Laden...

Programm als Administrator laufen, ohne Bestätigung durch den Nutzer

Erstellt von Crone vor 11 Jahren Letzter Beitrag vor 11 Jahren 10.606 Views
C
Crone Themenstarter:in
168 Beiträge seit 2010
vor 11 Jahren
Programm als Administrator laufen, ohne Bestätigung durch den Nutzer

Hallo zusammen,

Ich würde gerne ein Programm als Administrator starten, jedoch möchte ich dies ohne die aufforderung von den Benutzern (diese haben nur eingeschränkte Konten).

Ich möchte nun die Administrator daten im Programm hinterlegen und diese dann automatisch nutzen um das Programm als Administrator zu nutzen.

Ist so etwas möglich? Wenn Ja wie? konnte bisher leider nichts finden.

Danke im vorraus,

Gruß Marcel

Real programmers don't comment their code - it was hard to write, it should be hard to understand.

5.657 Beiträge seit 2006
vor 11 Jahren

Hi Crone,

es ist ja gerade der Sinn des UAC, daß das nicht so geht. Dein Programm kann die Rechte anfordern, aber sich nicht selbst zuteilen.

Schöne Grüße,
Christian

Weeks of programming can save you hours of planning

C
2.121 Beiträge seit 2010
vor 11 Jahren

Naja Sinn...
Ich finds schon ziemlich seltsam dass man z.B. Visual Studio nicht irgendwie auf "als Admin starten" umschalten kann, ohne dass jedes mal diese Meldung erscheint. Der Admin an sich sollte das doch wenigstens einstellen können.
Falls da jemand was weiß, bitte dringend melden.

5.657 Beiträge seit 2006
vor 11 Jahren

Hi chilic,

klar kannst du VisualStudio mit Admin-Rechten ausführen lassen: Rechte Maustaste aufs Icon im Startmenü -> Eigenschaften -> Erweitert -> Als Admin ausführen. Aber bestätigt werden muß es trotzdem bei jedem Start.

Christian

Weeks of programming can save you hours of planning

49.485 Beiträge seit 2005
vor 11 Jahren

Hallo zusammen,

ich denke, man muss hier zwei Sachen unterscheiden. Das Anfordern der Adminrechte und die Bestätigung durch den Benutzer.

Natürlich macht es keinen Sinn, wenn eine Anwendung bei einem AccessDenied einfach mit dem Fuß aufstampfend müsste ("will aber!"), um Adminrechte zu bekommen. Wenn sich die Anwendung dagegen als berechtigt ausweisen kann, also z.B. Adminkonto und Passwort kennt (wobei es natürlich ein Sicherheitsrisiko ist, wenn das Passwort in der Anwendung oder für die Anwendung zugänglich gespeichert ist), spricht ebenso natürlich nichts dagegen, dass sie die Rechte bekommt. Und natürlich kann auch - während ein einfacher Benutzer angemeldet ist - gleichzeitig ein Dienst mit Adminrechten laufen. Es ist also keineswegs so, dass während ein normaler Benutzer angemeldet ist, keine Aufgaben mit Adminrechten durchgeführt werden können.

Anderseits möchte man nicht, dass sich ein Programm, das sich unberechtigt Adminrechte verschafft (hat), ungehindert auf dem Rechner austoben kann. Deshalb gibt es die UAC, die den Benutzer (unabhängig von seinen eigenen Rechten) auf Adminzugriffe hinweist und seine Erlaubnis dazu einholt. Zwar kann man (als Admin) die UAC (komplett und global) ausschalten, aber es wäre nicht sinnvoll, wenn ein einzelnes Programm verhindern könnte, dass bei seinen Adminzugriffen keine UAC-Frage kommt. Dann wäre die UAC vollkommen sinnlos.

Korrigiert mich, wenn ich irgendwas übersehen habe.

herbivore

C
258 Beiträge seit 2011
vor 11 Jahren

Deshalb gibt es die UAC, die den Benutzer (unabhängig von seinen eigenen Rechten) auf Adminzugriffe hinweist und seine Erlaubnis dazu einholt.

Wobei die Sinnhaftigkeit dieser dem User ins Gesicht geworfenen Nachrichten sowieso bezweifelt werden kann, ich kenne kaum jemand der sich die Mühe macht bei jedem mal klicken darüber nach zu denken.

Nachdem deine User ja sowieso nur eingeschränkte Kontan haben, weiß ich nicht wie kritisch es ist die UAC generell auszustellen.

War damals das erste was ich ausgeschalten habe, bin mir vorgekommen wie bei der Millionenshow... "Sind sie sich wirklich sicher..."

49.485 Beiträge seit 2005
vor 11 Jahren

Hallo Console32,

ich habe zugegeben selbst den Begriff "Sinn" mehrfach benutzt, aber im Grunde ist die Sinnhaftigkeit der UAC nicht Thema des Threads. Aber natürlich hast du Recht, dass das Abschalten möglich und damit das Ziel des Fragestellers grundsätzlich zu erreichen ist. Darüber, wie viel Sicherheit man dadurch verliert, könnte man sich streiten, aber ich denke, das das ist ganz überwiegend Ansichtssache.

herbivore

16.806 Beiträge seit 2008
vor 11 Jahren

Ihr müsst euch auch mal alle im Klaren sein, dass der private Bereich bei Windows nur eine "kleine" Rolle spielt.
Vor allem in Großunternehmen bringt dieses UAC schon enorm viel bzw. eine enorme Hürde für "Eindringlinge" und kann durch Policies vom Benutzer auch nicht deaktiviert werden.

UAC ist hier ein riesen Schritt nach Vorne - auch wenn über die Sinnhaftigkeit der vielen Dialoge ebenso viel diskuiert werden kann.
Eingeschränkte Benutzer haben hier auch nichts mit UAC zutun; das lernt man spätestens, wenn man mit den Security-Token arbeiten muss.
Aktuelles Beispiel in meinem Job wäre hier der Zugriff auf gemappte Laufwerke mittels eingeschränkten Rechten: funktioniert ohne Token-Zugriff nicht.

Trotzdem: lernt, über den Tellerrand zu schauen und nicht immer sich und sein Umfeld als Zenit zu betrachten.

49.485 Beiträge seit 2005
vor 11 Jahren

Hallo Abt,

lernt, über den Tellerrand zu schauen und nicht immer sich und sein Umfeld als Zenit zu betrachten.

meine Rede. Allerdings habe ich den Eindruck, dass du selbst es daran leider oft mangeln lässt. 😃

Vor allem in Großunternehmen bringt dieses UAC schon enorm viel, ...

Im professionellen Umfeld, gerade bei Großunternehmen, gibt es vielfältige Abwehrmaßnahmen, um Schädlinge draußen zu halten, nicht nur die normalen Firewalls und Virenscanner, sondern auch spezialisiere Scanner für eingehenden Daten-Verkehr, Filtersoftware, Intrusion-Detection-Systeme und der gleichen mehr. Nach diesen ganze Stufen ist es unwahrscheinlich, dass die Endbenutzer - die auch in Großunternehmen ganz überwiegend Laien in Sicherheitsfragen sind - mit UAC noch einen nennenswerten Beitrag zur Schadensabwehr beitragen können und wenn sie es im einem Einzelfall tatsächlich tun, sollte die betreffende Firma ihr Sicherheitskonzept dringend überdenken.

herbivore

M
184 Beiträge seit 2012
vor 11 Jahren

Soweit ich weiß, gibt es aber auch eine Möglichkeit, eigene Ausnahmen für die UAC anzulegen.
Benutzerkontensteuerung (UAC) für bestimmte Anwendungen deaktivieren

Wenn es also nur darum geht, nicht jedes mal die UAC zu bestätigen, wenn man VS startet, dann wäre das vielleicht eine Lösung.

16.806 Beiträge seit 2008
vor 11 Jahren

Nach diesen ganze Stufen ist es unwahrscheinlich, dass die Endbenutzer - die auch in Großunternehmen ganz überwiegend Laien in Sicherheitsfragen sind - mit UAC noch einen nennenswerten Beitrag zur Schadensabwehr beitragen können und wenn sie es im einem Einzelfall tatsächlich tun, sollte die betreffende Firma ihr Sicherheitskonzept dringend überdenken.

Egal wie viel Stufen vor dem Client sind, sei es durch die von Dir genannten Dinge oder weitere Filter, Policies. Am Ende gibt es immer ein Mittel, um eine Exe auf einen Rechner zu bekommen.
Es gibt nicht nur die Angriffe durch externe, sondern auch durch die eigenen Mitarbeiter - vor allem in größeren Unternehmen.

Jaja, UAC bringt dann auch nichts mehr, wenn es gewollt ist...

Zudem kannst Du in gewissen Abteilungen überhaupt nicht damit arbeiten.
Jeder Entwickler in einer größeren Firma sollte es wissen, dass die Interessen zwischen der hiesigen IT und der Entwicklungsabteilung "gegenläufig" sind.
Dahingegen ist UAC ein sehr gutes Hilfsmittel - wenn auch nicht für jeden Ersichtlich. Ist aber auch egal. Den Zweck erfüllt es, auch wenn die Entwickler es hassen.

49.485 Beiträge seit 2005
vor 11 Jahren

Hallo Abt,

Am Ende gibt es immer ein Mittel, um eine Exe auf einen Rechner zu bekommen.

sicher, aber für die Beurteilung, ob UAC einen - wie du meinst - enormen Nutzen hat, kommt es darauf an, wieviel Prozent der Schäden durch UAC und wieviel durch andere Maßnahmen verhindert werden. In einer Firma, wo UAC einen enormen Nutzen hat, wo also eine Vielzahl oder auch nur ein nennenswerter Prozentsatz von Schäden (erst) durch UAC verhindert wird, möchte ich lieber nicht arbeiten.

Dass das Arbeiten mit eingeschränkten (Benutzer-)Rechten einen guten zusätzlichen Schutz bietet, ist natürlich eine ganz andere Sache. Aber wir reden hier ja nur über den Schutz durch (nicht ausgeschaltete) UAC-Abfragen. Vielleicht ist das der Punkt, an dem wir aneinander vorbei geredet haben.

herbivore

175 Beiträge seit 2010
vor 11 Jahren

Ich würde gerne ein Programm als Administrator starten, jedoch möchte ich dies ohne die aufforderung von den Benutzern (diese haben nur eingeschränkte Konten).

Ich habe letztens auf heise.de gelesen, dass Firefox 12 sich selber aktualisieren kann - und zwar indem es einen Update-Prozess als Admin startet, ohne dabei selber Admin Rechte zu haben (und ohne UAC-Fenster)...

Vielleicht funktioniert die dort angewendete Technik ja auch in Deinem Fall:

Order of ACEs in a DACL

Bye,
Michael

Debuggers don't remove Bugs, they only show them in Slow-Motion.

16.806 Beiträge seit 2008
vor 11 Jahren

Bei mir kam gestern das Firefox 12 Update und er wollte eine UAC-Bestätigung.
Das ist mir deswegen in Erinnerung, da sich mein Build-Prozess - war auch immer - dahingegend aufgehangen hat.

2.891 Beiträge seit 2004
vor 11 Jahren

Ich habe letztens auf heise.de gelesen, dass Firefox 12 sich selber aktualisieren kann - und zwar indem es einen Update-Prozess als Admin startet, ohne dabei selber Admin Rechte zu haben (und ohne UAC-Fenster).

Aber auch nur, weil im Hintergrund ein Update-Dienst installiert wird (der von sich aus ausreichend Rechte hat) - und um diesen zu installieren, musst du die UAC-Abfrage bestätigen. (Ob der Dienst aktiv ist, sieht man unter Einstellungen/Erweitert/Update/"Einen Hintergrund-Service verwenden, um Updates zu installieren". Siehe auch Silencing Updates

Ansonsten auch zum eigentlichen Thema passend:

Zitat von: Firefox 12 released with UAC-less update system on Windows
There are a number of different approaches that software applications can use to avoid triggering the UAC dialog during updates. Google’s Chrome Web browser, for example, installs itself in the user’s home directory rather than a destination on the filesystem that would require elevated privileges to modify. Mozilla was reluctant to take that approach for various security reasons, and opted instead to build their updater on top of a service.

175 Beiträge seit 2010
vor 11 Jahren

Bei mir kam gestern das Firefox 12 Update und er wollte eine UAC-Bestätigung.

Yepp... aber diese UAC-Bestätigung kommt (so habe ich es gelesen - hab nich keinen 12er drauf) nur einmal - danach nie wieder....

Und um auf den Ursprungspost zurückzukommen: Mit dieser "Technik" (einmaliges abnicken der UAC sowie einem Access Control Entry) könnet u. U. die Anforderung vom Ursprungsposter erfüllt werden...

Bye,
Michael

Debuggers don't remove Bugs, they only show them in Slow-Motion.

C
Crone Themenstarter:in
168 Beiträge seit 2010
vor 11 Jahren

Wenn sich die Anwendung dagegen als berechtigt ausweisen kann, also z.B. Adminkonto und Passwort kennt (wobei es natürlich ein Sicherheitsrisiko ist, wenn das Passwort in der Anwendung oder für die Anwendung zugänglich gespeichert ist), spricht ebenso natürlich nichts dagegen, dass sie die Rechte bekommt.

Genau das ist es was ich möchte 😃. Ich möchte mein Programm die Logindaten mit geben... Ich frag mich nur wie ich mich als Admin dann automatisiert einlogge...

Real programmers don't comment their code - it was hard to write, it should be hard to understand.

175 Beiträge seit 2010
vor 11 Jahren

Genau das ist es was ich möchte 😃. Ich möchte mein Programm die Logindaten mit geben... Ich frag mich nur wie ich mich als Admin dann automatisiert einlogge...

Vielleicht helfen Dir die Links weiter:

How to Impersonate
Safely Impersonating Another User

Aber aus dem Bauch heraus beführchte ich jedoch, dass diese Techniken auch nicht helfen (LogonUser, ImpersonateLoggedOnUser und/oder CreateProcessAsUser), weil auch dann beim Zugriff auf "geschützte Objekte" der UAC-Dialog aufpoppen sollte (soweit zumindest mein Verständnis der UAC). Aber ist ist ja mal einen Versuch wert....

Bye & viel Erfolg!
Michael

Debuggers don't remove Bugs, they only show them in Slow-Motion.

C
Crone Themenstarter:in
168 Beiträge seit 2010
vor 11 Jahren

Die UAC sollte nicht das problem darstellen ich werde nur einmalig aufgefordert mich als Admin einzuloggen und genau das soll das programm selbst machen weiter meldungen kommen im normal fall nicht. Ich werde mir die Links mal anschauen 😃 danke

Real programmers don't comment their code - it was hard to write, it should be hard to understand.