Eingeschränkte Benutzerrechte

Allgemeine Tipps zur Internet Sicherheit
Antworten
thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Eingeschränkte Benutzerrechte

Beitrag von thbrueck »

Häufig hört man immer wieder den Tipp, nicht mit Adminrechten auf einem Produktivsystem zu arbeiten, besonders wenn man damit auch Onlineaktivitäten im Internet verfolgt. Aus gutem Grund, denn ist man als Admin angemeldet und führt bewußt oder (schlimmer) unbewußt Aktionen aus, die das System ändern (im Sinne von "Konfigurieren"), dann hat auch gleichzeitig jede Malware und jedes Virus diese Möglichkeit. Verwendet man jedoch einen Useraccount mit eingeschränkten Rechten, so wird das Sicherheitspotential deutlich gesteigert, da sich Malware nicht mehr ohne weiteres selbst installieren kann. Dieser Sicherheitsaspekt wird leider gern verschwiegen, da dadurch der Einsatz diverser Sicherheitssoftware beinahe überflüssig werden könnte. Nicht zuletzt aus kommerziellen Gesichtspunkten wird gerne die Effektivität eines eingeschränkten Benutzeraccounts verschwiegen und Zusatzsoftware angeboten, die sehr aufwendig und kompliziert diese ungenutzte Sicherheitsrichtlinie kompensieren möchte. Nicht selten ohne durchschlagenden Erfolg, aber dennoch erfreuen sich Security Suites und Co. wachsender Beliebtheit. Ein Grund dafür mag wohl die Umständlichkeit darstellen, wie man zur Installation eines Programmes oder dem Abspeichern von Daten außerhalb des persönlichen Arbeitsbereiches vom eingeschränktem Useraccount zum administrativen Benutzer wechseln muss. Andererseits wurde bis Windows Vista dieser wichtige Sicherheitsaspekt extrem vernachläßigt und standardmäßig dem User die vollen Rechte zugewiesen. Man hat es auch für wenig notwendig erachtet, die Anwender auf Risiken hinzuweisen, die zwangsweise auftreten, wenn permanent mit Adminrechten gearbeitet wird. Daher hier nun ein kleiner Workaround zum Arbeiten mit einem eingeschränkten Useraccount und der Möglichkeit, dennoch gewisse administrativen Aufgaben zu erledigen, ohne den Benutzer über An- und Abmelden wechseln zu müssen:

Der Befehl RunAs ist bereits als Bordmittel von Windows im System integriert. Leider ist er nur wenig bekannt und in der Handhabung recht umständlich.

Über Start --> Ausführen und der Eingabe von cmd mit anschließenden Tastendruck auf "Enter" öffnet sich die sog. Konsole, auch noch als (DOS)- Eingabeaufforderung bekannt. Hier kann man nun folgenden Befehl eingeben: (Beispiel)

runas /env /user:JohnDoe c:\totalcmd\totalcmd.exe


/env = (environment) verwendet die aktuelle Umgebung des angemeldeten Beutzers und wechselt nicht in die Umgebung des Admin's
/user:JohnDoe = dieser Parameter ist für die Eingabe des Admin- Accounts vorgesehen. In diesem Fall heißt der Admin "JohnDoe"
c:\totalcmd\totalcmd.exe = genaue Angabe des auszuführenden Programmes


Mit dieser Befehlszeile läßt sich das Programm "Totalcommander" (sofern installiert und an betreffender Stelle befindlich) administrativ starten. Wie man erkennen kann, muss man neben der Syntax der Befehlszeile auch noch genau den Speicherort der betreffenden Anwendung und deren Namen kennen. Das macht natürlich die Benutzung nicht gerade benutzerfreundlich. Dennoch könnte man sich die Mühe machen, für häufig benötigte administrative Arbeiten, die entsprechenden Befehlszeilen in eine sog. Batch Datei zu verpacken und als klickbare Anwendung auf den Desktop zu platzieren.
Würde man das obige Beispiel heranziehen, so bräuchte man lediglich diese Befehlszeile per Editor (z.B. Notepad) als Datei totalcmd.bat oder alternativ totalcmd.cmd abspeichern.

Der Befehl RunAs besitzt allerdings noch andere Parameter, die je nach Einsatz und Systemumgebung benutzt werden können, doch darauf wird nur eingegangen, wenn explizit eine Nachfrage besteht. Das Parameterangebot und die Syntax kann man sich auf diese Weise anzeigen lassen: runas /?

Greetz!
TB
Bild

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Eingeschränkte Benutzerrechte

Beitrag von thbrueck »

Hier noch einige interessante und wichtige Zugriffsmöglichkeiten:

runas /env /user:JohnDoe "mmc %windir%\system32\services.msc

Hiermit öffnet man die Konsole für Dienste...

runas /env /user:JohnDoe "mmc %windir%\system32\devmgmt.msc

Hiermit öffnet man den Gerätemanager...

Oftmals gibt es bei der Anwendung des Befehles RunAs einen Fehler 5 (Zugriff verweigert). Das bedeutet lediglich, dass der dazu notwendige Dienst nicht gestartet ist. Man muss zunächst als Admin dafür sorgen, dass der Dienst sekundäre Anmeldung gestartet ist und auf Status "automatisch" steht.
Danach sollte RunAs funktionieren...

Greetz!
TB
Bild

Tux390
Supermoderator
Supermoderator
Beiträge: 258
Registriert: Do 13. Sep 2007, 21:03
Wohnort: Graz (Österreich)
Kontaktdaten:

Re: Eingeschränkte Benutzerrechte

Beitrag von Tux390 »

Sehr interessant ! :)
Es gibt drei Möglichkeiten, eine Firma zu ruinieren: mit Frauen, das ist das Angenehmste; mit Spielen, das ist das Schnellste; mit Computern, das ist das Sicherste.
http://2rad.kfz-fischer.at / http://www.kfz-fischer.at

AAHJA

Re: Eingeschränkte Benutzerrechte

Beitrag von AAHJA »

thbrueck hat geschrieben:Hier noch einige interessante und wichtige Zugriffsmöglichkeiten:

runas /env /user:JohnDoe "mmc %windir%\system32\services.msc

Hiermit öffnet man die Konsole für Dienste...

runas /env /user:JohnDoe "mmc %windir%\system32\devmgmt.msc

Hiermit öffnet man den Gerätemanager...

Oftmals gibt es bei der Anwendung des Befehles RunAs einen Fehler 5 (Zugriff verweigert). Das bedeutet lediglich, dass der dazu notwendige Dienst nicht gestartet ist. Man muss zunächst als Admin dafür sorgen, dass der Dienst sekundäre Anmeldung gestartet ist und auf Status "automatisch" steht.
Danach sollte RunAs funktionieren...

Greetz!
TB


Das geht auch viel einfacher,

kluge Köpfe laden sich entweder die Sysinternals Security Suite herunter : Link http://ftp.freenet.de/pub/filepilot/win ... 260208.zip
oder nur die Erweiterung ShellRunAs Link: http://www.pcwelt.de/downloads/tools_ut ... es/149182/ herunter.

Diese Erweiterung klinkt sich u.a. in das Kontextmenü des Explorers ein, und anschließend lassen sich alle Programme bequem über einen kurzen Dialog starten.

ayin
Master Chief Petty Officer
Master Chief Petty Officer
Beiträge: 670
Registriert: Do 13. Sep 2007, 17:37

Re: Eingeschränkte Benutzerrechte

Beitrag von ayin »

Diese Erweiterung klinkt sich u.a. in das Kontextmenü des Explorers ein, und anschließend lassen sich alle Programme bequem über einen kurzen Dialog starten.
Das ist schon richtig, aber immer möchte man nicht, dass man alle Programme als Admin starten lassen kann.

AAHJA

Re: Eingeschränkte Benutzerrechte

Beitrag von AAHJA »

Hehehe, habe ich mich vielleicht zu unklar ausgedrückt ?

Natürlich ist der Benutzer frei wählbar, und das dazugehörige Passwort muss selbstverständlich auch mitgegeben werden.

Da das Tool nicht installiert werden muss, sondern zwecks Kontextmenü-Eintrag nur registriert, empfehle ich einen Test.
Da kann sich dann ein jeder von den Eigenschaften und der Nützlichkeit des Toos ein Bild machen, ohne tiefere System-Eingriffe und der ansonsten leidlichen Geschichte mit Dateileichen und verwaisten Registry-Einträgen.

Ich hoffe doch, dass diese kleine Korrektur den Anwendern Anlass gibt, auf den mit dem Tool verbundenen Komfort nicht verzichten zu müssen.

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Eingeschränkte Benutzerrechte

Beitrag von thbrueck »

Da das Tool nicht installiert werden muss, sondern zwecks Kontextmenü-Eintrag nur registriert, empfehle ich einen Test.
Ich wußte, dass du eine Bereicherung für dieses Forum sein würdest, AAHJA - selbst schuld, wenn andere Forenmods das nicht erkennen konnten... :D

Bei Gelegenheit werde ich das natürlich testen...

Gruß,
Thomas
Bild

AAHJA

Re: Eingeschränkte Benutzerrechte

Beitrag von AAHJA »

thbrueck hat geschrieben:
Da das Tool nicht installiert werden muss, sondern zwecks Kontextmenü-Eintrag nur registriert, empfehle ich einen Test.
Ich wußte, dass du eine Bereicherung für dieses Forum sein würdest, AAHJA - selbst schuld, wenn andere Forenmods das nicht erkennen konnten... :D

Bei Gelegenheit werde ich das natürlich testen...

Gruß,
Thomas
Vielen Dank für Dein Lob und die Androhung irgendwelcher Test's.
Nur mal so nebenbei ... pssssst (Männer dürfen mich nicht testen, hat mich meine Weib verboten)
* Ich warne ju, habe alle Fragen vom letzten Schwangerschaftstest bestanden.

Ernst beiseite, wir sind hier nicht unbeobachtet. Deshalb auch mal eine ganz intime Frage zu den Benutzer-Konten und Berechtigungen.
Die Einschränkung der Berechtigungen eines Benutzerkontos gegenüber eines Kontos mit administrativen Berechtigungen, zielt doch darauf ab, dass keine Berechtigungen zum (speichern), installieren oder prozessgesteuerter Funktionen ausgeführt werden, die Manipulationen an einer oder mehrerer Dateien ermöglichen. Richtig ?

Wie kann es dann angehen, dass gerade in meinem Benutzerprofil (Dokumente und Einstellungen) diverse Daten, Dateien gecached werden, auf die ich Vollzugriff habe, und die u.a. auch Zugriffe und Manipulationen des Arbeitsspeichers ermöglichen, in dem sich sogar Rootkits tummeln können ?
Warum kann und darf ich dann per rundll überhaupt Prozesse und Befehle aus anderen DLL-Dateien starten ?
Wie erkenne ich ohne eine Personal-Firewall eigentlich angehängte Prozesse, die beim nächsten Systemstart ohne meine Einwirkung ausgeführt werden ?

Wie erkenne ich Dateien, deren Größe oder Checksumme sich verändert haben ?
Wie erkenne ich zudem, dass eine Datei die ich soeben heruntergalden habe, auch die Datei ist, die ich herunterladen wollte ?

Bitte dringlichst um Antwort.

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Eingeschränkte Benutzerrechte

Beitrag von thbrueck »

OK, einige Dinge lassen sich etwas relativieren:
Wie kann es dann angehen, dass gerade in meinem Benutzerprofil (Dokumente und Einstellungen) diverse Daten, Dateien gecached werden, auf die ich Vollzugriff habe, und die u.a. auch Zugriffe und Manipulationen des Arbeitsspeichers ermöglichen, in dem sich sogar Rootkits tummeln können ?
Dafür ist ein Benutzerprofil (unter Windows) allerdings auch da. Der Browser lädt sich prinzipbedingt die webseitigen Inhalte lokal auf die Festplatte. Würde dies bei "Eingeschränkten Useraccounts" nicht funktionieren, würde dadurch die Funktionsweise des Browsers empfindlich gestört werden. Die Nutzung des Internets wäre dann unsinnig. "Vollzugriff" ist nur bedingt richtig. Wenn ein User mit "eingeschränkten Rechten" eine ausführbare Datei herunter lädt, kann er dies auch nur in den Bereich tun, wofür er Schreibberechtigung hat. Das heißt aber noch lange nicht, dass er damit auch eine Software installieren kann. Wäre dazu (und das ist es eigentlich fast immer) eine Zugriffsberechtigung ins Windows- System notwendig, wird ein Ausführen bzw. eine Installation scheitern. Man kann also keineswegs von "Vollzugriff" reden.
Natürlich sind Zugriffe auf den Arbeitsspeicher möglich und sogar notwendig, denn ohne Arbeitsspeicher kann man den PC auch gleich ausgeschaltet lassen. Wenn man aber jeglichen Zugriff auf den Arbeitsspeicher als Manipulation betrachtet, dann wäre diese Frage gerechtfertigt. Wenn sich dann sogar noch Rootkits aktiv darin tummeln sollten, würde ich mal behaupten, dass bei diesem User und seinem System schon zuvor etwas völlig falsch gelaufen sein muss. Auch ein Rootkit kann sich nicht ohne weiteres ohne vorherige Interaktion mit entsprechenden Rechten entfalten und Schaden anrichten. Das ist ein theoretisches Szenario, für welches mir bislang niemend einen faktischen Beweis erbracht hat...
Warum kann und darf ich dann per rundll überhaupt Prozesse und Befehle aus anderen DLL-Dateien starten ?
Das weis ich nicht und verweise an den Hersteller des entsprechenden Betriebssystems ! Im übrigen wäre es auch hierbei toll, ein nachvollziehbares Beispiel zu haben und was letzendlich damit erreicht werden könnte...
Wie erkenne ich Dateien, deren Größe oder Checksumme sich verändert haben ?
Die Frage ist eigentlich zunächst nicht "wie", sondern "wieso" bzw. "warum" ???
Größe und Checksumme einer Datei ändern sich ja nur, wenn damit etwas gemacht wurde. Datenbankdateien verändern sich prinzipbedingt ständig, wenn man Schreib/Leseaktionen ausführt. Wenn sich andere Dateien, z.B. ausführbare Dateien ändern, geht diese Veränderung ja irgendeine Aktion voraus. Weiß man, dass es ein Update war, ist die Sache ziemlich eindeutig. Ist es eine Veränderung durch Malware, haben im Vorfeld bereits ein oder mehrere Sicherheitsparameter versagt. Wenn der User trotzdem diese Dinge kontrollieren möchte, muss er sich entsprechender Tools bedienen oder manuell sehr aufwändig Protokoll führen. Ob dieser Aufwand lohnt, sei dahingestellt...
Wie erkenne ich ohne eine Personal-Firewall eigentlich angehängte Prozesse, die beim nächsten Systemstart ohne meine Einwirkung ausgeführt werden ?
Diese Frage entbehrt eigentlich jeder Logik, wenn man das Thema dieses Threads wieder ins Gedächtnis zurückruft: Eingeschränkte Benutzerrechte
Ob man nun eine PFW oder sonst ein Tool (ProzessExplorer, Wireshark etc.) zum Überprüfen solcher Dinge einsetzen möchte, darf jeder, der es tun möchte, selbst entscheiden, ob der User auch das Ergebnis verstehen würde, bleibt fraglich. Doch bevor überhaupt eine solche Frage gestellt wird, sollte der Fragende auch hierfür ein nachvollziehbares faktisches Beispiel liefern, woran er diese These festmachen kann. Zunächst einmal muss ja der Grundschutz (eingeschränkter Benutzeraccount) erfolgreich ausgehebelt werden, um nach einer Möglichkeit schreien zu können, das infizierte System im Nachhinein als solches erkennen zu können.
Wie erkenne ich zudem, dass eine Datei die ich soeben heruntergalden habe, auch die Datei ist, die ich herunterladen wollte ?
Wenn jemand eine Datei herunterlädt, muss sich dieser User auch über die Risiken bewußt sein, besonders wenn die Quelle nicht vertrauenswürdig ist. Eine Personalfirewall wird das auch nicht sagen können...

Gruß,
Thomas
Bild

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Wie erstellt man eigentlich ein eingeschränktes Benutzerkont

Beitrag von thbrueck »

Ein Sicherheitsproblem von Windows XP wird gleich mit der Installation mitgeliefert. Der anfangs eingerichtete Benutzer (User) ist standardmäßig ein Computeradministrator. Viele Anwender tragen dort gleich ihren Namen ein und benutzen dieses Benutzerprofil (Account) fortan, ohne sich Gedanken über die Risiken zu machen, wenn sie mit administrativen Rechten im Internet surfen. Dieser systemseitigen Diskrepanz mit Zusatzsoftware (Internet Security Suites u.ä.) zu begegnen, könnte man gut und gerne mit dem Sprichwort "Mit Kanonen auf Spatzen schießen" beschreiben...

Es mag verschiedentlich Gründe geben, die in Einzelfällen für Third Party- Produkte im Sicherheitssektor sprechen, doch sollte vernünftigerweise zunächst auf einfache Bordmittel zurückgegriffen werden. Eine sehr effektive Maßnahme gegen unbeabsichtigte und heimliche Installationen stellt eben das Eingeschränkte Benutzerkonto dar.

Einen solchen Account richtet man folgendermaßen ein:

Start > Systemsteuerung > Benutzerkonten

Im erscheinenden Fenster gibt es die Möglichkeiten Konto ändern bzw. Neues Konto erstellen. Wählt man letzteres aus, wird man anschließend zur Eingabe eines Namens aufgefordert. Danach kann man zwischen Computeradministrator (default) und Eingeschränkt auswählen. Ist der "neue" User angelegt, kann man über Konto ändern z.B. ein Passwort vergeben.

Es soll nun niemand behaupten, diese Sache würde zu hohe Anforderungen stellen. Wer z.B. seinen Schutz über eine Internet Security Suite realisieren möchte, wird mit weitaus komplizierteren Dingen konfrontiert werden. Für meine Begriffe noch einfacher ist die direkte Eingabe über die Konsole (Start > Ausführen > cmd eintippen > Enter drücken)...
Im sog. DOS- Fenster gibt man nun einfach folgenden Befehl ein:
net user name passwort /add
Für name und passwort wählt man natürlich selbst definierte Begriffe!
Ab sofort kann man nun den neu angelegten Useraccount benutzen.

Wer nun gerne noch seine Daten (Favoriten, Eigene Dateien, Desktop usw.) benutzen möchte, ohne diese wieder mühsam manuell anzulegen, kopiert einfach als Computeradministrator die Daten des "alten" Profils in die des "neuen". Unter Dokumente und Einstellungen findet man alle Benutzerprofile und kann die Daten von einem ins andere kopieren. Manche Dateien werden zwar den Zugriff verweigern, was man ruhig überspringen darf und manche müssen auch überschrieben werden...

Microsoft Windows stellt dafür auch noch eine offizielle Variante zur Verfügung:
Start > Systemsteuerung > System > Erweitert > Benutzerprofile Einstellungen > Kopieren nach

So dann !
Thomas
Bild

Antworten