Mit dem Tool SURUN Windows in kleinem Umfeld sicherer machen.
Hi liebe Kollegen !
Hiermit möchte ich das Tool SURUN vorstellen, anscheinend ist es hier im Forum noch nicht allzu sehr bekannt.
Mit dem Tool ist Mann oder Frau in der Lage Windows mit einer Art "Benutzerkontensteuerung" nachzurüsten. Ich selbst habe das Tool hier und bei einigen meiner kleineren Kunden seit mehr als einem Jahr im Einsatz.
Ideal ist das Tool für Privat-PCs und Keinstnetzwerke, da ja dort immer mal wieder etwas installiert werden muss und viele darum und aus Bequemlichkeit immer noch mit Adminrechten unterwegs sind. Für grosse Firmennetzwerke ist das Tool aus verschiedenen Gründen (Admins mit grossen Netzen wissen warum, da brauche ich sicherlich nichts dazu sagen) weniger interessant.
Das Tool ist vielseitig konfigurierbar und lässt sich sogar vor dem Benutzer komplett verbergen. Surun ist vergleichbar mit dem Skript "MachmichAdmin" der Computerzeitschrift ct aber sicherer und bequemer, weil es eine eigene GUI hat, selbst keine Passwörter speichert, die Abfrage nach Adminrechten in einem eigenen Task startet und auch nicht nach einem Administratorpasswort fragt. SURUN sollte auch in einer Domain einsetzbar sein, ich habe das aber nur in Verbindung mit Samba getestet, das ist schon eine Weile her und war damals nicht ganz unproblematisch. Da die Entwicklung aber ständig weiter geht, sollte das aber mittlerweile klappen. Hier ein Screenshot der Sicherheitsabfrage:
Wer es selbst einmal ausprobieren möchte, kann es hier kostenlos herunterladen. Dort gibt es eine leicht verständliche Anleitung und auch ein Forum, in dem der Entwickler persönlich ansprechbar ist. Übrigens SURUN wurde in C++ entwickelt, arbeitet daher angenehm schnell und der Quellcode ist offen gelegt. Natürlich leuchtet ein, dass eine Einarbeitung in das Tool besser in einer VM oder auf einem Testrechner erfolgen sollte anstatt in einer Produktivumgebung, auch wenn SURUN nach meiner Erfahrung recht stabil läuft.
Nachträgliche Anmerkung:
Dieser Tipp und das erwähnte Tool, sind nur für kleine Netzwerke (kleine Agenturen, (Web-) Entwickler, Handwerker) oder Einzelplätze gedacht, niemand wird es ernsthaft in grossen Netzen einsetzen wollen, da gibt es andere Möglichkeiten (z.B. Gruppenrichtlinien ö.ä.), dafür wurde es nicht entwickelt! Ich schreibe hier lediglich meine Erfahrungen damit und stehe in keinerlei direktem Kontakt mit dem Entwickler. Manchmal ist es schwierig manche Programme (es gibt ältere Programme, bei denen das auch wirklich nicht mit akzeptablem Zeit-/Aufwand gelingt) mit Benutzerrechten zu betreiben und bevor man aber den User mit Adminrechten ausstattet, was die schlechteste Lösung ist, sollte man sich die Mühe machen und SURUN selbst testen bevor man das Tool mit wilden Spekulationen und unqualifizierten Bemerkungen niedermacht. Ich arbeite selbst seit mehreren Jahren in der Softwareentwicklung und kann, aus meiner Erfahrung heraus, keine Lügen in den Aussagen des Entwicklers erkennen, wie es unten (augenscheinlich aus Unwissenheit) behauptet wird. Ich denke es sollte uns allen (aus eigenem Interesse) am Herzen liegen, dass die User nicht mehr mit Adminrechten im Netz unterwegs sind, auch wenn es dazu auch noch andere Möglichkeiten gibt, die mir durchaus bekannt sind!
mrtux
Hiermit möchte ich das Tool SURUN vorstellen, anscheinend ist es hier im Forum noch nicht allzu sehr bekannt.
Mit dem Tool ist Mann oder Frau in der Lage Windows mit einer Art "Benutzerkontensteuerung" nachzurüsten. Ich selbst habe das Tool hier und bei einigen meiner kleineren Kunden seit mehr als einem Jahr im Einsatz.
Ideal ist das Tool für Privat-PCs und Keinstnetzwerke, da ja dort immer mal wieder etwas installiert werden muss und viele darum und aus Bequemlichkeit immer noch mit Adminrechten unterwegs sind. Für grosse Firmennetzwerke ist das Tool aus verschiedenen Gründen (Admins mit grossen Netzen wissen warum, da brauche ich sicherlich nichts dazu sagen) weniger interessant.
Das Tool ist vielseitig konfigurierbar und lässt sich sogar vor dem Benutzer komplett verbergen. Surun ist vergleichbar mit dem Skript "MachmichAdmin" der Computerzeitschrift ct aber sicherer und bequemer, weil es eine eigene GUI hat, selbst keine Passwörter speichert, die Abfrage nach Adminrechten in einem eigenen Task startet und auch nicht nach einem Administratorpasswort fragt. SURUN sollte auch in einer Domain einsetzbar sein, ich habe das aber nur in Verbindung mit Samba getestet, das ist schon eine Weile her und war damals nicht ganz unproblematisch. Da die Entwicklung aber ständig weiter geht, sollte das aber mittlerweile klappen. Hier ein Screenshot der Sicherheitsabfrage:
Wer es selbst einmal ausprobieren möchte, kann es hier kostenlos herunterladen. Dort gibt es eine leicht verständliche Anleitung und auch ein Forum, in dem der Entwickler persönlich ansprechbar ist. Übrigens SURUN wurde in C++ entwickelt, arbeitet daher angenehm schnell und der Quellcode ist offen gelegt. Natürlich leuchtet ein, dass eine Einarbeitung in das Tool besser in einer VM oder auf einem Testrechner erfolgen sollte anstatt in einer Produktivumgebung, auch wenn SURUN nach meiner Erfahrung recht stabil läuft.
Nachträgliche Anmerkung:
Dieser Tipp und das erwähnte Tool, sind nur für kleine Netzwerke (kleine Agenturen, (Web-) Entwickler, Handwerker) oder Einzelplätze gedacht, niemand wird es ernsthaft in grossen Netzen einsetzen wollen, da gibt es andere Möglichkeiten (z.B. Gruppenrichtlinien ö.ä.), dafür wurde es nicht entwickelt! Ich schreibe hier lediglich meine Erfahrungen damit und stehe in keinerlei direktem Kontakt mit dem Entwickler. Manchmal ist es schwierig manche Programme (es gibt ältere Programme, bei denen das auch wirklich nicht mit akzeptablem Zeit-/Aufwand gelingt) mit Benutzerrechten zu betreiben und bevor man aber den User mit Adminrechten ausstattet, was die schlechteste Lösung ist, sollte man sich die Mühe machen und SURUN selbst testen bevor man das Tool mit wilden Spekulationen und unqualifizierten Bemerkungen niedermacht. Ich arbeite selbst seit mehreren Jahren in der Softwareentwicklung und kann, aus meiner Erfahrung heraus, keine Lügen in den Aussagen des Entwicklers erkennen, wie es unten (augenscheinlich aus Unwissenheit) behauptet wird. Ich denke es sollte uns allen (aus eigenem Interesse) am Herzen liegen, dass die User nicht mehr mit Adminrechten im Netz unterwegs sind, auch wenn es dazu auch noch andere Möglichkeiten gibt, die mir durchaus bekannt sind!
mrtux
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 121092
Url: https://administrator.de/contentid/121092
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
11 Kommentare
Neuester Kommentar
Ich muss ganz ehrlich sagen, dass ich mir unter einer Benutzerkontensteuerung etwas anderes vorstelle, als ein kurzer Adminzugriff über einen Systemdienst.
Die Beschreibung des Programmes lässt auch zu wunschen übrig. Teilweise werden Details über Windows verschwiegen, falsch dargestellt oder es wird schlichtweg gelogen, um das Produkt ins rechte Licht zu rücken. Für mich daher ein absolutes No-Go. Die dazugewonnene Sicherheit ist auch nur Einbildung, sobald der verwendete Dienst mit Adminrechten läuft kann auch ein Virus darüber mit Adminrechten agieren. Besonders der offene Quellcode öffnet einem Virenprogrammierer hier doch Tor und Tür, eine bessere Hilfe zur Dienstmanipulation kann er doch gar nicht kriegen.
Da bleibe ich doch lieber bei einer vernünftigen und dokumentierten Administration im klassischen Sinne.
Die Beschreibung des Programmes lässt auch zu wunschen übrig. Teilweise werden Details über Windows verschwiegen, falsch dargestellt oder es wird schlichtweg gelogen, um das Produkt ins rechte Licht zu rücken. Für mich daher ein absolutes No-Go. Die dazugewonnene Sicherheit ist auch nur Einbildung, sobald der verwendete Dienst mit Adminrechten läuft kann auch ein Virus darüber mit Adminrechten agieren. Besonders der offene Quellcode öffnet einem Virenprogrammierer hier doch Tor und Tür, eine bessere Hilfe zur Dienstmanipulation kann er doch gar nicht kriegen.
Da bleibe ich doch lieber bei einer vernünftigen und dokumentierten Administration im klassischen Sinne.
guten morgen,
die Idee hinter dem Programm klingt gut udn auhc die Umsetzung ist gelungen
allerdings sehe ich dabei trotzdem ein paar Probleme
- der User kann machen, was er will, denn er holt sich dann einfach mal eben die passenden Rechte
will er sich also irgendwas installieren -> SuRun und fertig
wird das irgendwo prtokolliert? es sieht nicht so aus...
- kann man Programme definieren, die mit SuRun laufen oder nicht laufen dürfen?
es wäre nämlich nciht so toll, wenn der User sein AV-Programm deinstalliert oder wichtige Dienste killt
- ein Admin wird beim Eintritt in die Gruppe SuRunners aus der Admin-Gruppe gelöscht
entweder ist man Admin oder man ist keiner, aber das man aus der Gruppe gekickt wird, widerspricht sich
das nur mal so auf die Schnelle
die Idee hinter dem Programm klingt gut udn auhc die Umsetzung ist gelungen
allerdings sehe ich dabei trotzdem ein paar Probleme
- der User kann machen, was er will, denn er holt sich dann einfach mal eben die passenden Rechte
will er sich also irgendwas installieren -> SuRun und fertig
wird das irgendwo prtokolliert? es sieht nicht so aus...
- kann man Programme definieren, die mit SuRun laufen oder nicht laufen dürfen?
es wäre nämlich nciht so toll, wenn der User sein AV-Programm deinstalliert oder wichtige Dienste killt
- ein Admin wird beim Eintritt in die Gruppe SuRunners aus der Admin-Gruppe gelöscht
entweder ist man Admin oder man ist keiner, aber das man aus der Gruppe gekickt wird, widerspricht sich
das nur mal so auf die Schnelle
Ich habe weder was von testen, noch von Gewinnbeteiligung erzählt, also hör auf mir hier irgendwelche Worte in den Mund zu legen.
Ich sage nur dass in der Beschreibung des Programms ziemlicher Müll steht und offenbar gezielt gelogen wird.
Ich sage auch nicht das andere Methoden besser sind, nur die Behauptung dieser Vorgang sei sicherer, ist auch schlichtweg FALSCH.
Ich sage nur dass in der Beschreibung des Programms ziemlicher Müll steht und offenbar gezielt gelogen wird.
Ich sage auch nicht das andere Methoden besser sind, nur die Behauptung dieser Vorgang sei sicherer, ist auch schlichtweg FALSCH.
Also,
ich HABE es getestet, intensiv.
Und ich bin begeistert!
Natürlich kann der Anwender damit etwas ruinieren!
ABER
Er macht es absichtlich
UND
Viren können die Admin Rechte nicht automatisch bekommen.
Solange dieses Tool nicht allgemein verbreitet ist, werden kaum exploits dafür geschrieben werden.
Denn Exploit schreiber gehen nach dem alten Gesetz:
Arbeit muss sich rentieren,
wenn kaum einer das tool drauf hat lohnt es sich nicht im allgemeinen sowas zu entwickeln.
Spezielle Angriffe sind was anderes.
Ich werde es bei meinen privaten (!!) Anwendern installieren.
Denn man BRAUCHT die Admin Rechte für ein paar Sachen nun mal.
Und ich habe keinen Bock wegen einem neuen Spiel dauernd remote zu arbeiten.
Image bleibt aber eh Pflicht für Daus
ich HABE es getestet, intensiv.
Und ich bin begeistert!
Natürlich kann der Anwender damit etwas ruinieren!
ABER
Er macht es absichtlich
UND
Viren können die Admin Rechte nicht automatisch bekommen.
Solange dieses Tool nicht allgemein verbreitet ist, werden kaum exploits dafür geschrieben werden.
Denn Exploit schreiber gehen nach dem alten Gesetz:
Arbeit muss sich rentieren,
wenn kaum einer das tool drauf hat lohnt es sich nicht im allgemeinen sowas zu entwickeln.
Spezielle Angriffe sind was anderes.
Ich werde es bei meinen privaten (!!) Anwendern installieren.
Denn man BRAUCHT die Admin Rechte für ein paar Sachen nun mal.
Und ich habe keinen Bock wegen einem neuen Spiel dauernd remote zu arbeiten.
Image bleibt aber eh Pflicht für Daus
Hi,
SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung finde ich. (Mein Kommentar hierzu auch wenn der Thred etwas älter ist).
Seit etwa einem Monat setzte ich SuRun mit Freude auf meinem privatem Laptop mit Windows XP SP3 ein. (SuRun v1.2.0.8)
Zuvor hatte mein User-Account Admin-Rechte, weil es mir einfach zu anstrengend war, ständig zwischen einem Account mit User-Rechte und einem anderem account mit Admin-Rechte zu wechseln.
Ja es gibt Alternative wie MachMichAdmin (aus c't), aber es war mit zu mühsehlig für jedes Programm eine Link mit MachMichAdmin anzulegen.
Vorteile von SuRun:
Benutzer, die man vertraut, dürfen Programme über das Kontext-Menu (Recht-Klick) auswählen, es als mit Admin-Rechte auszuführen.
Vor jeder Ausführung wird eine Sicherheitsaufforderung über ein gesichertes Desktop abgefragt, so dass kein Click-Jacking oder Passwort-Auslesen von Trojaner, Viren usw. möglich sein sollte.
Mann muss NICHT passwort jedesmal eintippen (aber kann ein passwort, d.h. sein benutzerpasswort als Sicherheit eingeben.)
SuRun ist eben nicht anfällig von Passwort-Auslesen wie MachMichAdmin (aus c't) oder Windows-RunAs.
Das ist also für das Szenario:
- Man möchte aus Gründen der Sicherheit, dass der Benutzer nicht immer mit Admin-Rechte arbeitet.
Der spezifische Benutzer braucht immer wieder Admin-Rechte.
Man vertraut, dass der spezifische Benutzer, der SuRun ausführen darf, nicht ###e baut.
Nachteile:
Es ist *nicht* für das Szenario:
- Der spezifische Benutzer soll ist nicht generell vertrauenswürdig, da vielleicht ###e bauen kann.
Der Admin des Kleinst-/Keinst-Netzwerk möchte eine leichte Möglichkeit haben, im Account des Nicht-Vertrauten-Benutzers zu verändern.
Fehlende Möglichkeit:
Nur nach Angabe eines anderen Passwort als sein Benutzer Passwort darf der Nicht-Vertrauten-Benutzers ein Programm mit Admin-Rechte ausführen.
Für Folgendes habe ich noch nicht eine Möglichkeit gefunden:
- Das Meckern von ZoneAlarm über Suspect Action abzustellen, wenn SuRun per DLL-Injection die Prozesse überwacht, ob sie Admin-Rechte brauchen.
Daher habe ich diese Option im SuRun abgewählt, um von ZoneAlarm-Warnungen die Ruhe zu haben und gleichzeitig nicht Firefox,... nicht mehr zu von ZoneAlarm zu überwachen.
SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung:
Dies ist IMHO:
- Wenn der Benutzer ansonsten Admin-Rechte hätte oder MachMichAdmin (aus c't) benutzen würde.
- Wenn man den Benutzer vertraut, dass er keinen Mist macht.
Also bevor man unter einem Admin-Account arbeitet, surft, ... (und nicht ausschließlich administriert) oder MachMichAdmin einsetzt, dann sollte man SuRun sich näher anschauen.
Die Privatanwender, die ein Laptop besitzen und NICHT mit Admin-Rechte tagtäglich arbeiten, sind IMHO ein schreckend geringer Anzahl.
Da könnte SuRun abhilfe schaffen.
http://kay-bruns.de/wp/software/surun/
Und um meckern vorzubeugen:
SuRun ist nicht das Perfekte Admin-Tool für alle Situationen und Szenarien, genau so wenig es das Perfekte Auto inkl. LKW für alle Situationen gibt.
Ist das Auto Smart besser als ein BMW740? Beim Parkplatz-Suchen im Großstadt jedenfalls. Auf Langstrecken auf die Autobahn - wohl eher nicht.
Über konstruktive Anmerkungen zum Tool SuRun fände ich Klasse, da das Tool IMHO ein großes Potential habe.
Alle noch einen schönen und friedvollen Tag,
PrAdiminix9
P.S.
Fall jemanden auf diesen Gedanken kämen:
Nein, ich bekomme keine (finanzielle) Vorteile dadurch, dass ich hier über meine Erfahrungen über des SuRun Tools berichte.
Habe einfach den Wunsch, andere auf eine potentiell hilfreiche Möglichkeit hinzuweisen.
SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung finde ich. (Mein Kommentar hierzu auch wenn der Thred etwas älter ist).
Seit etwa einem Monat setzte ich SuRun mit Freude auf meinem privatem Laptop mit Windows XP SP3 ein. (SuRun v1.2.0.8)
Zuvor hatte mein User-Account Admin-Rechte, weil es mir einfach zu anstrengend war, ständig zwischen einem Account mit User-Rechte und einem anderem account mit Admin-Rechte zu wechseln.
Ja es gibt Alternative wie MachMichAdmin (aus c't), aber es war mit zu mühsehlig für jedes Programm eine Link mit MachMichAdmin anzulegen.
Vorteile von SuRun:
Benutzer, die man vertraut, dürfen Programme über das Kontext-Menu (Recht-Klick) auswählen, es als mit Admin-Rechte auszuführen.
Vor jeder Ausführung wird eine Sicherheitsaufforderung über ein gesichertes Desktop abgefragt, so dass kein Click-Jacking oder Passwort-Auslesen von Trojaner, Viren usw. möglich sein sollte.
Mann muss NICHT passwort jedesmal eintippen (aber kann ein passwort, d.h. sein benutzerpasswort als Sicherheit eingeben.)
SuRun ist eben nicht anfällig von Passwort-Auslesen wie MachMichAdmin (aus c't) oder Windows-RunAs.
Das ist also für das Szenario:
- Man möchte aus Gründen der Sicherheit, dass der Benutzer nicht immer mit Admin-Rechte arbeitet.
Der spezifische Benutzer braucht immer wieder Admin-Rechte.
Man vertraut, dass der spezifische Benutzer, der SuRun ausführen darf, nicht ###e baut.
Nachteile:
Es ist *nicht* für das Szenario:
- Der spezifische Benutzer soll ist nicht generell vertrauenswürdig, da vielleicht ###e bauen kann.
Der Admin des Kleinst-/Keinst-Netzwerk möchte eine leichte Möglichkeit haben, im Account des Nicht-Vertrauten-Benutzers zu verändern.
Fehlende Möglichkeit:
Nur nach Angabe eines anderen Passwort als sein Benutzer Passwort darf der Nicht-Vertrauten-Benutzers ein Programm mit Admin-Rechte ausführen.
Für Folgendes habe ich noch nicht eine Möglichkeit gefunden:
- Das Meckern von ZoneAlarm über Suspect Action abzustellen, wenn SuRun per DLL-Injection die Prozesse überwacht, ob sie Admin-Rechte brauchen.
Daher habe ich diese Option im SuRun abgewählt, um von ZoneAlarm-Warnungen die Ruhe zu haben und gleichzeitig nicht Firefox,... nicht mehr zu von ZoneAlarm zu überwachen.
SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung:
Dies ist IMHO:
- Wenn der Benutzer ansonsten Admin-Rechte hätte oder MachMichAdmin (aus c't) benutzen würde.
- Wenn man den Benutzer vertraut, dass er keinen Mist macht.
Also bevor man unter einem Admin-Account arbeitet, surft, ... (und nicht ausschließlich administriert) oder MachMichAdmin einsetzt, dann sollte man SuRun sich näher anschauen.
Die Privatanwender, die ein Laptop besitzen und NICHT mit Admin-Rechte tagtäglich arbeiten, sind IMHO ein schreckend geringer Anzahl.
Da könnte SuRun abhilfe schaffen.
http://kay-bruns.de/wp/software/surun/
Und um meckern vorzubeugen:
SuRun ist nicht das Perfekte Admin-Tool für alle Situationen und Szenarien, genau so wenig es das Perfekte Auto inkl. LKW für alle Situationen gibt.
Ist das Auto Smart besser als ein BMW740? Beim Parkplatz-Suchen im Großstadt jedenfalls. Auf Langstrecken auf die Autobahn - wohl eher nicht.
Über konstruktive Anmerkungen zum Tool SuRun fände ich Klasse, da das Tool IMHO ein großes Potential habe.
Alle noch einen schönen und friedvollen Tag,
PrAdiminix9
P.S.
Fall jemanden auf diesen Gedanken kämen:
Nein, ich bekomme keine (finanzielle) Vorteile dadurch, dass ich hier über meine Erfahrungen über des SuRun Tools berichte.
Habe einfach den Wunsch, andere auf eine potentiell hilfreiche Möglichkeit hinzuweisen.
Hallo PrAdiminix9,
ich bin Admin von ca. 500 Usern und unsere Firma ist immer für und für alles offen. Ich find das Tool supi, denn wenn ich mit runas oder so z.B. PeaZip als ThinApp installiere, hat kein anderer User das Programm im Sendto und dies macht dein Tool. Doch warum der Ansatz das jeder User auf dem Rechner dieses Tool benutzen kann? Für mich wäre nur wichtig Programme und Installationen zu Starten die der Admin erlaubt, vielleicht wäre da ein Fenster im Setup möglich wo die Programme vorgibt und der Admin kann diese über die INI rein schiessen.
Grüßle
Joogile
ich bin Admin von ca. 500 Usern und unsere Firma ist immer für und für alles offen. Ich find das Tool supi, denn wenn ich mit runas oder so z.B. PeaZip als ThinApp installiere, hat kein anderer User das Programm im Sendto und dies macht dein Tool. Doch warum der Ansatz das jeder User auf dem Rechner dieses Tool benutzen kann? Für mich wäre nur wichtig Programme und Installationen zu Starten die der Admin erlaubt, vielleicht wäre da ein Fenster im Setup möglich wo die Programme vorgibt und der Admin kann diese über die INI rein schiessen.
Grüßle
Joogile