Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
UAC > Als gewone gebruiker uitvoeren
05-06-2010, 17:34 door Anoniem, 13 reacties
Hallo allemaal,
We hebben allemaal de UAC melding vast wel een keer voorbij zien komen als je een actie wilt uitvoeren waarvoor admin rechten voor nodig zijn. (Mits je Windows Vista of 7 draait).
Er zit wel een minpunt aan de UAC prompt. Als een programma van zichzelf admin rechten nodig heeft (en het vraagt ze aan in manifest), dan is er geen mogelijkheid om het als normale gebruiker uit te voeren. Je kunt alleen maar kiezen tussen Uitvoeren als Admin of gewoon niet draaien.
Op zich is dit natuurlijk helemaal niet zo vervelend, maar wel als je net een programma van internet download, waarvan je niet zeker weet of er geen virus inzit.
Weet iemand of dat er een mogelijkheid is om programma's die adminrechten nodig hebben toch met normale rechten uit te voeren?
We hebben allemaal de UAC melding vast wel een keer voorbij zien komen als je een actie wilt uitvoeren waarvoor admin rechten voor nodig zijn. (Mits je Windows Vista of 7 draait).
Er zit wel een minpunt aan de UAC prompt. Als een programma van zichzelf admin rechten nodig heeft (en het vraagt ze aan in manifest), dan is er geen mogelijkheid om het als normale gebruiker uit te voeren. Je kunt alleen maar kiezen tussen Uitvoeren als Admin of gewoon niet draaien.
Op zich is dit natuurlijk helemaal niet zo vervelend, maar wel als je net een programma van internet download, waarvan je niet zeker weet of er geen virus inzit.
Weet iemand of dat er een mogelijkheid is om programma's die adminrechten nodig hebben toch met normale rechten uit te voeren?
Reacties (13)
08-06-2010, 11:25 door
SirDice
Software wil graag zichzelf in c:\program files\ installeren. Of een aantal registry keys toevoegen/aanpassen. Daar zijn nu eenmaal admin rechten voor nodig.
Door SirDice: Software wil graag zichzelf in c:\program files\ installeren. Of een aantal registry keys toevoegen/aanpassen. Daar zijn nu eenmaal admin rechten voor nodig.
Er bestaat best veel software die zich in een andere map dan in c:\program files\ laat installeren, en lang niet alle installatie apps schrijven naar andere regkeys dan HKCU.Bovendien bestaat er sinds Vista de mogelijkheid om, als ordinary user, toch naar c:\program files\, c:\windows\, all users start menu, HKCU, HKCR etc. te schrijven, dankzij (niet in de zin van "een zegen", dit is geen KISS, foutzoeken wordt een drama zo) FARV (zie http://blogs.technet.com/richard_macdonald/archive/2007/05/18/990366.aspx).
@OP: als je UAC gebruikt ben je geen normale gebruiker, maar een administrator die z'n privileges tijdelijk heeft verlaagd. Ik vermoed dat als je een normaal account voor jezelf aanmaakt en gebruikt, je automatisch van FARV gebruik maakt. En daarmee ook koppige apps kunt installeren.
09-06-2010, 09:24 door
Bitwiper
Door SirDice: Software wil graag zichzelf in c:\program files\ installeren. Of een aantal registry keys toevoegen/aanpassen. Daar zijn nu eenmaal admin rechten voor nodig.
Er bestaat best veel software die zich in een andere map dan in c:\program files\ laat installeren, en lang niet alle installatie apps schrijven naar andere regkeys dan HKCU.Bovendien bestaat er sinds Vista de mogelijkheid om, als ordinary user, toch naar c:\program files\, c:\windows\, all users start menu, HKCU, HKCR etc. te schrijven, dankzij (niet in de zin van "een zegen", dit is geen KISS, foutzoeken wordt een drama zo) FARV (zie http://blogs.technet.com/richard_macdonald/archive/2007/05/18/990366.aspx).
@OP: als je UAC gebruikt ben je geen normale gebruiker, maar een administrator die z'n privileges tijdelijk heeft verlaagd. Ik vermoed dat als je een normaal account voor jezelf aanmaakt en gebruikt, je automatisch van FARV gebruik maakt. En daarmee ook koppige apps kunt installeren (die dan natuurlijk uitsluitend vanuit dat account zijn te gebruiken).
09-06-2010, 11:44 door
SirDice
Door Bitwiper:
In dat geval trekt UAC niet aan de bel omdat de gebruiker gewoon rechten heeft om daar te schrijven. Dat UAC naar voren komt 'bewijst' al min of meer dat dat dus niet het geval is.Door SirDice: Software wil graag zichzelf in c:\program files\ installeren. Of een aantal registry keys toevoegen/aanpassen. Daar zijn nu eenmaal admin rechten voor nodig.
Er bestaat best veel software die zich in een andere map dan in c:\program files\ laat installeren, en lang niet alle installatie apps schrijven naar andere regkeys dan HKCU.Bovendien bestaat er sinds Vista de mogelijkheid om, als ordinary user, toch naar c:\program files\, c:\windows\, all users start menu, HKCU, HKCR etc. te schrijven, dankzij (niet in de zin van "een zegen", dit is geen KISS, foutzoeken wordt een drama zo) FARV (zie http://blogs.technet.com/richard_macdonald/archive/2007/05/18/990366.aspx).
Je schrijft nog steeds niet naar c:\windows, of c:\program files\ of HKLM. Het programma 'denkt' dat te doen maar feitelijk komen die wijzigingen ergens anders uit. FARV presents a “virtual” view of certain parts of the filesystem and registry to legacy applications. That is, the legacy application can read and write to what it thinks is the correct location in the registry and filesystem, but any changes are actually redirected to a user-specific location.
@OP: als je UAC gebruikt ben je geen normale gebruiker, maar een administrator die z'n privileges tijdelijk heeft verlaagd. Ik vermoed dat als je een normaal account voor jezelf aanmaakt en gebruikt, je automatisch van FARV gebruik maakt. En daarmee ook koppige apps kunt installeren (die dan natuurlijk uitsluitend vanuit dat account zijn te gebruiken).
Niet tijdelijk, je bent dan een 'normale' gebruiker. Het administrators token wordt alleen gebruikt indien dat nodig is en wanneer AUC akkoord is.Tijdelijk UAC uitschakelen en het programma als gewone gebruiker uitvoeren/installeren? Zoals dat onder XP wel zo makelijk was. Ook de installatie nog eens binnen een sandbox (www.sandboxie.com) uitvoeren kan ook helpen om te kijken wat er zoal aan bestanden waar wordt weggeschreven.
Laatst moest ik me ergens registreren en was ik verplicht om een toolbar voor IE te installeren. IE binnen Sandboxie uitgevoerd, geregistreerd en de toolbar geinstalleerd. Na afloop de sandbox leeggegooid en IE was weer helemaal clean.
Laatst moest ik me ergens registreren en was ik verplicht om een toolbar voor IE te installeren. IE binnen Sandboxie uitgevoerd, geregistreerd en de toolbar geinstalleerd. Na afloop de sandbox leeggegooid en IE was weer helemaal clean.
09-06-2010, 15:51 door
Bitwiper
Door SirDice:
Nee, UAC kan al naar voren komen voordat de applicatie een error 5 (access denied) genereert. Als ik me niet vergis komt UAC naar voren om twee redenen (bron: http://blogs.msdn.com/b/uac/archive/2006/01/13/512776.aspx):Door Bitwiper:
In dat geval trekt UAC niet aan de bel omdat de gebruiker gewoon rechten heeft om daar te schrijven. Dat UAC naar voren komt 'bewijst' al min of meer dat dat dus niet het geval is.Door SirDice: Software wil graag zichzelf in c:\program files\ installeren. Of een aantal registry keys toevoegen/aanpassen. Daar zijn nu eenmaal admin rechten voor nodig.
Er bestaat best veel software die zich in een andere map dan in c:\program files\ laat installeren, en lang niet alle installatie apps schrijven naar andere regkeys dan HKCU.(1) Als het gestarte programma geen manifest bevat: heuristische detectie
(2) Anders op basis van gegevens in het manifest
Hoe goed (1) werkt weet ik niet, maar ik kan me goed voorstellen dat heuristische detectie op basis van in de executable gevonden teksten snel fout kan gaan, en dat Microsoft "met grote bedrijven meedenkt" en dan al snel roept dat Admin rechten (waarschijnlijk) noodzakelijk zijn.
Bijv. als de string "C:\Program Files\" in de stringtabel voorkomt, betekent dit dan een default keuze of of een verplichting? (wat natuurlijk helemaal nergens voor nodig is, waarom zou je niet in een andere map kunnen installeren). Ik kan als ordinary user op een dichtgetimmerd XPSP3 systeem probleemloos bijv. Firefox en IrfanView installeren. Ik heb te weinig ervaring met UAC om te weten of dat opkomt als je die programma's (als Admin met gedevalueerde privileges) onder Vista of W7 probeert te installeren, iemand?
Maar ook in het geval van (2) kan het best zijn dat de softwaremaker (bijv. om helpdeskgezeik te voorkomen, of omdat de ontwikkelaar zelf ook altijd als admin werkt en ervan uitgaat dat gebruikers dat ook wel zullen doen) voorschrijft dat je admin rechten nodig hebt, terwijl dat niet zo is. Zie http://msdn.microsoft.com/en-us/library/bb756929.aspx voor de keuzes die je als developer als "Execution Level" in het manifest kunt opnemen.
09-06-2010, 16:20 door
SirDice
Door Bitwiper: Hoe goed (1) werkt weet ik niet, maar ik kan me goed voorstellen dat heuristische detectie op basis van in de executable gevonden teksten snel fout kan gaan,
Waarom zou het? Voer gewoon de opdracht uit. Bij een access denied UAC om toestemming vragen en vervolgens het admin token gebruiken om dezelfde actie te herhalen. Dat kun je makkelijk op OS niveau afvangen.en dat Microsoft "met grote bedrijven meedenkt" en dan al snel roept dat Admin rechten (waarschijnlijk) noodzakelijk zijn.
Dit is iets wat vanuit MS nooit geroepen wordt. Als er een partij is die dit snel roept dan zijn het de third party vendors.Bijv. als de string "C:\Program Files\" in de stringtabel voorkomt, betekent dit dan een default keuze of of een verplichting? (wat natuurlijk helemaal nergens voor nodig is, waarom zou je niet in een andere map kunnen installeren).
Zie mijn opmerking hierboven.Ik kan als ordinary user op een dichtgetimmerd XPSP3 systeem probleemloos bijv. Firefox en IrfanView installeren.
Zolang jij die applicaties installeert op een plek waar jij schrijfrechten hebt is er ook geen enkele reden waarom dat niet zou werken.Maar ook in het geval van (2) kan het best zijn dat de softwaremaker (bijv. om helpdeskgezeik te voorkomen, of omdat de ontwikkelaar zelf ook altijd als admin werkt en ervan uitgaat dat gebruikers dat ook wel zullen doen) voorschrijft dat je admin rechten nodig hebt, terwijl dat niet zo is.
Het is over het algemeen gewoon luiheid en een zekere mate van onbekendheid met het rechten systeem van windows.
09-06-2010, 18:37 door
Rene V
Als je Windows 7 manager hebt dan kun je onder Misc. Utilities kiezen voor Windows Utilities. Daar kun je dan weer kiezen voor Advanced User Accounts. Daar kun je gebruikers rechten geven als Power User. Dit betekent dat je gewoon programma's kunt installeren (mits deze geen dingen willen installeren in je systeem mappen). Het is eigenlijk net als een user account, maar wel met de vrijheid om iets in program files te kunnen installeren zonder de UAC. Behalve programma's zoals gezegd die ook in de Windows systeem mappen iets willen installeren, want dan zul je het alsnog als Admin moeten uitvoeren.
Wellicht is dat een oplossing? Of zoals eerder geopperd, via een sandbox zoals sandboxie, of de zandbak die in de gratis firewall van Comodo zit (het heet dan VirtualRoot op C:\)
Wellicht is dat een oplossing? Of zoals eerder geopperd, via een sandbox zoals sandboxie, of de zandbak die in de gratis firewall van Comodo zit (het heet dan VirtualRoot op C:\)
Ik snap nog steeds niet waarom je moeilijk moet doen om een programma, waarvan de programmeur heeft bepaald dat er adminrechten voor nodig zijn mbv het manifest, met NORMALE gebruikersrechten te laten draaien.
Voorbeeld:
Je hebt illigale software gedownload waarbij een keygen zit. De keygen heeft in het manifest staan dat adminrechten benodigd zijn.
Hoogstwaarschijnlijk zit er dan een virus in de keygen. Als je het als normale gebruiker uit zou voeren, zou de schade beperkt blijven. Helaas kan dit niet. De enige opties zijn OF de keygen volledige toegang geven tot je systeem, OF niet gebruiken. Een 'Voer uit als normale gebruiker' -knop zou dan handig zijn.
Note: Het bovenstaande is alleen maar als voorbeeld bedoeld. Ik weet zelf ook wel dat het beter is om iets te kopen.
Voorbeeld:
Je hebt illigale software gedownload waarbij een keygen zit. De keygen heeft in het manifest staan dat adminrechten benodigd zijn.
Hoogstwaarschijnlijk zit er dan een virus in de keygen. Als je het als normale gebruiker uit zou voeren, zou de schade beperkt blijven. Helaas kan dit niet. De enige opties zijn OF de keygen volledige toegang geven tot je systeem, OF niet gebruiken. Een 'Voer uit als normale gebruiker' -knop zou dan handig zijn.
Note: Het bovenstaande is alleen maar als voorbeeld bedoeld. Ik weet zelf ook wel dat het beter is om iets te kopen.
09-06-2010, 20:57 door
Rene V
Een keygen zou je ook als normale gebruiker uit moeten kunnen voeren, indien dit niet het geval is moet er een (alarm) belletje gaan rinkelen. :)
09-06-2010, 21:15 door
Bitwiper
Door Anoniem: Ik snap nog steeds niet waarom je moeilijk moet doen om een programma, waarvan de programmeur heeft bepaald dat er adminrechten voor nodig zijn mbv het manifest, met NORMALE gebruikersrechten te laten draaien.
Voorbeeld:
Je hebt illigale software gedownload waarbij een keygen zit. De keygen heeft in het manifest staan dat adminrechten benodigd zijn.
Uhh niet alle software downloads zijn illegaal, er is zat leuk spul om mee te spelen (kijk bijv. eens hier: http://fileforum.betanews.com/).Voorbeeld:
Je hebt illigale software gedownload waarbij een keygen zit. De keygen heeft in het manifest staan dat adminrechten benodigd zijn.
De vraag die de OP stelt is m.i. terecht. Naast de oplossing die ik hierboven al voorstelde (een ordinary user account aanmaken en het daarmee proberen) zou je kunnen kijken of je met mt.exe (zie http://msdn.microsoft.com/en-us/library/aa375649(VS.85).aspx) het manifest in een executable kunt wijzigen (zo te zien behoort verwijderen niet tot de opties). Eventueel kun je het uitschakelen met een hex-editor (maar dan moet je wel de weg weten in PE files).
@Rene V: ik zou geen "Power Users" gebruiken: te krachtig om veilig te werken en te zwak om fatsoenlijk beheer uit te kunnen voeren. Bovendien is de groep Power Users "deprecated" (do not use anymore), zie http://blogs.technet.com/b/steriley/archive/2008/02/11/plan-now-to-eliminate-power-users-from-your-domains.aspx.
09-06-2010, 23:42 door
Rene V
Ik gebruik Power User ook niet hoor :-) Dacht alleen dat het wellicht een oplossing voor het dilemma van de OP zou kunnen zijn.
En thnx voor de tip en info over dat Power User gedoe. Dat wist ik niet :-)
Onder XP wel een hele tijd als Power User gedraaid, ging best goed toen. :D
En thnx voor de tip en info over dat Power User gedoe. Dat wist ik niet :-)
Onder XP wel een hele tijd als Power User gedraaid, ging best goed toen. :D
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.