Gibt man aber in die URL Zeile c: ein, wird ein Explorer geöffnet, der die
Rechte von dem hat, der per RunAs die Bildschirmtastatur gestartet hatte, in
diesem Fall Adminrechte. Aber genau das wollte ich mit dem RunAs verhindern.
Wenn der IE8 vorher schon unter Adminrechten getartet war, dann hat man auch
im IE im Speichern unter... Dialog schon vollen Zugriff. Nicht schön das ist.
Ist das Problem bekannt und gibt es einen Fix dafür?
Am 02.12.2009 15:09, schrieb Diana:
> [runas explorer.exe] Ist das Problem bekannt und gibt es einen Fix dafür?
Bekannt und kein Fix.
Die Explorer Instanz ist das Problem. Man kann sie nicht per runas in
einem anderen Account öffnen, wenn sie oder Teile von ihr schon im
Namen eines User laufen.
Lösung:
- Arbeite als Benutzer
- passe fehlende Berechtigungen an, dann braucht es keinen runas
- oder arbeite anstelle von RunAs mit FUS, Fast User Switching.
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate
> Lösung:
> - Arbeite als Benutzer
> - passe fehlende Berechtigungen an, dann braucht es keinen runas
> - oder arbeite anstelle von RunAs mit FUS, Fast User Switching.
Hmm..., sieht mir nicht nach einer Lösung aus.
Die Dateien die dem Benutzer gehören, könnten von dem Gastnutzer, der eine
Eingabe in das Programm vom Benutzer durchführen soll, zerschossen werden.
Berechtigungen können nicht angepasst werden, die vom Benutzer benötigt aber
hinterrücks dem Gast zur Verfügung gestellt werden.
Fast User Switching scheidet auch aus, weil in der Session vom Benutzer,
durch den Gast, eingaben erfolgen sollen.
Sonst noch eine Idee?
ich bin mir nicht sicher, ob ich die Situation und vor allem die
Zielstellung richtig verstanden habe.
Verstanden habe ich folgendes:
Der Admin startet die Bildschirmtastatur im Kontext von Gast (per
RunAs). Von dort aus wird der IE und von da aus der WE gestartet.
Letzterer lᅵuft bei dir im Kontext des Admin-Kontos, du mᅵchtest aber,
daᅵ auch er im Kontext von Gast lᅵuft.
Aktiviere in den Ordneroptionen Ordnerfenster im eigenen Prozeᅵ zu starten.
Ob das hilft, habe ich nicht getestet, weil mir der Sinn des ganzen
nicht einleuchtet. Der Admin kann ein Explorerfenster sowieso immer im
eigenen Kontext starten. Auᅵerdem lassen mich Sᅵtze wie dieser
Am 02.12.2009 16:30 schrieb Diana:
> Die Dateien die dem Benutzer gehᅵren, kᅵnnten von dem Gastnutzer, der eine
> Eingabe in das Programm vom Benutzer durchfᅵhren soll, zerschossen werden.
daran zweifeln, ob ich das ganze nicht doch falsch verstanden habe. Eine
genauere Beschreibung hilft dann weiter.
--
Thomas
die Aufgabe hast Du richtig verstanden.
Ordnerfenster im eigenen Prozess starten ist schon gesetzt.
Zum Hintergrund. Eine Applikation auf einer Produktionsmaschine läuft, von
der kein Zugang zum Windows vorhanden ist. In bestimmten Sondersituationen
sind Eingaben per Bildschirmtastatur nötig. Die Applikation muss in der Lage
sein, auf Ihre Dateien und Daten zuzugreifen und läuft daher auf Admin Level
(könnte auch Benutzerlevel sein, hilft hier aber nicht weiter).
Der Benutzer soll aber nicht hinterrücks über andere Wege als von der
Applikation vorgegeben, Änderungen am Dateisystem durchführen können.
Deswegen der Start der Bildschirmtastatur als Gast, was aber leider nicht
geholfen hat.
Ich meine mal irgendwo gelesen zu haben, dass man konfigurieren kann, ob der
IE auf Laufwerke bzw. WE Modus umschaltet, wenn man in die URL einen
Laufwerksbuchstaben eingibt bzw. einen Pfad auf die Festplatte. Habs aber
nicht wieder gefunden.
> Im Info Dialog gibt es einen Link, um weitere Infos von der
> Micrsoft-Webseite zu erhalten. Wenn man den anklickt, startet der Internet
> Explorer und versucht die Seite anzuzeigen.
Es startet der auf dem System registrierte Standard-Browser. Du
k�nntest in der Registry den Eintrag f�r das http-Protokoll umbiegen
oder l�schen.
Ich wei� aber nicht, ob das zielf�hrend ist. Schlie�lich kann man auf
der Bildschirmtastatur auch einfach <Windows>+R eingeben, genau wie
auf der richtigen Tastatur auch. Die Bildschirmtastatur ist eigentlich
nicht daf�r gedacht, Eingaben zu *verhindern*.
usch
Am 03.12.2009 12:03 schrieb Diana:
> die Aufgabe hast Du richtig verstanden.
wenn ich ganz ehrlich bin, dann bin ich jetzt erstaunt.
Also so geht es nicht. Uwe hat dich ja schon darauf hingewiesen, daᅵ
der, der Eingaben machen kann (ob mit physischer Tastatur oder
Software-Tastatur) auch andere Prozesse starten kann.
Du schreibst, daᅵ Benutzerrechte fᅵr die zu tᅵtigenden Aufgaben reichen.
Warum erfolgt die Anmeldung dann nicht gleich in einem Benutzerkonto
(oder Gast)? Damit sind Rechte zum Schreiben im Windows-Ordner und im
Zweig Programme schon einmal weg.
Wenn es auch um weitere Beschrᅵnkungen geht, kann man fᅵr dieses Konto
fᅵr den Root-Ordner des Laufwerkes das Recht zum Erstellen von Ordnern
noch entfernen. (Dateien kᅵnnen Benutzer im Rootordner von vorne herein
nicht schreiben.) Damit bleibt dem Benutzer nur noch das Schreibrecht
innerhalb seines Kontos (Dokumente und Einstellungen\protect). Sollte es
noch weitere Ordner auf dem Laufwerk geben, entfernt man dort die
Schreibrechte fᅵr das Konto komplett.
Auch im Kontopfad kᅵnnte man eventuelle Beschrᅵnkungen machen,
allerdings kann ich nicht mit Sicherheit sagen, ob es Nebenwirkungen
gibt, zum Beispiel, wenn auch im Benutzer-temp-Ordner nicht geschrieben
werden kann.
Andererseits wᅵre zu prᅵfen, was an Dateien im Benutzerkonto so
schlimmes sein kᅵnnte, das ist von hier aus nicht zu ᅵbersehen.
Vorstellbar wᅵre, daᅵ verhindert werden soll, daᅵ jemand auf diesem Weg
eine ausfᅵhrbare Datei einschmuggelt und dann ausfᅵhrt. Fᅵr diesen Fall
kann man aber fᅵr dieses Konto (den oben bereits genannten Pfad,
zusᅵtzlich auch fᅵr das Konto All Users) das Recht zum Ausfᅵhren von
Programmen entfernen, dann kann der hypothetische Saboteur (so klingt
das fᅵr mich) bestenfalls nur tote Bytes ablegen. Und wenn man auch da
einen Riegel vorschieben will, setzt man eine sehr enge Kontingentierung
fᅵr dieses Konto. - Bei dieser Lᅵsung wᅵre aber zu prᅵfen, ob besagte
Applikation darauf angewiesen ist, im temp-Ordner ausfᅵhrbare Dateien
anzulegen und auszufᅵhren, dann wird es richtig schwierig.
--
Thomas
war mit anderen Aufgaben zugefrachtet (nächste Release), so dass ich jetzt
erst wieder dazu komme, hier anzuknüfen.
Danke für Deine ausführliche Antwort (auch an Uwe). Es wäre sicher schon mal
ein Vorteil, nur als Benutzer angemeldet zu sein, weil dann das Windows
Verzeichnis geschützt wäre und auf andere Laufwerke könnte man ebenfalls den
Schutz erhöhen.
Ein zu lösendes Problem dabei ist, dass für Updates, Admin Rechte benötigt
werden und die Applikation nicht dafür geschrieben ist, mit verschiedenen
(Admin/Benutzer) Levels zu arbeiten, ohne Frage ein Designfehler.
Es bleibt dennoch das Problem, dass die Applikation Ihre eigenen Daten
normalerweise geordnet und sicher über das GUI der Applikation bearbeitet und
der Benutzer sich nicht über die Bildschirmtastatur zugang dazu verschaffen
können soll.
Da wir unsere eigene Shell haben, kann man z.B. Windows+R nicht ausführen.
Aber mit Ctrl+Shift+ESC bekommt man den Taskmanager, womit das dann doch
wieder geht.
Der Vorschlag von Uwe den Standardpfad für den Browser zu löschen oder zu
verbiegen, hilft auch nicht direkt weiter, weil für Service Zwecke (z.B.
Einsicht in Service Dokus) der Browser auch noch zum Einsatz kommen soll und
das Problem wieder da ist.
Im Moment sehe ich noch keine befriedigende Lösung.
Heute habe ich allerdings etwas neues festgestellt. Wenn ich das Gastkonto
freischalte und mit RunAs als Gast die Bildschirmtastur starte, dann habe ich
wie gewünscht auf C gar keine Schreib-/Löschberechtigung.
Wohl aber auf D, obwohl dort für Guest nur Lesen\Ausführen erlaubt ist.
Schänke ich jedoch die Benutzer auch auf Lesen\Ausführen ein, dann habe ich
eigentlich das, was ich wollte, tja, wenn mir wie oben beschrieben der
Taskmanager nicht dazischen funken würde aber dessen Startmöglichkeit kann
man sicher unterbinden oder?
Es muss zwar noch irgendwie eine Lücke im System geben, sonst hätte ich
letztens nicht auf C löschen können, aber im Moment kann ich die nicht
reproduzieren.
mir fᅵllt es weiterhin schwer zu erkennen, was im Einzelnen du
beschreibst. Zum Beispiel hier:
Am 10.12.2009 16:23 schrieb Diana:
> Ein zu lᅵsendes Problem dabei ist, dass fᅵr Updates, Admin Rechte benᅵtigt
Von welchen Updates ist die Rede: Windows oder besagte Applikation?
Windows-Updates kᅵnnen ᅵber Auto-Updates installiert werden, dafᅵr
braucht es keine Anmeldung im Admin-Konto. Applikation: Wie oft kommt
das vor? Klar, daᅵ dafᅵr die Applikation mit administrativen Rechten
oder im Admin-Konto ausgefᅵhrt werden muᅵ, das ist aber bei jedem
Programm der Fall, also keine Besonderheit.
> werden und die Applikation nicht dafᅵr geschrieben ist, mit verschiedenen
> (Admin/Benutzer) Levels zu arbeiten, ohne Frage ein Designfehler.
Ich kenne das Programm nicht und nur aus diesem Grund sage ich nicht
sofort: Stimmt nicht. Ich sage aber: Das glaube ich nicht. Ich kann mir
gut vorstellen, daᅵ das Programm es nicht erlaubt, mit mehreren
Instanzen gleichzeitig ausgefᅵhrt zu werden, zum Beispiel einmal normal
im Kontext des angemeldeten Benutzers und ein weiteres mal ᅵber RunAS;
daᅵ es mit RunAs grundsᅵtzlich nicht gehen soll, wage ich zu bezweifeln.
Sollte ich falsch liegen, so mᅵᅵtest du mitteilen, warum nicht, also was
dann passiert oder nicht passiert.
Warum aber soll es notwendig sein, das Programm mit zwei Instanzen
gleichzeitig auszufᅵhren, oder mit anderen Worten: Worin besteht
diesbezᅵglich die Einschrᅵnkung?
> Es bleibt dennoch das Problem, dass die Applikation Ihre eigenen Daten
> normalerweise geordnet und sicher ᅵber das GUI der Applikation bearbeitet und
> der Benutzer sich nicht ᅵber die Bildschirmtastatur zugang dazu verschaffen
> kᅵnnen soll.
Wieso ist die Bildschirmtatstatur plᅵtzlich ein Problem, wenn im OP
beschrieben worden ist, daᅵ diese eingesetzt wird. Und wenn es denn so
ist, so lᅵsche die osk.exe einfach (oder benenne sie zu
osk.exe.Umbenannt um).
> Da wir unsere eigene Shell haben, kann man z.B. Windows+R nicht ausfᅵhren.
> Aber mit Ctrl+Shift+ESC bekommt man den Taskmanager, womit das dann doch
> wieder geht.
Verstehe ich ebensowenig. Es ging doch um das Verhindern, daᅵ Programme
mit erhᅵhten Rechten (die durch Vererbung aus einem erhᅵht gestarteten
Prozeᅵ entstehen) gestartet werden. Was hat der Task Manager damit zu
tun? Ein eingeschrᅵnkter Benutzer kann aus dem im eigenen Kontext
gestarteten Manager nichts erhᅵht aufrufen, zumindest nicht, solange er
das Admin-Paᅵwort nicht kennt - was ich voraussetze.
> Der Vorschlag von Uwe den Standardpfad fᅵr den Browser zu lᅵschen oder zu
> verbiegen, hilft auch nicht direkt weiter, weil fᅵr Service Zwecke (z.B.
> Einsicht in Service Dokus) der Browser auch noch zum Einsatz kommen soll und
> das Problem wieder da ist.
Unter Servicezwecke verstehe ich administrative Aufgaben. Also nimm dem
Benutzerkonto das Recht zum Ausfᅵhren, der Browser bleibt fᅵr andere
Konten dadurch unverᅵndert verfᅵgbar.
> Heute habe ich allerdings etwas neues festgestellt. Wenn ich das Gastkonto
> freischalte und mit RunAs als Gast die Bildschirmtastur starte, dann habe ich
> wie gewᅵnscht auf C gar keine Schreib-/Lᅵschberechtigung.
Noch einmal: Ich habe verstanden und auch geschrieben, daᅵ die
Applikation per se keine erhᅵhten Rechte braucht, dem hast du nicht
widersprochen. Wozu wird jetzt die mit erhᅵhten Rechten gestartet
Bildschirmtatstatur denn nun wirklich benᅵtigt? Und: Das geht ja nur,
wenn der Benutzer (oder Gast) das Admin-Kennwort kennt. Da ihr
anscheinend sehr miᅵtrauisch seit, kann ich die Weitergabe des
Kennwortes nun gar nicht mehr nachvollziehen. Wer das Kennwort kennt,
den kannst du an gar nichts hindern.
Falls du an dieser Stelle immer noch den Aufruf aus dem Admin-Konto mit
RunAs als Gast meinst: Wir waren schon so weit, daᅵ das nicht zum Ziel
fᅵhren *kann*. Und erste recht gilt hier: Wer Zugang zum Admin-Konto
hat, den kannst du an gar nichts hindern, der Ansatz ist von vorne
herein falsch und zum scheitern verurteilt.
> Wohl aber auf D, obwohl dort fᅵr Guest nur Lesen\Ausfᅵhren erlaubt ist.
> Schᅵnke ich jedoch die Benutzer auch auf Lesen\Ausfᅵhren ein, dann habe ich
> eigentlich das, was ich wollte, tja, wenn mir wie oben beschrieben der
> Taskmanager nicht dazischen funken wᅵrde aber dessen Startmᅵglichkeit kann
> man sicher unterbinden oder?
s.o. Entweder ist deine Beschreibung miᅵverstᅵndlich - dann kann ich
zumindest dir auch keinen Rat geben - oder du muᅵt dich davon lᅵsen, daᅵ
sich der Bediener im Admin-Konto anmeldet.
--
Thomas
hatte einige Tracker zu bearbeiten. Sorry, dass das hier so zögerlich geht.
Muss vielleicht doch noch mal auf das Umfeld eingehen, damit das Problem
klarer wird.
Es geht hier um eine Produktionsmaschine (Maschinenbau), auf der ein PC
Board installiert ist, mit XP Embedded als OS. Die Windows Shell ist durch
eine eigene ersetzt, zu der der Kunde aber kein Zugang hat, beim Start wird
gleich unsere Appl. gestartet. Über unsere Bedieneroberfläche kann man
Updates sowohl von der Applikation einspielen als auch wenn nötig, Windows
Komponenten austauschen, wofür Admin Rechte gebraucht werden. Es wird nicht
der Windows Update Mechanismus verwendet. Die Maschinen sind auch nicht immer
vernetzt.
Die Maschinen sind deswegen geschützt, weil es immer wieder vorkam, das
Schichtarbeiter die Platte zerschossen oder für die lange Nachtschicht Spiele
aufgespielt haben und es daher immer wieder ärger gab. C ist zudem mit einem
EWF Filter geschützt.
Die Applikation läuft auf Admin Level, was besagte Probleme aufwirft, wenn
es einem gelingt am Appl. GUI vorbei zu kommen. Die Anmeldung erfolgt per
AutoLogin. Aber gehen wir mal davon aus, dass man nur als Benutzer angemeldet
wird und somit die Applikation auf Benutzerlevel läuft, an dem man aber
dennoch über das OSK vorbei kommen kann und Zugriff auf den Datenbestand des
Benutzers hat (natürlich nur auf Benutzerlevel).
Das OSK wird nur ganz selten benötigt. In der Regel wird die Maschine über
einen Touch bedient. Für Eingaben kann aber auch eine Tastatur angeschlossen
sein und falls die fehlt gibt es zur Not das OSK.
Benötigt wird das OSK als Notbehelf, wenn man auf die Serviceebene gelangen
will (mit zusätzlichem Passwort geschützt) oder Eingaben in externe Programme
(Browser, Bluetooth Konfiguration...) nötig sind aber keine USB Tastatur
angestöpselt ist.
Wenn die Applikation auf Benutzerlevel läuft und per RunAs das KeyBoard auf
Gast Level, dann sollte es nicht möglich sein, über den Explorer den
Datenbestand vom Benutzer zu ändern, darum geht es. Das Programm samt Daten
sollen nur über das Appl. GUI geändert werden, dass dazu auf Benutzerlevel
läuft. Ein 'unerlaubt' gestarteter Explorer auf Benutzerlevel würde
Veränderungen am Datenbestand erlauben, was unterbunden werden soll. Programm
und Daten befinden sich auf Laufwerk D.
Die Aufgabe ist es zu verhindern, dass der Schichtarbeiter unerlaubte
Änderungen am Plattenstand vornimmt.
Zur Lücke Task Manager: Den kann man per Registry sperren, so dass er nicht
per Hot Key (Ctrl-Shift-Esc) startbar ist.
ich glaube nicht, daᅵ ich aus der Entfernung noch weiter fᅵhrende Tips
geben kann, dafᅵr scheint die Situation zu speziell.
Vielleicht hilft es, das OSK mit einem Programm wie Protect EXE (zum
Beispiel hier: http://download.chip.eu/de/Protect-Exe-0.4_597302.html)
oder ᅵhnlichem abzusichern.
--
Thomas
> Vielleicht hilft es, das OSK mit einem Programm wie Protect EXE (zum
> Beispiel hier: http://download.chip.eu/de/Protect-Exe-0.4_597302.html)
> oder ähnlichem abzusichern.
Das hilft leider nicht, der Anwender soll das OSK ja beutzen können und der
Passwortschutz ändert an den erworbenen Rechten nichts.
An dem was ich will, bin ich aber relativ dicht dran. Habe die Lücke
gefunden, weiss aber noch nicht wie man die sinnvoll schliesst.
Wenn ich das Gast Konto freischalte oder auch ein neues Anlege und osk per
runas darunter laufen lasse, ist Laufwerk D ungeschützt. Erst wenn ich von
der Users Gruppe die Schreib- und Löschrechte wegnehme, dann hat das
Gastkonto auch keine Schreib\Lösch-Berechtigung auf D.
Das ist leider unabhängig davon, wie ich die Rechte vom Guest einschränke.
Es wirken die von der Usergruppe. Kannst Du mir da weiter helfen?
Gruß
Diana
PS: Bin nur noch heute da und dann ab 11.01.10 wieder. Danke an Dich und die
Anderen für die unermüdliche Unterstützung, frohe Weihnachten und einen guten
Rutsch.