Warum nicht SuDown?
- Unter SuDown ist der Benutzer während der ganzen Logon-Sitzung Mitglied der Administratoren-Gruppe. Wenn man, wie z.B. hier beschrieben, das normale Benutzerpaßwort des SuDown-Dialogs ausspäht, hat man ein Administratorenpaßwort, mit dem das System übernehmen kann.
- Ist ein Mitglied der Beutzergruppe „Sudoers“ am PC angemeldet und loggt sich parallel dazu über das Netzwerk ein, ist der Netzwerk-Benutzer automatisch Administrator.
- Nachdem ein Prozeß erfolgreich mit SuDown gestartet wurde hat man einige Zeit, ungefragt Programme als Administrator zu starten.
- Alle eingeschränkten Prozesse haben Vollzugriff auf von SuDown gestartete Prozesse und können so ganz offiziell Code einschleusen (CreateRemoteThread), Hooks installieren und das System übernehmen.
- Werden von einem mit SuDown gestarteten Prozess Registry-Keys oder Dateien angelegt, kann der normale Benutzer diese beliebig manipulieren und so z.B. Autostarts von Malware einrichten.
All diese Risiken führen dazu, dass man mit SuDown nicht ohne „On-Demand“ Virenscanner arbeiten sollte.
SuRun ist hier um Einiges sicherer.
- Durch den sicheren Desktop kann Schadsoftware SuRun nicht fernsteuern.
- SuRun braucht kein Benutzer-Kennwort.
- SuRun fragt immer, ob es ok ist, das Programm zu starten (Es sei denn man konfiguriert das anders).
- Benutzerprozesse können keinen Code in Prozesse einschleusen, die von SuRun gestartet wurden.
- In SuRuns Einstellungen kann man (auch in Windows XP Home Edition) festlegen dass der Besitzer neuer Objekte die Administratorengruppe und nicht der Benutzer selbst ist. Damit können von SuRunners angelegte Registry-Schlüssel und Dateien vom normalen Benutzer nicht manipuliert werden.
…aber nicht ganz sicher:
Jeder Benutzer-Prozess kann Tastendrücke, Mausklicks und Fensterbotschaften an von SuRun gestartete Prozesse senden und so diese Programme Fernsteuern. Das läßt sich nach meiner Kenntnis auch nicht ändern, da es Integritätsstufen, die das verhindern, erst in Windows Vista gibt.