Sudo für Windows

Also ich persönlich bin schon lange als Eingeschränkter Benutzer unterwegs und bisher kam ich mit runas bzw. Ausführen als... gut zurecht.
So ganz verstehe ich nicht den Vorteil von dieser neuen Sudo Möglichkeit?

 

Hallo,

Diese Sudo Sache ist wie in Linux, sofern man höhere Rechte braucht um was am System zu ändern muss man nicht erst den Benutzer wechseln. Sondern kann das geschmeidig per Kontextmenü machen. Manche Anwedung lassen sie leider nicht ausführen wenn man unter Windows eine Anwedung ausführen will. Also entprechende Anwedung Ausführen als, und das soll wohl Sudo besser machen. So habe ich das verstanden. Bin gerade dabei das zu testen. Scheint ne gute Sache zu sein. Ich bins halt eben von Linux gewohnt und diese Funktionen scheint wirklich ein gesunder Mittelweg zu sein.

MfG

Gothie

 

Ich denke es geht darum, dass wenn ich ein Programm mit runas als anderer Benutzer ausführe und irgendetwas speichere bzw. Einstellungen verändere, dies nur für den Benutzer der beim runas-Aufruf angegeben wurde gültig ist.
Was das Programm zu leisten scheint, ist, dass ich für mein eigenes Benutzerkonto erhöhte Rechte erhalte und eben für administrative Aufgaben nicht das Konto temporär wechseln muss, wodurch eben das Profil (Dokumente und Einstellungen\<user>) des Administratorkontos, sondern mein eigenes verändert wird.

Ich hoffe, es wurde etwas klarer. Ich finde das Programm sehr interessant und werde es mal antesten.
Was mich etwas traurig stimmt, ist, dass diese Umschalterei bei Windows Vista, auch wenn dort Administratorrechte nur bei Bedarf verteilt werden, trotz allem noch intern so abläuft.

Grüße,
Andy.

 

Ah, jetzt macht es auch für mich Sinn.

 

Geht das denn nicht auch mit runas /env, oder hab' ich da was falsch verstanden?

 

Dieses Tool weicht die Sicherheitsstrategie der strickten Trennung von Benutzer und administrativen Aufgaben auf.

Irgendwann könnte man den Überblick verlieren, was alles mit erhöhten Rechten läuft und den Schutz, der durch eingeschränkte Rechte ermöglicht wird, löchrig machen.
Dazu könnte man es Angreifern erleichtern, unbemerkt an höhere Rechte zu kommen.

Zumindest sollte man den Einsatz von Sudoku auf wenige Ausnahmen beschränken.

 

Windows ist per se sowieso nicht sicher, egal wie man arbeitet.
Als nicht-admin benutzer kann man mit windows nichtmal vernünftig arbeiten, da sich z.B. auch Antivirenprogramme nicht so einfach updaten lassen.

Zum sicherheitskonzept gehören seperate HW Firewall, evtl. Fileserver auf einem sicheren OS, abgesicherter Browser / Mailclient und selbstupdatende Antiviren Software, dann kann man unter Windows gefahrenlos als "administrator" arbeiten.

Mache ich und "meine user" schon seit jahren so, ohne dass mal was passiert wäre.

 

Was hast du denn für ein "bescheidenes" Antivirenprogramm, dass sich nur im Adminkonto updaten lässt?
Mir fällt dazu das veraltete Bitdefender 8 ein, dass vor einiger Zeit mal kostenlos verschleudert wurde, als es mit der Einfühung einer neuen Antivir-Version hakte.

Was machen denn Admins in Firmennetzwerken nicht alles für Klimmzüge, damit eben kein normaler User im System rumpfuscht?
Der größte Unsicherheitsfaktor sind da nämlich nicht Angreifer von Außen, sondern die eigenen Mitarbeiter.

 

hmm, ich bin ja für alles was die Sicherheit unter Win erhöht sofort zu haben.

Aber nun "Doktere" ich nun schon eine ganze Weile an der sudoers.xml herum und bekomme es einfach nicht zum laufen.

Kann denn nicht einmal jemand der dieses "Neudeutsch" versteht und der es auch schon zum laufen gebracht hat hier eine Verständliche Erklärung geben.

Das wäre Super.

Also was habe ich schon probiert.

mich als Benutzer in die Gruppe Sudoers, den Admin auch in die Gruppe Sudoers verschoben.
In der xml den Administrators in Administrator umbenannt mein Hilfsadmin unter HOST\HILFSADMIN eingetragen.

RefGruppe auf "Standard" gelassen.

Ja und nun bin ich am Ende von meinem Latein.

Und Ja, ich hab mich neu Angemeldet und nach dem ändern der xml habe ich auch immer den Dienst neu gestartet.

Danke schon einmal.

Gruss Andreas

 

Ich sehe gerade, dass das .Net Framework 2.0 benötigt wird. Das beansprucht schlappe 240MB auf c:

Als Alternative gibt es Win-SUDO, das der Programmierer hier selbst vorstellt.

 

Also Sudowin kann man über die XML-Datei konfigurieren.

@Andreas:

Wenn du in der XML-Datei hinter deinen Benutzernamen einfach noch
allowAllCommands="true"
setzst, dann kannst du alle Programme ausführen, die Zeile lautet dann etwa so:

<user name="XPW\as" allowAllCommands="true"/>

Grund ist, dass unten noch ein Eintrag mit Referenz auf eine Programmliste steht, welche dir nur erlaubt, die angegebenen Programme auszuführen.

Hoffe, geholfen zu haben.
Andy.

 

Noch ein kleiner Nachtrag:

eventuell muss man

Administrators

in

Administratoren

ändern. Das hatte ich heute morgen zu schreiben verpasst. Die ersten Zeilen im Sudoers-Element sehen dann so aus:

Code:

<sudoers xmlns="http://sudowin.sourceforge.net/schemas/FileDataStoreSchema_v0.1/"
	privilegesGroup="Administratoren"

Vielleicht noch eine kleine Anmerkung:
Das Kommandozeilentool moniert bei mir seit eben andauernd, dass "Command not allowed", obgleich ich alle Commands erlaubt habe. Das GUI-Interface tut das dagegen nicht. Ist vielleicht noch ein kleiner Fehler.

Eine Anmerkung zur Anmerkung:
Das passierte, weil ich nicht den vollständigen Pfad zur Programmdatei angegeben habe, jetzt funktioniert es jedenfalls wieder - unter Angabe des kompletten Pfades.

 

Danke AS_X,

nun hab ichs auch hinbekommen. Mein Fehler war das ich bei User Name immer den des Admins eigegeben habe.
Aber da muss ja mei eigener rein. Die ganze Sache ist mir noch etwas unlogisch.
Wozu muss ich mich denn da eintragen ??? vor allem wenn ich mich da schon Eintrage, wozu brauch ich da noch mein Passwort ?

Wäre es da nicht logischer den User mit Adminrechten einzusetzen ?

Naja, es läuft erst einmal. Mal ein bisschen herum testen.

Also Danke nochmals.

Gruss Andreas

 

Das ja eben nicht. Sudo arbeitet so, dass der Windows-Dienst DEINEM Benutzerkonto kurzzeitig Administratorrechte erteilen kann (die Autoren sprechen von elevated rights). Damit es weiß, welche Konten das überhaupt dürfen, musst du entsprechende Vorkehrungen in der XML-Datei treffen und die Benutzergruppenzugehörigkeit festlegen.
Also nochmal: Das Programm schaltet das Konto nicht um, sondern fügt deines - nach Authorisierung - kurzzeit der Administratorengruppe hinzu , startet das Programm und entfernt dein Konto wieder von der Administratorengruppe (bzw. von der Gruppe, die du in der XML-Datei angegeben hast).

Ich hoffe, dass ich mich verständlich ausgedrückt habe...

Viele Grüße,
Andy.

 

Hallo AS_X,

das ist mir schon klar das mein Konto angehoben wird. Das hat mir ja bis jetzt auch gefehlt. Deswegen gefällt mir das Sudowin auch.

Nur das Prozedere liegt nicht so in meiner Geschmacksrichtung.

Denn:

ICH habe mich ja schon angemeldet. Warum muss ich MICH beim start von sudowin wieder Authentifizieren ? Darauf kann man verzichten.
Mir wär hier eine Admin Authentifizierung lieber. Ist der User Berechtigt!!! sich in die Gruppe der Admins zu erheben.

Was passiert wenn ich mich jetzt als User XYZ anmelde ? Da muss ich ja wieder die xml bearbeiten und den User XYZ da eintragen.

Oder ? gibt es da noch andere Möglichkeiten.

Gruss Andreas

 

was sind schon 240mb bei den heutigen festplagtten kapzitäten.,..