mrtux
Goto Top

Mit dem Tool SURUN Windows in kleinem Umfeld sicherer machen.

Hi liebe Kollegen !

Hiermit möchte ich das Tool SURUN vorstellen, anscheinend ist es hier im Forum noch nicht allzu sehr bekannt.
Mit dem Tool ist Mann oder Frau in der Lage Windows mit einer Art "Benutzerkontensteuerung" nachzurüsten. Ich selbst habe das Tool hier und bei einigen meiner kleineren Kunden seit mehr als einem Jahr im Einsatz.

Ideal ist das Tool für Privat-PCs und Keinstnetzwerke, da ja dort immer mal wieder etwas installiert werden muss und viele darum und aus Bequemlichkeit immer noch mit Adminrechten unterwegs sind. Für grosse Firmennetzwerke ist das Tool aus verschiedenen Gründen (Admins mit grossen Netzen wissen warum, da brauche ich sicherlich nichts dazu sagen) weniger interessant.

Das Tool ist vielseitig konfigurierbar und lässt sich sogar vor dem Benutzer komplett verbergen. Surun ist vergleichbar mit dem Skript "MachmichAdmin" der Computerzeitschrift ct aber sicherer und bequemer, weil es eine eigene GUI hat, selbst keine Passwörter speichert, die Abfrage nach Adminrechten in einem eigenen Task startet und auch nicht nach einem Administratorpasswort fragt. SURUN sollte auch in einer Domain einsetzbar sein, ich habe das aber nur in Verbindung mit Samba getestet, das ist schon eine Weile her und war damals nicht ganz unproblematisch. Da die Entwicklung aber ständig weiter geht, sollte das aber mittlerweile klappen. Hier ein Screenshot der Sicherheitsabfrage:

5e6708345f3376922c46273783eaaaad-dialog


Wer es selbst einmal ausprobieren möchte, kann es hier kostenlos herunterladen. Dort gibt es eine leicht verständliche Anleitung und auch ein Forum, in dem der Entwickler persönlich ansprechbar ist. Übrigens SURUN wurde in C++ entwickelt, arbeitet daher angenehm schnell und der Quellcode ist offen gelegt. Natürlich leuchtet ein, dass eine Einarbeitung in das Tool besser in einer VM oder auf einem Testrechner erfolgen sollte anstatt in einer Produktivumgebung, auch wenn SURUN nach meiner Erfahrung recht stabil läuft.

Nachträgliche Anmerkung:
Dieser Tipp und das erwähnte Tool, sind nur für kleine Netzwerke (kleine Agenturen, (Web-) Entwickler, Handwerker) oder Einzelplätze gedacht, niemand wird es ernsthaft in grossen Netzen einsetzen wollen, da gibt es andere Möglichkeiten (z.B. Gruppenrichtlinien ö.ä.), dafür wurde es nicht entwickelt! Ich schreibe hier lediglich meine Erfahrungen damit und stehe in keinerlei direktem Kontakt mit dem Entwickler. Manchmal ist es schwierig manche Programme (es gibt ältere Programme, bei denen das auch wirklich nicht mit akzeptablem Zeit-/Aufwand gelingt) mit Benutzerrechten zu betreiben und bevor man aber den User mit Adminrechten ausstattet, was die schlechteste Lösung ist, sollte man sich die Mühe machen und SURUN selbst testen bevor man das Tool mit wilden Spekulationen und unqualifizierten Bemerkungen niedermacht. Ich arbeite selbst seit mehreren Jahren in der Softwareentwicklung und kann, aus meiner Erfahrung heraus, keine Lügen in den Aussagen des Entwicklers erkennen, wie es unten (augenscheinlich aus Unwissenheit) behauptet wird. Ich denke es sollte uns allen (aus eigenem Interesse) am Herzen liegen, dass die User nicht mehr mit Adminrechten im Netz unterwegs sind, auch wenn es dazu auch noch andere Möglichkeiten gibt, die mir durchaus bekannt sind!

mrtux

Content-ID: 121092

Url: https://administrator.de/contentid/121092

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

Wolfsburger
Wolfsburger 22.07.2009 um 23:34:01 Uhr
Goto Top
Ich muss ganz ehrlich sagen, dass ich mir unter einer Benutzerkontensteuerung etwas anderes vorstelle, als ein kurzer Adminzugriff über einen Systemdienst.

Die Beschreibung des Programmes lässt auch zu wunschen übrig. Teilweise werden Details über Windows verschwiegen, falsch dargestellt oder es wird schlichtweg gelogen, um das Produkt ins rechte Licht zu rücken. Für mich daher ein absolutes No-Go. Die dazugewonnene Sicherheit ist auch nur Einbildung, sobald der verwendete Dienst mit Adminrechten läuft kann auch ein Virus darüber mit Adminrechten agieren. Besonders der offene Quellcode öffnet einem Virenprogrammierer hier doch Tor und Tür, eine bessere Hilfe zur Dienstmanipulation kann er doch gar nicht kriegen.

Da bleibe ich doch lieber bei einer vernünftigen und dokumentierten Administration im klassischen Sinne.
mrtux
mrtux 23.07.2009 um 00:45:19 Uhr
Goto Top
Hi !

Zitat von @Wolfsburger:
Benutzerkontensteuerung etwas anderes vorstelle, als ein kurzer
Ich habe geschrieben eine Art von Benutzerkontensteuerung. Da der Entwickler keinen Zugriff auf die Quellen von Windows hat, wird er es sicherlich sehr schwer haben eine echte UAC einzubauen. Kopfschüttel
ins rechte Licht zu rücken. Für mich daher ein absolutes
Nein, ich bekomme kein Geld vom Entwickler, falls Du dieser These nachgehen möchtest. face-wink In der kurzen Zeit (seit der Tipp online ist) möchte ich doch schwer bezweifeln, ob Du überhaupt in der Lage warst das Programm zu testen um es vorurteilsfrei bewerten zu können. Du magst ja meinen Tipp schlecht finden aber besonders fachlich fundiert wirkt deine Bewertung des Programmes nicht, da Du ja anscheinend nicht mal weisst, welche Informationen über Windows frei verfügbar sind und welche nicht. face-smile
der verwendete Dienst mit Adminrechten läuft kann auch ein Virus
Das passiert bei der Nutzung des Skripts "Machmichadmin" auch und eine absolute Sicherheit, auf Grund meiner Aussagen dahinter zu vermuten, ist naiv!
bessere Hilfe zur Dienstmanipulation kann er doch gar nicht kriegen.
Diese Aussage ist völliger Blödsinn, dieses Argument (die Quelloffenheit) anzubringen ist genauso alt, wie das Thema Opensource und zieht hier gar nicht! Um die Windows Dienste zu manipulieren braucht man keinen offenen Quellcode irgendeines Programms!
Da bleibe ich doch lieber bei einer vernünftigen und
dokumentierten Administration im klassischen Sinne.
Die klassische Administration zu ersetzen? Davon war nie die Rede! Es geht mir einfach nur darum, dass IE (samt Active X) und FF keinen Schreibzugriff auf das Windows Verzeichnis (und darunter) haben sollten.

mrtux
Iwan
Iwan 23.07.2009 um 08:01:20 Uhr
Goto Top
guten morgen,

die Idee hinter dem Programm klingt gut udn auhc die Umsetzung ist gelungen
allerdings sehe ich dabei trotzdem ein paar Probleme
- der User kann machen, was er will, denn er holt sich dann einfach mal eben die passenden Rechte
will er sich also irgendwas installieren -> SuRun und fertig
wird das irgendwo prtokolliert? es sieht nicht so aus...
- kann man Programme definieren, die mit SuRun laufen oder nicht laufen dürfen?
es wäre nämlich nciht so toll, wenn der User sein AV-Programm deinstalliert oder wichtige Dienste killt
- ein Admin wird beim Eintritt in die Gruppe SuRunners aus der Admin-Gruppe gelöscht
entweder ist man Admin oder man ist keiner, aber das man aus der Gruppe gekickt wird, widerspricht sich

das nur mal so auf die Schnelle
Wolfsburger
Wolfsburger 23.07.2009 um 13:49:59 Uhr
Goto Top
Ich habe weder was von testen, noch von Gewinnbeteiligung erzählt, also hör auf mir hier irgendwelche Worte in den Mund zu legen.

Ich sage nur dass in der Beschreibung des Programms ziemlicher Müll steht und offenbar gezielt gelogen wird.

Ich sage auch nicht das andere Methoden besser sind, nur die Behauptung dieser Vorgang sei sicherer, ist auch schlichtweg FALSCH.
mrtux
mrtux 23.07.2009 um 14:28:12 Uhr
Goto Top
Hi !

Zitat von @Iwan:
will er sich also irgendwas installieren -> SuRun und fertig
Ist genau der Sinn des Tools. face-smile Will man den Status des Users belassen, braucht man keine Tools. face-smile
Admin-Gruppe gelöscht
Was genau das Ziel der Übung ist. face-smile

mrtux
mrtux
mrtux 23.07.2009 um 15:03:16 Uhr
Goto Top
Hi !

Zitat von @Wolfsburger:
Mund zu legen.
Ich habe Dir nix in den Mund gelegt, sondern von einer These (google mal nach dem Wort) geschrieben. face-smile
Müll steht und offenbar gezielt gelogen wird.
Würdest Du das vielleicht mal genauer begründen, damit wir eine sachliche Diskussion führen und deine Bedenken nachvollziehen können. Ausser dem Glaubenskrieg-Argument "Offener Quellcode" und haltlosen Behauptungen habe ich bisher von Dir nichts gehört, was das Thema und die Mitleser voranbringen könnte.

mrtux
TomTomBon
TomTomBon 14.09.2009 um 11:32:33 Uhr
Goto Top
Also,
ich HABE es getestet, intensiv.
Und ich bin begeistert!

Natürlich kann der Anwender damit etwas ruinieren!
ABER
Er macht es absichtlich
face-smile
UND
Viren können die Admin Rechte nicht automatisch bekommen.
Solange dieses Tool nicht allgemein verbreitet ist, werden kaum exploits dafür geschrieben werden.
Denn Exploit schreiber gehen nach dem alten Gesetz:
Arbeit muss sich rentieren,
wenn kaum einer das tool drauf hat lohnt es sich nicht im allgemeinen sowas zu entwickeln.
Spezielle Angriffe sind was anderes.


Ich werde es bei meinen privaten (!!) Anwendern installieren.
Denn man BRAUCHT die Admin Rechte für ein paar Sachen nun mal.
Und ich habe keinen Bock wegen einem neuen Spiel dauernd remote zu arbeiten.
face-wink

Image bleibt aber eh Pflicht für Daus face-smile
maddoc
maddoc 22.09.2009 um 16:57:41 Uhr
Goto Top
Danke, habe sowas schon lange gesucht. Kenne noch das Script aus der c't, konnte ich schon damals gut gebrauchen.

Gruß Oli
PrAdiminix9
PrAdiminix9 29.04.2010 um 10:06:37 Uhr
Goto Top
Hi,

SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung finde ich. (Mein Kommentar hierzu auch wenn der Thred etwas älter ist).

Seit etwa einem Monat setzte ich SuRun mit Freude auf meinem privatem Laptop mit Windows XP SP3 ein. (SuRun v1.2.0.8)
Zuvor hatte mein User-Account Admin-Rechte, weil es mir einfach zu anstrengend war, ständig zwischen einem Account mit User-Rechte und einem anderem account mit Admin-Rechte zu wechseln.
Ja es gibt Alternative wie MachMichAdmin (aus c't), aber es war mit zu mühsehlig für jedes Programm eine Link mit MachMichAdmin anzulegen.

Vorteile von SuRun:
Benutzer, die man vertraut, dürfen Programme über das Kontext-Menu (Recht-Klick) auswählen, es als mit Admin-Rechte auszuführen.
Vor jeder Ausführung wird eine Sicherheitsaufforderung über ein gesichertes Desktop abgefragt, so dass kein Click-Jacking oder Passwort-Auslesen von Trojaner, Viren usw. möglich sein sollte.
Mann muss NICHT passwort jedesmal eintippen (aber kann ein passwort, d.h. sein benutzerpasswort als Sicherheit eingeben.)
SuRun ist eben nicht anfällig von Passwort-Auslesen wie MachMichAdmin (aus c't) oder Windows-RunAs.

Das ist also für das Szenario:
- Man möchte aus Gründen der Sicherheit, dass der Benutzer nicht immer mit Admin-Rechte arbeitet.
Der spezifische Benutzer braucht immer wieder Admin-Rechte.
Man vertraut, dass der spezifische Benutzer, der SuRun ausführen darf, nicht ###e baut.

Nachteile:
Es ist *nicht* für das Szenario:
- Der spezifische Benutzer soll ist nicht generell vertrauenswürdig, da vielleicht ###e bauen kann.
Der Admin des Kleinst-/Keinst-Netzwerk möchte eine leichte Möglichkeit haben, im Account des Nicht-Vertrauten-Benutzers zu verändern.
Fehlende Möglichkeit:
Nur nach Angabe eines anderen Passwort als sein Benutzer Passwort darf der Nicht-Vertrauten-Benutzers ein Programm mit Admin-Rechte ausführen.

Für Folgendes habe ich noch nicht eine Möglichkeit gefunden:
- Das Meckern von ZoneAlarm über Suspect Action abzustellen, wenn SuRun per DLL-Injection die Prozesse überwacht, ob sie Admin-Rechte brauchen.
Daher habe ich diese Option im SuRun abgewählt, um von ZoneAlarm-Warnungen die Ruhe zu haben und gleichzeitig nicht Firefox,... nicht mehr zu von ZoneAlarm zu überwachen.


SuRun ist ein sehr hilfreiches Tool in die dafür geeigneten Umgebung:
Dies ist IMHO:
- Wenn der Benutzer ansonsten Admin-Rechte hätte oder MachMichAdmin (aus c't) benutzen würde.
- Wenn man den Benutzer vertraut, dass er keinen Mist macht.

Also bevor man unter einem Admin-Account arbeitet, surft, ... (und nicht ausschließlich administriert) oder MachMichAdmin einsetzt, dann sollte man SuRun sich näher anschauen.
Die Privatanwender, die ein Laptop besitzen und NICHT mit Admin-Rechte tagtäglich arbeiten, sind IMHO ein schreckend geringer Anzahl.
Da könnte SuRun abhilfe schaffen.
http://kay-bruns.de/wp/software/surun/

Und um meckern vorzubeugen:
SuRun ist nicht das Perfekte Admin-Tool für alle Situationen und Szenarien, genau so wenig es das Perfekte Auto inkl. LKW für alle Situationen gibt.
Ist das Auto Smart besser als ein BMW740? Beim Parkplatz-Suchen im Großstadt jedenfalls. Auf Langstrecken auf die Autobahn - wohl eher nicht.

Über konstruktive Anmerkungen zum Tool SuRun fände ich Klasse, da das Tool IMHO ein großes Potential habe.

Alle noch einen schönen und friedvollen Tag,
PrAdiminix9

P.S.
Fall jemanden auf diesen Gedanken kämen:
Nein, ich bekomme keine (finanzielle) Vorteile dadurch, dass ich hier über meine Erfahrungen über des SuRun Tools berichte.
Habe einfach den Wunsch, andere auf eine potentiell hilfreiche Möglichkeit hinzuweisen.
joogile
joogile 11.07.2011 um 19:40:44 Uhr
Goto Top
Hallo PrAdiminix9,

ich bin Admin von ca. 500 Usern und unsere Firma ist immer für und für alles offen. Ich find das Tool supi, denn wenn ich mit runas oder so z.B. PeaZip als ThinApp installiere, hat kein anderer User das Programm im Sendto und dies macht dein Tool. Doch warum der Ansatz das jeder User auf dem Rechner dieses Tool benutzen kann? Für mich wäre nur wichtig Programme und Installationen zu Starten die der Admin erlaubt, vielleicht wäre da ein Fenster im Setup möglich wo die Programme vorgibt und der Admin kann diese über die INI rein schiessen.

Grüßle
Joogile
mrtux
mrtux 12.10.2011 um 11:29:49 Uhr
Goto Top
Hi !

Zitat von @joogile:
Installationen zu Starten die der Admin erlaubt, vielleicht wäre da ein Fenster im Setup möglich wo die Programme
vorgibt und der Admin kann diese über die INI rein schiessen.

Mach deinen Vorschlag doch dem Entwickler von Surun Kay Bruns. Ihn kannst Du über das Surun-Forum persönlich erreichen.

mrtux