Hi,
um beim Beispiel des geheimnisumwobenen Ordners System Volume Information zu bleiben:
Wenn man im TC7 auf die Nachfrage Als Administrator antwortet, dann macht der TC7 aus meiner Sicht etwas ziemlich Bedenkliches:
Er greift nicht einfach als Administrator darauf zu.
Das wäre ok, man hat ja Name und Passwort angegeben.
Damit wäre der Zugriff aber immer noch nicht so einfach möglich, weil standarmäßig nur SYSTEM zugreifen darf.
Das Bedenkliche ist, daß TC ganz offensichtlich die Zugriffsberechtigungen des übergeordneten Orderns, also C:\ oder D:\ oder E:\ usw., auf System Volume Information überträgt und so beläßt.
Habe das mittels Vergleich der ACL vorher und nachher ermittelt.
Das ist aus meiner Sicht inakzeptabel:
TC hat nicht an den Zugriffberechtigungen von Objekten rumzumauscheln, es sei denn ich rufe genau den Dialog selbst auf.
Als Administrator darf aus meiner Sicht genau nur das eine tun, ein Runas als Admin-User.
Wenn selbst der Admin keine Zugriffsrechte hat, dann hat nicht der TC7 zu entscheiden, diese zu ändern, und schon gar nicht vollautomatisch, ohne mir was zu sagen.
Karl
[mod]Thread gesplittet von TC7_B1: Diverses 1.
Hacker (Moderator)[/mod]
[TC7] "Als Admin" verandert Zugriffsberechtigungen
Moderators: Hacker, Stefan2, white
2karlchen
Was ist da jetzt das Fazit?Er greift nicht einfach als Administrator darauf zu.
Das wäre ok, man hat ja Name und Passwort angegeben.
Damit wäre der Zugriff aber immer noch nicht so einfach möglich, weil standarmäßig nur SYSTEM zugreifen darf.
Das ist nicht der Fall. Es werden nur Leserechte für den aktuellen Benutzer hinzugefügt,. Hast du vielleicht meinen Beitrag überlesen?Das Bedenkliche ist, daß TC ganz offensichtlich die Zugriffsberechtigungen des übergeordneten Orderns, also C:\ oder D:\ oder E:\ usw., auf System Volume Information überträgt und so beläßt.
Habe das mittels Vergleich der ACL vorher und nachher ermittelt.
Du hast doch oben schon geschrieben, dass das gar nicht gehen würdeAls Administrator darf aus meiner Sicht genau nur das eine tun, ein Runas als Admin-User.
wie gesagt der Vista-Explorer macht das auch.TC hat nicht an den Zugriffberechtigungen von Objekten rumzumauscheln, es sei denn ich rufe genau den Dialog selbst auf.
Naja er fragt ja nach ob man das als Administrator tun möchte. Eines darf der Administrator ja immer: Zugriffrechte vergeben - auch dann wenn er wie in diesem Fall gar keine Leserechte hat.Wenn selbst der Admin keine Zugriffsrechte hat, dann hat nicht der TC7 zu entscheiden, diese zu ändern, und schon gar nicht vollautomatisch, ohne mir was zu sagen.
Hallo, Lefteous.
+ den Zugriff nur als nun angemeldeter Admin-Benutzer zu tätigen
+ diesen einen angemeldeter Admin-Benutzer den Zugriff nötigenfalls zu gewähren.
Inwiefern berechtigt das den TC oder irgendein anderes Programm nun, die bewußt gesetzten Zugriffsbeschränkungen aufzuweichen?
"Als Administrator" heißt für mich als nicht edv-kundiger Benutzer nur, daß eine Aktion jetzt als Administrator durchgeführt wird, nicht aber, daß dabei Zugriffsbeschränkungen massiv aufgehoben werden.
Zum anderen heißt ja nicht, daß das, was Microsoft so treibt, immer der Weisheit und Sicherheit letzter Schluß ist.
Dabei spielt es keine Rolle, daß ein Admin genau das darf.
Karl
--
P.S.:
Das Irrwitzigste an der Geschichte ist dann auch noch, daß ich als Admin-User angemeldet war, als der TC7 mir freundlichst anbot, doch "Als Administrator" aufzuzugreifen, um dazu dann mit dem zweiten von mir angegebenen Admin-Konto massivst die Zugriffsrechte auf "System Volume Information" für Jupp und Jan zu erweitern.
Den habe ich gelesen. Und nach meiner Beobachtung beschränkt sich TC7 bei der Funktion Als Administrator im Gegensatz zu deiner Aussage eben nicht darauf,Das ist nicht der Fall. Es werden nur Leserechte für den aktuellen Benutzer hinzugefügt,. Hast du vielleicht meinen Beitrag überlesen?Karlchen wrote:Das Bedenkliche ist, daß TC ganz offensichtlich die Zugriffsberechtigungen des übergeordneten Orderns, also C:\ oder D:\ oder E:\ usw., auf System Volume Information überträgt und so beläßt.
Habe das mittels Vergleich der ACL vorher und nachher ermittelt.
+ den Zugriff nur als nun angemeldeter Admin-Benutzer zu tätigen
+ diesen einen angemeldeter Admin-Benutzer den Zugriff nötigenfalls zu gewähren.
Ja und weiter? "System Volume Information" ist ja nun eine der wenigen Ausnahmen, die standardmäßig nicht mal dem Admin Leserechte gewähren.Du hast doch oben schon geschrieben, dass das gar nicht gehen würdeKarlchen wrote:Als Administrator darf aus meiner Sicht genau nur das eine tun, ein Runas als Admin-User.
Inwiefern berechtigt das den TC oder irgendein anderes Programm nun, die bewußt gesetzten Zugriffsbeschränkungen aufzuweichen?
"Als Administrator" heißt für mich als nicht edv-kundiger Benutzer nur, daß eine Aktion jetzt als Administrator durchgeführt wird, nicht aber, daß dabei Zugriffsbeschränkungen massiv aufgehoben werden.
Zum einen kann ich das mangels Vista nicht nachvollziehen.wie gesagt der Vista-Explorer macht das auch.Karlchen wrote:TC hat nicht an den Zugriffberechtigungen von Objekten rumzumauscheln, es sei denn ich rufe genau den Dialog selbst auf.
Zum anderen heißt ja nicht, daß das, was Microsoft so treibt, immer der Weisheit und Sicherheit letzter Schluß ist.
Das ist, wie oben bereits gesagt, genau das Problem: Dem unbedarften Benutzer der Funktion "Als Administrator" wird nicht bewußt sein, daß hier unter Umständen massiv die Zugriffsbeschränkungen auf Objekte aufgeweicht werden und das permanent.Naja er fragt ja nach ob man das als Administrator tun möchte. Eines darf der Administrator ja immer: Zugriffrechte vergeben - auch dann wenn er wie in diesem Fall gar keine Leserechte hat.Karlchen wrote:Wenn selbst der Admin keine Zugriffsrechte hat, dann hat nicht der TC7 zu entscheiden, diese zu ändern, und schon gar nicht vollautomatisch, ohne mir was zu sagen.
Die Funktion "Als Administrator" stellt in der vorliegenden Implementierung unter Umständen ein massives Sicherheitsrisiko dar, weil gesetzte Zugriffsbeschränkungen ohne Hinweis, das das geschieht, massiv und permanent aufgeweicht werden.Was ist da jetzt das Fazit?
Dabei spielt es keine Rolle, daß ein Admin genau das darf.
Karl
--
P.S.:
Das Irrwitzigste an der Geschichte ist dann auch noch, daß ich als Admin-User angemeldet war, als der TC7 mir freundlichst anbot, doch "Als Administrator" aufzuzugreifen, um dazu dann mit dem zweiten von mir angegebenen Admin-Konto massivst die Zugriffsrechte auf "System Volume Information" für Jupp und Jan zu erweitern.
Last edited by karlchen on 2006-11-07, 11:01 UTC, edited 1 time in total.
Ach, Lefteous.
Es ist doch eigentlich wurst, was du oder ich genau gesagt haben und in welchem Detail wir uns anscheinend mißverstehen.
Das Entscheidende ist, daß beim Benutzen der TC7 Funktion "Als Administrator" im Hintergrund mehr passiert, als man erwarten muß.
Als normaler Benutzer erwarte ich, daß
+ ich mich mit der Funktion jetzt eben kurzzeitig zum Administrator mache
+ der darf eben nach meinem Verständnis auf alles zugreifen
+ genau das tut der dann auch, und gut ist.
+ sich ansonsten nix verändert hat
Als normaler Benutzer erwarte ich nicht, daß
+ die Zugriffsrechte auf irgendeine Datei oder einen Ordner permanent verändert worden sind.
Und wenn TC7 genau das doch tut (meinetwegen in Übereinstimmung mit dem Explorer in Vista), dann reißt er damit potentiell Sicherheitslöcher auf.
Karl
Es ist doch eigentlich wurst, was du oder ich genau gesagt haben und in welchem Detail wir uns anscheinend mißverstehen.
Das Entscheidende ist, daß beim Benutzen der TC7 Funktion "Als Administrator" im Hintergrund mehr passiert, als man erwarten muß.
Als normaler Benutzer erwarte ich, daß
+ ich mich mit der Funktion jetzt eben kurzzeitig zum Administrator mache
+ der darf eben nach meinem Verständnis auf alles zugreifen
+ genau das tut der dann auch, und gut ist.
+ sich ansonsten nix verändert hat
Als normaler Benutzer erwarte ich nicht, daß
+ die Zugriffsrechte auf irgendeine Datei oder einen Ordner permanent verändert worden sind.
Und wenn TC7 genau das doch tut (meinetwegen in Übereinstimmung mit dem Explorer in Vista), dann reißt er damit potentiell Sicherheitslöcher auf.
Karl
Last edited by karlchen on 2006-11-07, 13:02 UTC, edited 1 time in total.
2karlchen
Letztlich hat das was mit dem Verständnis der Sicherheitsattribute zu tun. Kann sein, dass der Benutzer erwartet, dass es so funktioniert, aber es _kann_ so nicht funktionieren. Der Administrator hat nunmal _keine_ Leserechte auf diesen Ordner und solange weder der Administrator noch der angemeldete Benutzer (kann auch ein und derselbe sein) keine Leserechte haben, sie also von einem Benutzer mit dem Recht Sicherheitsattribute zu verändern _hinzugefügt_ wurden, geht da gar nichts.Als normaler Benutzer erwarte ich, daß
+ ich mich mit der Funktion jetzt eben kurzzeitig zum Administrator mache
+ der darf eben nach meinem Verständnis auf alles zugreifen
+ genau das tut der dann auch, und gut ist.
+ sich ansonsten nix verändert hat
Hi, Lefteous.
Zum einen: Erwartungshaltung bei "Als Administrator"
Man führe z.B. mittels Sysinternals psexec ein "psexec -u adminuser executablename" aus.
Dann passiert genau das, was zu erwarten ist: man meldet sich als adminuser an und führt unter diesem Account executablename aus.
Darf auch adminuser das nicht, dann hat man an der Stelle eben Pech gehabt.
psexec denkt gar nicht daran, irgendwelche Zugriffsrechte auf Objekte zu verändern, nur damit ein Kommando erfolgreich durchgeführt wird.
Wenn man "RunAS" oder "Als Administrator" sieht, dann erwartet man, daß die Aktion, die unter dem eigenen Account nicht durchgeführt werden kann, nun als Administrator läuft.
Wenn selbst der Administrator nicht die benötigten Zugriffsrechte hat, dann war es das an der Stelle eben.
Mir ist bewußt, daß im Endeffekt der Admin alles machen kann, und wenn er selbst nicht, dann eben als "Local System" (siehe "psexec -s" z.B.).
Ich rechne aber nicht damit, daß ein Funktione mit Namen "Als Administrator" meinem normalen Benutzeraccount zusätzliche Zugriffsbrechtigungen verschafft.
(Das will ich i.d.R. noch nicht mal, deswegen arbeite ich normalerweise eben nicht als Admin, sondern als normaler Benutzer.)
Zum anderen: Umfang der Rechtezuweisung bei "Als Administrator"
Habe versucht, das Verhalten, das ich vorhin auf meiner C: Partition (Windows läuft hier) gesehen habe, zu reproduzieren.
Geht in dem beschriebenen Umfang nicht mehr.
Es wird tatsächlich sowohl für "C:\System Volume Information", als auch für "E:\System Volume Information", durch die TC7 Funktion "Als Administrator" nur noch der ursprüngliche Benutzer "Karlchen" mit Leserechten hinzugefügt.
(So wie von dir, Lefteous, auch bestätigt.)
Laufwerk C: / E: vor TC7 "Als Administrator":
Vor TC7 "Als Administrator" hatte auch auf der ersten Maschine nur SYSTEM Zugriff auf "C:\System Volume Information".
Da ich das Ergebnis aber nicht reproduzieren kann, gehen wir mal von einem Fehler meinerseits in der Versuchsdurchführung aus. (Peinlich, peinlich )
Mein Fazit trotzdem:
Selbst wenn "Als Administrator" nur einem Benutzer zusätzlich Leserechte vergibt, so ist das bedenklich, denn es werden bewußt gewählte Zugriffsbeschränkungen verändert.
("System Volume Information" ist dafür lediglich ein schlechtes Beispiel, weil das nur vom System als schützenswert betrachtet wird, also scheinbar keine sensiblen Benutzerdaten enthält.).
Ich bleibe auch bei meiner Einschätzung, mit veränderten Zugriffsrechten muß kein Benutzer der Funktion "Als Administrator" rechnen.
Die Funktion macht einfach etwas anders, als sie vom Namen her vorgibt:
Der ursprüngliche Benutzer greift gar nicht als Administrator auf das gewählte Objekt zu, sondern der Administrator gibt ihm Leserechte auf das gewählte Objekt.
Karl
--
P.S.:
Sorry, wenn ich jetzt Urmels Thread "gehijackt" habe. Vielleicht kann ja einer der Moderatoren den Thread an der Stelle splitten, an dem das Hijacking beginnt.
Werde das Problem, das ich das meine erkannt zu haben, an anderen Ordnern weiterverfolgen, die nicht bereits vom System besonders selbst gegen Admins abgeschottet werden, sondern die z.B. nur einfach anderen Benutzern gehören.
Zum einen: Erwartungshaltung bei "Als Administrator"
Man führe z.B. mittels Sysinternals psexec ein "psexec -u adminuser executablename" aus.
Dann passiert genau das, was zu erwarten ist: man meldet sich als adminuser an und führt unter diesem Account executablename aus.
Darf auch adminuser das nicht, dann hat man an der Stelle eben Pech gehabt.
psexec denkt gar nicht daran, irgendwelche Zugriffsrechte auf Objekte zu verändern, nur damit ein Kommando erfolgreich durchgeführt wird.
Wenn man "RunAS" oder "Als Administrator" sieht, dann erwartet man, daß die Aktion, die unter dem eigenen Account nicht durchgeführt werden kann, nun als Administrator läuft.
Wenn selbst der Administrator nicht die benötigten Zugriffsrechte hat, dann war es das an der Stelle eben.
Mir ist bewußt, daß im Endeffekt der Admin alles machen kann, und wenn er selbst nicht, dann eben als "Local System" (siehe "psexec -s" z.B.).
Ich rechne aber nicht damit, daß ein Funktione mit Namen "Als Administrator" meinem normalen Benutzeraccount zusätzliche Zugriffsbrechtigungen verschafft.
(Das will ich i.d.R. noch nicht mal, deswegen arbeite ich normalerweise eben nicht als Admin, sondern als normaler Benutzer.)
Zum anderen: Umfang der Rechtezuweisung bei "Als Administrator"
Habe versucht, das Verhalten, das ich vorhin auf meiner C: Partition (Windows läuft hier) gesehen habe, zu reproduzieren.
Geht in dem beschriebenen Umfang nicht mehr.
Es wird tatsächlich sowohl für "C:\System Volume Information", als auch für "E:\System Volume Information", durch die TC7 Funktion "Als Administrator" nur noch der ursprüngliche Benutzer "Karlchen" mit Leserechten hinzugefügt.
(So wie von dir, Lefteous, auch bestätigt.)
Laufwerk C: / E: vor TC7 "Als Administrator":
Laufwerk C: / E: NACH TC7 "Als Administrator":C>psexec -s CACLS "C:\System Volume Information"
C:\System Volume Information NT-AUTORITÄT\SYSTEM:(OI)(CI)F
C>psexec -s CACLS "E:\System Volume Information"
E:\System Volume Information NT-AUTORITÄT\SYSTEM:(OI)(CI)F
Das bedeutet ganz klar, daß ich mich in meinem ersten Versuch irgendwie vergaloppiert haben muß, weil dort am Ende wesentlich mehr Benutzer Zugriffsrecht hatten.C>psexec -s CACLS "C:\System Volume Information"
C:\System Volume Information NT-AUTORITÄT\SYSTEM:(OI)(CI)F
Karlchen:R
Karlchen:(OI)(CI)(IO)(Beschränkter Zugriff:)
READ_CONTROL
GENERIC_READ
GENERIC_EXECUTE
C>psexec -s CACLS "E:\System Volume Information"
E:\System Volume Information NT-AUTORITÄT\SYSTEM:(OI)(CI)F
Karlchen:R
Karlchen:(OI)(CI)(IO)(Beschränkter Zugriff:)
READ_CONTROL
GENERIC_READ
GENERIC_EXECUTE
Vor TC7 "Als Administrator" hatte auch auf der ersten Maschine nur SYSTEM Zugriff auf "C:\System Volume Information".
Da ich das Ergebnis aber nicht reproduzieren kann, gehen wir mal von einem Fehler meinerseits in der Versuchsdurchführung aus. (Peinlich, peinlich
)Mein Fazit trotzdem:
Selbst wenn "Als Administrator" nur einem Benutzer zusätzlich Leserechte vergibt, so ist das bedenklich, denn es werden bewußt gewählte Zugriffsbeschränkungen verändert.
("System Volume Information" ist dafür lediglich ein schlechtes Beispiel, weil das nur vom System als schützenswert betrachtet wird, also scheinbar keine sensiblen Benutzerdaten enthält.).
Ich bleibe auch bei meiner Einschätzung, mit veränderten Zugriffsrechten muß kein Benutzer der Funktion "Als Administrator" rechnen.
Die Funktion macht einfach etwas anders, als sie vom Namen her vorgibt:
Der ursprüngliche Benutzer greift gar nicht als Administrator auf das gewählte Objekt zu, sondern der Administrator gibt ihm Leserechte auf das gewählte Objekt.
Karl
--
P.S.:
Sorry, wenn ich jetzt Urmels Thread "gehijackt" habe. Vielleicht kann ja einer der Moderatoren den Thread an der Stelle splitten, an dem das Hijacking beginnt.
Werde das Problem, das ich das meine erkannt zu haben, an anderen Ordnern weiterverfolgen, die nicht bereits vom System besonders selbst gegen Admins abgeschottet werden, sondern die z.B. nur einfach anderen Benutzern gehören.
Ich ging bis gerade davon aus, dass spätestens beim Verlassen des Programms die Rechte wieder geändert werden. Dem ist aber nicht so. Nach dem Schließen und Neustart des TC kam ich wieder in das Verzeichnis "System Volume Information".Lefteous wrote:...
Die Rechte wieder wegzunehmen wäre vielleicht gar keine so schlechte Idee. Die Frage ist nur wann dafür der richtige Zeitpunkt ist. Es könnte das Verlassen des Verzeichnisses sein. Aber was wenn mehrere Tabs des Verzeichnisses auf sind? Wie wäre es mit einem Timeout? Fragen über Fragen. Ich habe bislang noch keine gute Idee.
Dies birgt natürlich ein Sicherheitsproblem. Denn wenn der Rechner von mehreren Personen unter einem Konto genutzt wird, kann nachher jeder Nutzer in dem Verzeichnis seinen "Unfug" treiben.
Gruß,
Christian
Christian
-
sqa_wizard
- Power Member
- Posts: 3896
- Joined: 2003-02-06, 11:41 UTC
- Location: Germany
So wie die Funktion momentan implementiert ist (egal ob TC oder Vista) ist es eine Einbahnstraße, die sicherheitstechnisch sehr fragwürdig ist.
Wenn die ACL schon verändert wird, dann bitte nicht permanent und für den normalen Benutzer nicht mehr nachvollziehbar, bzw. rückgängig zu machen.
Sinnvoll wäre sicher ein "Admin Modus" der sich jede ACL-Aktion merkt und am Ende wieder rückgängig macht.
(sonst wird ja auch für jede Aktion eine Historie angelegt ...")
Der "Admin-Modus" könnte somit durch ein kleines modales Fenster/Dialog oder einen ins UI integrierten Knopf angezeigt und auch beendet werden.
Die Historie gewährleistet auch ein "verspätetes" Beenden des "Admin Modus" bei einem Neustart z.B. nach Absturz oder Logout.
Wenn die ACL schon verändert wird, dann bitte nicht permanent und für den normalen Benutzer nicht mehr nachvollziehbar, bzw. rückgängig zu machen.
Sinnvoll wäre sicher ein "Admin Modus" der sich jede ACL-Aktion merkt und am Ende wieder rückgängig macht.
(sonst wird ja auch für jede Aktion eine Historie angelegt ...")
Der "Admin-Modus" könnte somit durch ein kleines modales Fenster/Dialog oder einen ins UI integrierten Knopf angezeigt und auch beendet werden.
Die Historie gewährleistet auch ein "verspätetes" Beenden des "Admin Modus" bei einem Neustart z.B. nach Absturz oder Logout.
#5767 Personal license
Bei mir sieht das mit den Rechten nun wie folgt aus (unter Win2kPro):Lefteous wrote:2karlchen
Hi,
schön dass du das mit der Rechtezuweisung nochmal untersucht hast. Das wäre wirklich ein größeres Problem gewesen.
SYSTEM: Alle Kästchen bei Zulassen+ Verweigern leer)
Ich als Mitglied der Gruppe Administratoren:
- Lesen, Ausführen: Zulassen
- Ordnerinhalt auflisten: Zulassen
- Lesen: Zulassen
Und jetzt kommt's:
Jeder
- Vollzugriff: Zulassen
- Ändern: Zulassen
- Lesen, Ausführen: Zulassen
- Ordnerinhalt auflisten: Zulassen
- Lesen: Zulassen
- Schreiben: Zulassen
Überraschend nicht?
Zudem ist das Kästchen Vererbbare übergeordnete Berechtigungen übernehmen aktiviert.
Viele Grüsse
-Urmel-
Hallo, Lefteous.
Antwort auf deine Frage, welche Lösung ich mir vorstellen könnte, kommt noch.
--
Vorab aber nochmal Rückkehr zu der Frage, ob das Hinzufügen 1 Benutzers, "Karlchen", mit Leserechten zu "System Volume Information" ganze Gruppen hinzufügen kann, auch mit Schreibrechten:
Unter bestimmten Umständen: ja.
Konnte es doch noch reproduzieren, und zwar an einem lokalen Laufwerk F:, an dem ich noch nie nicht manuell an irgendwelchen Zugriffsrechten rumgefummelt habe - großes Indianerehrenwort!
(Schwindeln brächte ja auch nichts, weil zu viele Gegengutachten micht ratz-fatz überführen würden.)
--
Vorbemerkung:
"F:\System Volume Information" erbt, so wie Windows XP Prof Sp1 es anlegt, keine Rechte vom übergeordneten Objekt (Laufwerk F: ).
SYSTEM ist also direkt mit Vollzugriff eingetragen, vererbt nach unten, erbt aber nicht von oben.
"F:\System Volume Information" vor TC7 Als Administrator:
Als Karlchen rufe ich "Als Administrator" auf.
"F:\System Volume Information" NACH TC7 Als Administrator:
Es wurde nicht nur Karlchen mit R (read) explizit hinzugefügt, sondern auch durch Erben von F:\
+ Administratoren mit F (full control),
+ Besitzer mit F (full control),
+ Benutzer mit R (read)
Nun wird es also kompliziert, weil jetzt muß man echt mittels "Effektiven Rechten" überprüfen, was Ererbung plus explizit gesetzte Rechte für jeden einzelnen Benutzer bewirken.
Auf jeden Fall dürfen jetzt nicht nur SYSTEM alles und Karlchen lesen, sondern viele andere auch noch was.
---
FAZIT:
Wenn die Funktion "Als Administrator" auf einen Ordner angewendet wird, der keine Rechte von oben erbt, sondern selbst setzt, dann scheint die Chance zu bestehen, daß das Hinzufügen eines Read-Only Benutzers durch TC7 eine ungewollte Konsequenz nach sich zieht:
Die blockierte Vererbung wird reaktviert, und die ganze Rasselbande, die auf der Ebene über dem Ordner Rechte besitzt, erlangt sie auch in dem Ordner.
Warum das so ist, ob das zwangsweise so ist, ob das nur auf bestimmten NT-basierten Windows Versionen so ist, das alles kann ich nicht beurteilen. Habe ich alles noch nicht untersucht.
Jedenfalls belegt das für mich, daß die Arbeitsweise hinter "Als Administrator" sehr gefährlich sein kann.
(Sollte Vista tatsächlich auch so arbeiten, dann freue ich mich jetzt schon auf die 0-Days-Exploits.)
Karl
Antwort auf deine Frage, welche Lösung ich mir vorstellen könnte, kommt noch.
--
Vorab aber nochmal Rückkehr zu der Frage, ob das Hinzufügen 1 Benutzers, "Karlchen", mit Leserechten zu "System Volume Information" ganze Gruppen hinzufügen kann, auch mit Schreibrechten:
Unter bestimmten Umständen: ja.
Konnte es doch noch reproduzieren, und zwar an einem lokalen Laufwerk F:, an dem ich noch nie nicht manuell an irgendwelchen Zugriffsrechten rumgefummelt habe - großes Indianerehrenwort!
(Schwindeln brächte ja auch nichts, weil zu viele Gegengutachten micht ratz-fatz überführen würden.)
--
Vorbemerkung:
"F:\System Volume Information" erbt, so wie Windows XP Prof Sp1 es anlegt, keine Rechte vom übergeordneten Objekt (Laufwerk F: ).
SYSTEM ist also direkt mit Vollzugriff eingetragen, vererbt nach unten, erbt aber nicht von oben.
"F:\System Volume Information" vor TC7 Als Administrator:
Und nun passiert es:C>psexec -s CACLS "F:\System Volume Information"
F:\System Volume Information NT-AUTORITÄT\SYSTEM:F
Als Karlchen rufe ich "Als Administrator" auf.
"F:\System Volume Information" NACH TC7 Als Administrator:
Nun ist es passiert. Irgendetwas hat das Erben von oben für "F:\System Volume Information" (re-)aktiviert.C>psexec -s CACLS "F:\System Volume Information"
F:\System Volume Information NT-AUTORITÄT\SYSTEM:F
Karlchen:R
Karlchen:(OI)(CI)(IO)(Beschränkter Zugriff:)
READ_CONTROL
GENERIC_READ
GENERIC_EXECUTE
VORDEFINIERT\Administratoren:(OI)(CI)F
NT-AUTORITÄT\SYSTEM:(OI)(CI)F
ERSTELLER-BESITZER:(OI)(CI)(IO)F
VORDEFINIERT\Benutzer:(OI)(CI)R
VORDEFINIERT\Benutzer:(CI)(Beschränkter Zugriff:)
FILE_APPEND_DATA
VORDEFINIERT\Benutzer:(CI)(Beschränkter Zugriff:)
FILE_WRITE_DATA
Es wurde nicht nur Karlchen mit R (read) explizit hinzugefügt, sondern auch durch Erben von F:\
+ Administratoren mit F (full control),
+ Besitzer mit F (full control),
+ Benutzer mit R (read)
Nun wird es also kompliziert, weil jetzt muß man echt mittels "Effektiven Rechten" überprüfen, was Ererbung plus explizit gesetzte Rechte für jeden einzelnen Benutzer bewirken.
Auf jeden Fall dürfen jetzt nicht nur SYSTEM alles und Karlchen lesen, sondern viele andere auch noch was.
---
FAZIT:
Wenn die Funktion "Als Administrator" auf einen Ordner angewendet wird, der keine Rechte von oben erbt, sondern selbst setzt, dann scheint die Chance zu bestehen, daß das Hinzufügen eines Read-Only Benutzers durch TC7 eine ungewollte Konsequenz nach sich zieht:
Die blockierte Vererbung wird reaktviert, und die ganze Rasselbande, die auf der Ebene über dem Ordner Rechte besitzt, erlangt sie auch in dem Ordner.
Warum das so ist, ob das zwangsweise so ist, ob das nur auf bestimmten NT-basierten Windows Versionen so ist, das alles kann ich nicht beurteilen. Habe ich alles noch nicht untersucht.
Jedenfalls belegt das für mich, daß die Arbeitsweise hinter "Als Administrator" sehr gefährlich sein kann.
(Sollte Vista tatsächlich auch so arbeiten, dann freue ich mich jetzt schon auf die 0-Days-Exploits.)
Karl
Hi, an alle Beteiligten.
Habe gerade gesehen, daß Urmel und SQA_Wizard, während ich noch an meinem langweiligen, langatmigen Vortrag arbeitete, bereits ihre Beiträge fertig hatten.
Es be(un)ruhigt mich, daß sie in eine ähnliche Richtung deuten wie mein Geschreibsel.
Beruhigen: Liege mit meinen Versuchen nicht ganz daneben.
Beunruhigen: die Funktion "Als Administrator" hat wirklich ihre Tücken.
Zur Frage nach einer möglichen Lösung:
+ Einfach abschaffen nicht
+ So lassen wie es ist auf keinen Fall
+ Das tun, was das Label sagt, "Als Administrator" ausführen.
Was immer der Benutzer für eine Aktion ausgewählt hat - es gibt ja nicht bei allen "Als Administrator" - sie wird unter dem Admin-Account ausgeführt, dessen Anmeldeangaben (Name/Passwort), der Benutzer angegeben hat.
An den Zugriffsrechten des ursprünglich angemeldeten Benutzers wird dabei überhaupt nichts geändert.
De facto funktioniert das also wie Sysinternals "psexec -u admin -p passwd -e command_name" oder RunAs, beschränkt auf die gewählte Aktion: Verzeichnis anzeigen, Datei anzeigen, Datei kopieren etc pp.
Hat auch der Admin nicht genügend Zugriffsrechte, dann sollte eine Fehlermeldung das dem Benutzer sagen.
Karl
Habe gerade gesehen, daß Urmel und SQA_Wizard, während ich noch an meinem langweiligen, langatmigen Vortrag arbeitete, bereits ihre Beiträge fertig hatten.
Es be(un)ruhigt mich, daß sie in eine ähnliche Richtung deuten wie mein Geschreibsel.
Beruhigen: Liege mit meinen Versuchen nicht ganz daneben.
Beunruhigen: die Funktion "Als Administrator" hat wirklich ihre Tücken.
Zur Frage nach einer möglichen Lösung:
+ Einfach abschaffen nicht
+ So lassen wie es ist auf keinen Fall
+ Das tun, was das Label sagt, "Als Administrator" ausführen.
Was immer der Benutzer für eine Aktion ausgewählt hat - es gibt ja nicht bei allen "Als Administrator" - sie wird unter dem Admin-Account ausgeführt, dessen Anmeldeangaben (Name/Passwort), der Benutzer angegeben hat.
An den Zugriffsrechten des ursprünglich angemeldeten Benutzers wird dabei überhaupt nichts geändert.
De facto funktioniert das also wie Sysinternals "psexec -u admin -p passwd -e command_name" oder RunAs, beschränkt auf die gewählte Aktion: Verzeichnis anzeigen, Datei anzeigen, Datei kopieren etc pp.
Hat auch der Admin nicht genügend Zugriffsrechte, dann sollte eine Fehlermeldung das dem Benutzer sagen.
Karl
-
ghisler(Author)
- Site Admin
- Posts: 50841
- Joined: 2003-02-04, 09:46 UTC
- Location: Switzerland
- Contact:
Wie kann das sein? Ich frage nur die ACL des Ordners ab, und füge den entsprechenden User hinzu. Nur wenn dieser User schon in der ACL existiert, gebe ich diesem User Leserechte. Andere User fasse ich nicht an!
Author of Total Commander
https://www.ghisler.com
https://www.ghisler.com
Hallo, Christian.
Vielleicht muß das "Nichts-von-oben-erben-Flag" stets neu gesetzt werden bzw. das "Erbe-vom-übergeordneten-Objekt" stets explizit gelöscht werden?
Es könnte dabei auch ein Bug in Windows selbst zum Tragen kommen.
Hatte ja berichtet, daß ich das Wiederanspringen der Vererbung nicht mehr reproduzieren könne.
Dann gelang es mir mit einem noch nie veränderten "F:\System Volume Information" doch.
Bei den anderen "System Volume Information" hatte ich die geerbten und den von TC7 explizit hinzugefügten Benutzer Karlchen per GUI (Rechtsklick => Eigenschaften => Erweitert) nach dem jeweils ersten Aufrufen von "Als Administrator" wieder entfernt und das Erben vom übergeordneten Objekt wieder deaktiviert.
Danach war das Problem nicht mehr reproduzierbar, daß die Zugriffsrechte von C:\ und E:\ doch an "System Volume Information" vererbt wurden, wenn ich nach TC-Neustart wieder "Als Administrator" ausgewählt habe.
Mittlerweile läßt es sich auch mit "F:\System Volume Information" nicht mehr reprouzieren.
D.h. es scheint genau einmal aufzutreten: dann wenn Windows selbst das Verzeichnis angelegt und seine Zugriffsrechte gesetzt hat (ohne Erben).
Sobald man selbst das Erben für "System Volume Information" ausschaltet über die GUI, dann scheint es auch wirklich abgeschaltet zu bleiben.
Vielleicht besteht ein Teil des Problems darin, daß Windows selbst sich beim Erstellen der Zugriffsrechte und des Erbrechts in seinen eigenen Spielregeln verheddert, so daß der Ordner doch wieder erbt, sobald ein neuer Benutzer Rechte auf den Ordner bekommt.
Auf die Gefahr hin, mich zu wiederholen:
ich finde die Idee, beim Ausführen von "Als Administrator" dem aufrufenden Benutzer permanente Leserechte auf ein Objekt zu geben, eher befremdlich.
(Sollte das wirklich dem Vorgehen von Vista entsprechen, dann ändert das an der Einschätzung nichts. Microsoft tut viele befremdliche Dinge.)
Mit freundlichen Grüßen,
Karl
Gute Frage, auf die ich keine fundierte Antwort weiß.Wie kann das sein?
Vielleicht muß das "Nichts-von-oben-erben-Flag" stets neu gesetzt werden bzw. das "Erbe-vom-übergeordneten-Objekt" stets explizit gelöscht werden?
Hm, wenn das stimmt, dann fügst du ihn zuerst hinzu und prüfst dann, ob er existiert. Das ergibt immer wahr.Ich frage nur die ACL des Ordners ab, und füge den entsprechenden User hinzu. Nur wenn dieser User schon in der ACL existiert, gebe ich diesem User Leserechte.
Davon gehe ich aus.Andere User fasse ich nicht an!
Es könnte dabei auch ein Bug in Windows selbst zum Tragen kommen.
Hatte ja berichtet, daß ich das Wiederanspringen der Vererbung nicht mehr reproduzieren könne.
Dann gelang es mir mit einem noch nie veränderten "F:\System Volume Information" doch.
Bei den anderen "System Volume Information" hatte ich die geerbten und den von TC7 explizit hinzugefügten Benutzer Karlchen per GUI (Rechtsklick => Eigenschaften => Erweitert) nach dem jeweils ersten Aufrufen von "Als Administrator" wieder entfernt und das Erben vom übergeordneten Objekt wieder deaktiviert.
Danach war das Problem nicht mehr reproduzierbar, daß die Zugriffsrechte von C:\ und E:\ doch an "System Volume Information" vererbt wurden, wenn ich nach TC-Neustart wieder "Als Administrator" ausgewählt habe.
Mittlerweile läßt es sich auch mit "F:\System Volume Information" nicht mehr reprouzieren.
D.h. es scheint genau einmal aufzutreten: dann wenn Windows selbst das Verzeichnis angelegt und seine Zugriffsrechte gesetzt hat (ohne Erben).
Sobald man selbst das Erben für "System Volume Information" ausschaltet über die GUI, dann scheint es auch wirklich abgeschaltet zu bleiben.
Vielleicht besteht ein Teil des Problems darin, daß Windows selbst sich beim Erstellen der Zugriffsrechte und des Erbrechts in seinen eigenen Spielregeln verheddert, so daß der Ordner doch wieder erbt, sobald ein neuer Benutzer Rechte auf den Ordner bekommt.
Auf die Gefahr hin, mich zu wiederholen:
ich finde die Idee, beim Ausführen von "Als Administrator" dem aufrufenden Benutzer permanente Leserechte auf ein Objekt zu geben, eher befremdlich.
(Sollte das wirklich dem Vorgehen von Vista entsprechen, dann ändert das an der Einschätzung nichts. Microsoft tut viele befremdliche Dinge.)
Mit freundlichen Grüßen,
Karl