mehr dürfen

[ geschrieben am 15.08.2010 in blog: der maschinist | tags: #, #, #, #, # ]

„user normalverbraucher“ braucht keine administrativen rechte auf dem pc, um ein wenig zu surfen oder ein office-dokument zu erstellen. in der unixwelt war die abgrenzung der userprivilegien von anfang an sehr konsequent umgesetzt, was dazu führte, dass bis heute das klischee „unix == sicher“ herrscht. aber auch microsoft haben in den vergangenen jahren dazu gelernt und fragen mittlerweile zumindest nach, wenn eine potenziell systemkritische aktion ausgeführt werden muss, ebenso wie es osx und verschiedene linux-distributionen seit jahren machen.

das lustige ist, dass sich genau die über jahre vom schlechten sicherheitskonzept ihres produktes gebeutelte windowswelt heute oft über die „nagscreens“ à la „wollen sie wirklich…“ beschweren. und leider lässt sich das feature auch nur global für den benutzer oder sogar das gesamte windows-vista- bzw. windows-7-system deaktivieren: und zwar, indem man…

  • …in den einstellungen des entsprechenden benutzerkontos auf „benutzerkontensteuerung ein- oder auschalten“ klickt und nach einer letzten eingabe des adminpasswortes den haken im kontrollkästchen „verwenden sie die benutzerkontensteuerung, um zum schutz des computers beizutragen“ entfernt.
     
  • …die systemkonfiguration über den befehl msconfig startet, den reiter „tools“ wählt, den punkt „uac-einstellungen ändern“ doppelklickt, den regler ganz nach unten zieht und das ganze mit „ok“ bestätigt.
     
  • …den windows-registry-editor mit dem befehl regedit öffnet, zum registryschlüssel „hkey_local_machine software microsoft windows currentversion policies system“ navigiert und dort zwei d-word-schlüssel mit den namen „EnableLUA“ und „ConsentPromptBehaviorAdmin“, jeweils mit dem wert „0“, erstellt.
     

reboot natürlich nicht vergessen. 😉

insgesamt eine ziemliche dampfhammermethode, die beweist, dass microsoft nach wie vor nicht wirklich gut im abkupfern von ideen geworden sind … unter allen mir bekannten unix-varianten gibt es -zumindest, so lange ich damit arbeite- eine viel flexiblere und feiner granulierbare lösung: sudo. klar, unter windows existiert der befehl runas. hier wird aber die passwortlose anhebung der benutzerrechte (nach einmaligem einsatz des parameters /savecred) global ermöglicht und nicht befehlsbezogen – was den einsatz des parameters zu einem ernsthaften sicherheitsloch mutieren lassen kann. 🙁

nundenn, wie gesagt: unix kann das besser. ich beziehe mich im folgenden auf meine lieblings-linux-distribution „ubuntu“ – das prinzip ist jedoch überall das gleiche und wird -wenn überhaupt- nur minimal abweichen. der befehl sudo wird einem systemkritischen befehl (z.b. fdisk) vorangestellt und erlaubt es nach der eingabe des root-passwortes, diesen auch als unprivilegierter benutzer auszuführen.

um sudo nutzen zu können, muss man in der konfigurationsdatei /etc/sudoers eingetragen sein. unter ubuntu genügt die mitgliedschaft in der gruppe „admin“, was mit den befehlen useradd -G admin $BENUTZERNAME oder usermod -aG admin $BENUTZERNAME schnell erledigt ist. soll der unprivilegierte benutzer einen speziellen befehl ohne eingabe des root-passwortes erledigen dürfen, z.b. den pc mit dem befehl halt herunterzufahren, so erledigt man das ebenfalls in /etc/sudoers, und zwar durch hinzufügen einer zeile nach folgendem muster:

meszi ALL=NOPASSWD: /sbin/halt

nun kann ich den pc ohne eingabe des root-passwortes herunterfahren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.