Discussion:
Programm unter anderem Benutzer starten: runas /savecred
(zu alt für eine Antwort)
Dr. Matthies / Dr. Jochim
2006-10-30 16:45:58 UTC
Permalink
Hallo,

wenn ich ein Programm, das - je nachdem von welchem Benutzer es
gestartet wird - individuelle Startoptionen hat (z.B. Outlook-Express),
mit dem runas Befehl starte, muß ich ja das Passwort des entsprechenden
Nutzers eingeben.

Füge ich an meinem XPpro-Rechner den Parameter /savecred beim
Programmaufruf ein, um z.B. in meiner Serverumgebung mit den
Einstellungen, Mails, Konten usw. von meiner Einstellung als Benutzer
zuhause arbeiten zu können, ohne jedesmal das Passwort eingeben zu
müssen, dann funktioniert dies nicht.

Nach Programmaufruf wird zwar das DOS-Fenster geöffnet, in dem sonst das
Passwort eingegeben wird, aber es wird kein Passwort angefordert. Es
erscheint lediglich die Meldung, daß versucht wird, das Programm mit dem
angegebenen Nutzer zu starten. Und so wartet man - und wartet - und
wartet... Aber nichts passiert.

Können diese Passwörter eigentlich eingesehen werden? Ist hier ein
falsches Passwort gesetzt? Wo werden diese Passwörter denn verwaltet
oder gespeichert, daß man ein Reset bzw. eine Neuzuweisung machen kann?
Oder woran könnte der beschriebene Fehler liegen?

Ist es möglich, daß beim funktionierenden Abspeichern eines
Admin-Programmaufrufs jedes Malware-Programm eine beliebige Verknüpfung
erstellen kann, die beim Programmstart die gespeicherten
Admin-Credentials mit dem /savecred-Parameter abruft, um sich so auch
bei einer vorhandenen User-Umgebung Admin-Rechte verschaffen zu können?
Dann sollte man ja wohl lieber auf das Abspeichern verzichten...

Danke für jede Hilfe

André
Peter Schultz
2006-10-30 17:41:02 UTC
Permalink
Post by Dr. Matthies / Dr. Jochim
Hallo,
wenn ich ein Programm, das - je nachdem von welchem Benutzer es
gestartet wird - individuelle Startoptionen hat (z.B. Outlook-Express),
mit dem runas Befehl starte, muß ich ja das Passwort des entsprechenden
Nutzers eingeben.
Füge ich an meinem XPpro-Rechner den Parameter /savecred beim
Programmaufruf ein, um z.B. in meiner Serverumgebung mit den
Einstellungen, Mails, Konten usw. von meiner Einstellung als Benutzer
zuhause arbeiten zu können, ohne jedesmal das Passwort eingeben zu
müssen, dann funktioniert dies nicht.
Nach Programmaufruf wird zwar das DOS-Fenster geöffnet, in dem sonst das
Passwort eingegeben wird, aber es wird kein Passwort angefordert. Es
erscheint lediglich die Meldung, daß versucht wird, das Programm mit dem
angegebenen Nutzer zu starten. Und so wartet man - und wartet - und
wartet... Aber nichts passiert.
Können diese Passwörter eigentlich eingesehen werden? Ist hier ein
falsches Passwort gesetzt? Wo werden diese Passwörter denn verwaltet
oder gespeichert, daß man ein Reset bzw. eine Neuzuweisung machen kann?
Oder woran könnte der beschriebene Fehler liegen?
Ist es möglich, daß beim funktionierenden Abspeichern eines
Admin-Programmaufrufs jedes Malware-Programm eine beliebige Verknüpfung
erstellen kann, die beim Programmstart die gespeicherten
Admin-Credentials mit dem /savecred-Parameter abruft, um sich so auch
bei einer vorhandenen User-Umgebung Admin-Rechte verschaffen zu können?
Dann sollte man ja wohl lieber auf das Abspeichern verzichten...
Danke für jede Hilfe
André
Passwörter sichtbar machen,

http://www.download-tipp.de/shareware_und_freeware/1811.shtml

Gruß Peter
Gerd Jakobs
2006-10-30 17:51:59 UTC
Permalink
Dr. Matthies / Dr. Jochim kitzelte am 30.10.2006 17:45 dies aus einer
Post by Dr. Matthies / Dr. Jochim
Hallo,
wenn ich ein Programm, das - je nachdem von welchem Benutzer es
gestartet wird - individuelle Startoptionen hat (z.B. Outlook-Express),
mit dem runas Befehl starte, muß ich ja das Passwort des entsprechenden
Nutzers eingeben.
Füge ich an meinem XPpro-Rechner den Parameter /savecred beim
Programmaufruf ein, um z.B. in meiner Serverumgebung mit den
Einstellungen, Mails, Konten usw. von meiner Einstellung als Benutzer
zuhause arbeiten zu können, ohne jedesmal das Passwort eingeben zu
müssen, dann funktioniert dies nicht.
Nach Programmaufruf wird zwar das DOS-Fenster geöffnet, in dem sonst das
Passwort eingegeben wird, aber es wird kein Passwort angefordert. Es
erscheint lediglich die Meldung, daß versucht wird, das Programm mit dem
angegebenen Nutzer zu starten. Und so wartet man - und wartet - und
wartet... Aber nichts passiert.
Wenn der Benutzername Leerzeichen enthalten sollte, so muss dieser in
Anführungszeichen gesetzt werden bzw. es trotzdem mal so versuchen. Das
würde dann z. B. so ausschauen:

runas /user:"Peter Meier" /savecred ......

HTH, Gerd
--
Die Kroaten sollen ja auf alles treten, was sich bewegt - da hat unser
Mittelfeld ja nichts zu befürchten.
[Berti Vogts (vor dem WM-Spiel gegen Kroatien)]
Im WM-Jahr natürlich auch die passenden Signaturen ;-)
André Jochim
2006-10-30 19:53:16 UTC
Permalink
Wenn der Benutzername Leerzeichen enthalten sollte, ...
Hat er nicht.
...so muss dieser in Anführungszeichen gesetzt werden bzw. es trotzdem
mal so versuchen.
Hab ich. Aber keine Veränderung.

Wie schon geschrieben: Ohne /savecred funktioniert es ja auch. Ich werde
nach dem Paßwort gefragt und anschl. wird das Programm mit dem
entsprechenden User geöffnet. Nur nach Angabe von /savecred erscheint
ohne die Paßwort-Eingabemöglichkeit gleich:

--------------------------------------------------------
Es wird versucht, C:\Programme\xxxx.exe als Benutzer "Rechnername\André"
zu starten...
--------------------------------------------------------

Das steht dann so einige Sekunden, bis das Fenster geschlossen wird :-(

Ein weiterer Programmaufruf führt dann nur noch zu einem kurzen
Aufblitzen des Dos-Fensters, ohne daß etwas weiteres passiert.

Weitere Ideen?

André
--
Traumferienwohnung gesucht?
Urlaub in der Mecklenburgischen Seenplatte...
www.urlaub-in-sorgenlos.de

Antworten bitte nur in die Newsgroup oder an
A N D R E 'punkt' J O C H I M 'bei'
T 'minus' O N L I N E 'punkt' D E
Heiko Rost
2006-10-30 20:45:52 UTC
Permalink
Post by Dr. Matthies / Dr. Jochim
Können diese Passwörter eigentlich eingesehen werden? Ist hier ein
falsches Passwort gesetzt? Wo werden diese Passwörter denn verwaltet
oder gespeichert, daß man ein Reset bzw. eine Neuzuweisung machen kann?
In der Systemsteuerung kannst Du die Paßwörter unter "Benutzerkonten" -
"Eigene Netzwerkkennwörter verwalten" löschen oder ändern.
Post by Dr. Matthies / Dr. Jochim
Ist es möglich, daß beim funktionierenden Abspeichern eines
Admin-Programmaufrufs jedes Malware-Programm eine beliebige Verknüpfung
erstellen kann, die beim Programmstart die gespeicherten
Admin-Credentials mit dem /savecred-Parameter abruft, um sich so auch
bei einer vorhandenen User-Umgebung Admin-Rechte verschaffen zu können?
Dann sollte man ja wohl lieber auf das Abspeichern verzichten...
Ja, das geht: Wenn das Kennwort einmal gespeichert ist, kann anschließend
mit runas jedes x-beliebige Programm unter dem entsprechenden Account
gestartet werden. Bei http://www.robotronic.de/runasspc.html gibt es eine
Alternative, die (zumindest nach der Beschreibung, wie sicher die Methode
ist, kann ich nicht einschätzen) dieses Problem nicht hat.

Gruß Heiko
André Jochim
2006-10-31 15:52:15 UTC
Permalink
Post by Heiko Rost
In der Systemsteuerung kannst Du die Paßwörter unter
"Benutzerkonten" - "Eigene Netzwerkkennwörter verwalten" löschen
oder ändern.
Aha - aber hier war kein Eintrag...
Post by Heiko Rost
Ja, das geht: Wenn das Kennwort einmal gespeichert ist, kann
anschließend mit runas jedes x-beliebige Programm unter dem
entsprechenden Account gestartet werden.
Oh je - dann lasse ich das lieber mit dieser Option. Es sei denn ich
speichere die Credentials eingeschränkter User, die keine Admin-Rechte
haben, dann dürfte ja nichts dramatischeres passieren können als ohne
das Speichern.
Post by Heiko Rost
Bei http://www.robotronic.de/runasspc.html gibt es eine Alternative,
die
Post by Heiko Rost
(zumindest nach der Beschreibung, wie sicher die Methode ist, kann
ich nicht einschätzen) dieses Problem nicht hat.
Probiere ich bei Gelegenheit mal aus.

Danke

André
Werner P. Schulz
2006-10-31 16:33:02 UTC
Permalink
Bei http://www.robotronic.de/runasspc.html gibt es eine Alternative, die
(zumindest nach der Beschreibung, wie sicher die Methode ist, kann ich
nicht einschätzen) dieses Problem nicht hat.
... was mich wundert, daß dies Programm so völlig unbekannt ist, obwohl
es vom Prinzip her eigentlich eine gute Alternative gegenüber /savecred
ist.

Gibt es denn niemand, der dazu positive oder negative Erfahrungen hat?
--
Gruß Werner - ... der mit den drei Punkten ;-)
mail nur an => wpschulz-***@gmx.de (Adresse nur wenige Tage gültig)
"Linux ohne Konsole ist fast wie Fallschirmspringen ohne Fallschirm!"
der Pinguin für Linux-Fragen => http://www.google.de/linux <=
Heiko Rost
2006-10-31 17:52:22 UTC
Permalink
[runaspc]
Gibt es denn niemand, der dazu positive oder negative Erfahrungen hat?
Bisher einzige schlechte Erfahrung meinerseits: Nach der Umstellung auf
Winterzeit ließ sich eine von vier Cryptdateien nicht mehr entschlüsseln.

Gruß Heiko
Herbert Milster
2006-11-01 07:24:20 UTC
Permalink
Post by Werner P. Schulz
Bei http://www.robotronic.de/runasspc.html gibt es eine Alternative, die
(zumindest nach der Beschreibung, wie sicher die Methode ist, kann ich
nicht einschätzen) dieses Problem nicht hat.
... was mich wundert, daß dies Programm so völlig unbekannt ist, obwohl
es vom Prinzip her eigentlich eine gute Alternative gegenüber /savecred
ist.
Gibt es denn niemand, der dazu positive oder negative Erfahrungen hat?
so unbekannt ist das Tool gar nicht. Wurde glaub auch mal in der CT
vorgestellt.
Werner P. Schulz
2006-11-01 09:06:05 UTC
Permalink
Post by Herbert Milster
Post by Werner P. Schulz
Post by Heiko Rost
Bei http://www.robotronic.de/runasspc.html gibt es eine Alternative,
die (zumindest nach der Beschreibung, wie sicher die Methode ist, kann
ich nicht einschätzen) dieses Problem nicht hat.
... was mich wundert, daß dies Programm so völlig unbekannt ist,
obwohl es vom Prinzip her eigentlich eine gute Alternative gegenüber
/savecred ist.
Gibt es denn niemand, der dazu positive oder negative Erfahrungen hat?
so unbekannt ist das Tool gar nicht. Wurde glaub auch mal in der CT
vorgestellt.
... die c't bastelt zZ hauptsächlich mit ihrer MachMichAdmin-Lösung rum.
Auf einen Beitrag in der FAQ hin habe ich den entsprechenden Redalteur auf
runasspc hingewiesen.

Bei Google finde ich immer nur Hinweise auf das Programm (auch von mir),
aber nie etwas negatives. Somit scheinen bisher keine Macken von dem Tool
bekannt zu sein.
--
Gruß Werner - ... der mit den drei Punkten ;-)
mail nur an => wpschulz-***@gmx.de (Adresse nur wenige Tage gültig)
"Linux ohne Konsole ist fast wie Fallschirmspringen ohne Fallschirm!"
der Pinguin für Linux-Fragen => http://www.google.de/linux <=
Christian Steins
2006-10-31 13:51:23 UTC
Permalink
Post by Dr. Matthies / Dr. Jochim
Füge ich an meinem XPpro-Rechner den Parameter /savecred beim
Programmaufruf ein, um z.B. in meiner Serverumgebung mit den
Einstellungen, Mails, Konten usw. von meiner Einstellung als Benutzer
zuhause arbeiten zu können, ohne jedesmal das Passwort eingeben zu
müssen, dann funktioniert dies nicht.
Hi ihr zwei,
unter XP-Home geht das /savecred nicht, aber Du schreibst
ja, dass Du XP-Pro hast. (Auf meiner XP-Home Kiste verwende ich deswegen
das Tool "cpau").

Auf meiner XPpro-Kiste starte ich den Firefox als eingeschränkter User
namens "surf" über das Desktop-Icon:

C:\WINDOWS\system32\runas.exe /user:surf /savecred "C:\Programme\Mozilla
Firefox\firefox.exe"

und das geht problemlos....


Christian
André Jochim
2006-10-31 15:57:10 UTC
Permalink
Post by Christian Steins
unter XP-Home geht das /savecred nicht,
weiß ich
Post by Christian Steins
aber Du schreibst ja, dass Du XP-Pro hast.
eben... ;-)
Post by Christian Steins
Auf meiner XPpro-Kiste starte ich den Firefox als eingeschränkter
C:\WINDOWS\system32\runas.exe /user:surf /savecred
"C:\Programme\Mozilla Firefox\firefox.exe"
und das geht problemlos....
Schön :-)

Auf einem meiner XP-Systeme zuhause (Netzwerkkonfiguration als
Arbeitsgruppe) funktioniert dies auch.

Aber auf dem Laptop, das an der Win2003Server-Domäne angemeldet ist,
klappt das Starten eines Programmes auf die beschriebene Art und Weise
nicht, wenn ich als User einen lokalen User verwenden will :-(

Geht das vielleicht genau in dieser Konstellation nicht, weil ich als
Start-Benutzer auch einen Domänen-Benutzer wählen muß und keinen
lokalen?

André
Paul Frank
2006-11-01 06:41:42 UTC
Permalink
Post by Dr. Matthies / Dr. Jochim
Admin-Credentials mit dem /savecred-Parameter abruft, um sich so auch
bei einer vorhandenen User-Umgebung Admin-Rechte verschaffen zu können?
Dann sollte man ja wohl lieber auf das Abspeichern verzichten...
Hallo,

runas savecred ist ein großes Sicherheitsloch, da nachher jede Anwendung

über die gespeicherte Benutzerkennung gestartet werden kann.

http://lists.virus.org/ntbugtraq-0307/msg00069.html



Bei Tools wie Runasspc oder auch runAs Professional kann nur das
freigegebene Programm gestartet werden.

In meiner Schule lies ich die Kids Anfangs über Runasspc die MS
Sicherheistpatches selbst installieren.

Mittlerweile lasse ich darüber ganze Programminstallationen durchführen, das
erhöht den Lerneffekt und ich brauch keine Programmpackete mehr zu
erstellen.

Probleme habe ich damit keine.



Gruss Paul
André Jochim
2006-11-01 17:48:00 UTC
Permalink
Post by Paul Frank
http://lists.virus.org/ntbugtraq-0307/msg00069.html
OK - das sagt ja alles...
Post by Paul Frank
Bei Tools wie Runasspc oder auch runAs Professional kann nur das
freigegebene Programm gestartet werden.
Das hört sich doch viel besser an...
Post by Paul Frank
In meiner Schule lies ich die Kids Anfangs über Runasspc die MS
Sicherheistpatches selbst installieren.
Mittlerweile lasse ich darüber ganze Programminstallationen
durchführen, das erhöht den Lerneffekt und ich brauch keine
Programmpackete mehr zu erstellen.
Probleme habe ich damit keine.
...und scheint ja sogar zu funktionieren :-)

Danke

André

Loading...