Bereich Hardware z.B., alles grundlegen und wenn ich Hilfe oder Infos brauche, kommuniziere ich das gerne.
Was mich bloß so stört, sind alle Anwender, die ein System haben, meinen ungeschützt, mit Administratorrechten durch die Gegend surfen und laut schreien "versuchs doch".
Ich glaube nicht, so fern man sich nicht selber objektiv und ehrlich als "Experte" sieht, man so mir nichts dir nichts das Thema Sicherheit ignorieren kann.
Ich möchte hier gerne meinen Kollegen Dirk mal zitieren:
Quelle:
http://blogs.msdn.com/dirkpr/archive/2004/11/17/258848.aspx
| quote: |
Original von Dirk Primbs
Ich kenne viele fähige Leute, die locker über die Fähigkeiten verfügen, mit den Widrigkeiten eines Non-Admin-Systems souverän fertig zu werden. Das sind aber auch genau diejenigen, die selbst bequem Administratoren bleiben, weil sie sich ja von ihren Fachkenntnissen geschützt glauben. Die Software, die so entwickelt wird, wurde unter Umständen sehr wenig auf ihre Verträglichkeit mit restriktiven Useraccounts getestet. Das wiederum merkt aber niemand, denn - seien wir ehrlich - auch die Benutzer sind alle als Admin unterwegs... Wenn sich aber niemand (oder nur ein einzelner, z.B. ich) beschwert - Warum sich dann überhaupt die Mühe machen? |
Auch möchte ich Euch auf eine weitere recht interessante Quelle/Beitrag hinweisen:
Getting Started: Administrative Rechte nur bei Bedarf
Ich weiß, wir alle mögen uns hier zusammen wie wir posten sicher fühlen, uns passiert auch nichts, weil wir bestens geschützt und vorallem mit viel Wissen ausgestatten sind.
Was ich nur erreichen möchte, dass User die dies hier lesen, vielleicht nicht die Expertiese haben wie wir (weil viele wollen das gar nicht - oder möchtet ihr Flugzeuge auseinanderbauen können und wollen?), verschreckt von dannen ziehen, weil wir ihnen hier ernsthaft sageb: "Hey wir surfen alle mit Admin-Account, also mach Du es doch auch"
Viele Grüße Mev :)
Meverick
Moin moin!
Klar:
| quote: |
| Als Workaround schlagen die beiden Autoren vor, nur vertrauenswürdige Anwendungen als Services mit Desktop-Interaktion laufen zu lassen und auf Produktionssystemen auf den Einsatz von "runas" zu verzichten. |
Das wiederum heißt: Ohne Administratorrechte = Benutzeraccount ohne Admin Rechte = unser Diskussion ;)
Viele Grüße Mev :)
nullplan
Ich hab da ein Problem, und zwar mit dem Tool. Es meldet mir einen Fehler (Einsprungpunkt "SaferCreateLevel" nicht gefunden in ADVAPI32.DLL(Ich nutze Win 2k)). Ich habe schon nach einer File gesucht, die diesen Einsprungpunkt hat. Hab auch eine gefunden, installiert (in der Wiederherstellungskonsole, weil es normal nicht ging), rebootet, und dann ging Windows nicht mehr: Ohne ersichtlichen Grund stürzte mir Windows ab und bootete erneut, in dem Moment, wo ich, direkt nach der Fahne, den Windows-Hintergrund sah, ca. 10 ms., dann war das Bild weg und der Rechner am rebooten. Ich konte das mit einer ADVAPI32.DLL von einem anderen Rechner mit Win 2k lösen, aber der Fehler bleibt: Sind Win 2k nutzer dazu verdammt, sich immer umzumelden, wenn sie surfen wollen, oder gibt es für dieses Problem eine Lösung? Ich bin für alle Lösungsvorschläge offen und dankbar, es sei denn, sie funktionieren nicht!
nullplan
Moien,
der Fehler hat sich erledigt. Es ist zwar nicht so, dass ich DropMyRights benutzen könnte, aber habe eine Batch geschrieben, die den gleichen Zweck erfüllt. Wer sie sehen will:
| code: |
1:
2:
3:
|
@echo off
:: Ich nenne das hier mal "restr.bat"
runas /user:%2 "%1" |
|
Dazu ein normales oder gar restriktives Konto einrichten (meinetwegen "Hirntod") und eine Verknüpfung mit der Befehlszeile mit folgendem Beispieltext einrichten:
| code: |
1:
|
restr.bat iexplore.exe hirntod |
|
Das startet den IE restriktiv... sobald man den Explorer in den Ordneroptionen angewiesen hat, jedes Fenster in einem eigenen Prozess zu öffnen. Wenn man nicht schon IE-Fenster oder ( und ich meine oder, nicht entweder oder) Explorerfenster geöffnet hat.
Ach ja, entweder ihr gebt den Pfad mit an oder ihr legt den Pfad zu Batch und ausführbarer Datei in die Umgebungsvariable PATH (es ist eine Systemvariable, zur Änderung sind Admin-Rechte nötig) (Änderungen merkt cmd.exe erst nach einem Neustart von Windows).
[MUC] Kurupt
Hallo,
ich nutze das proggie jetzt und frage mich, woran ich eigentlich merke, dass ich nun eingeschraenkte Rechte habe? Die mit dem Adminkonto eingerichteten IE Sicherheitsoptionen sind immer noch die selben wie vorher.
Active X und scripte etc. hatte ich eh deaktiviert!
die links auf dem desktop muss ich wahrscheinlich loeschen, oder? Muss ja den Iexplorer mit der speziellen Verknuepfung starten!
Greetz Kurupt