Kays Senf

Es gibt SuRun Benutzer, die sich wegen Problemen gleichzeitig in die Benutzergruppen „SuRunners“ und „Administratoren“ eingetragen haben. 😯

Dann waren die Probleme weg… jedenfalls die mit SuRun. Dummerweise waren die Benutzer nun Administrator und SuRunner zugleich. SuRun hat das nicht bemerkt und alles schien schön zu laufen. 😕

In der aktuellen Version trägt SuRun den Benutzer immer aus den „Administratoren“ aus und warnt, falls der Explorer als Administrator ausgeführt wird. 🙂

Damit SuRun funktioniert, muss der Windows Dienst „Sekundäre Anmeldung“ gestartet sein.

War das nicht der Fall, meldete Windows äußerst hilfreich „Zugriff verweigert“.

Jetzt prüft SuRun ob der Dienst läuft. Falls nicht, versucht SuRun den Dienst zu starten. Wenn das nicht funktioniert, meldet SuRun, das der Dienst nicht läuft.

In sechs Wochen steht ein schwerer Umzug an! 😥 Ich habe mich durchgerungen, für mein künftiges Domizil ein neues Fenguckgerät anzuschaffen. Meine zehn Jahre alte 85cm Sony Röhre kommt ins Schlafzimmer. Ich kann auf dem Sony mit 4.5m Sitzabstand EPG und Videotext nur noch mit Anstrengung erkennen. Augen werden halt nicht jünger. 😉 …die Glotze musste vergrößert werden! 🙂

Aufgrund der Größe (>>85cm) fiel leider ein Röhrenfernseher aus.

Zwei Fenster nach Süden und eine Außentür nach Westen im künftigen Wohnzimmer, waren das Aus für einen (spiegelnden) Plasma Fernseher.

So habe ich nach langem Überlegen und Lesen von Meinungen einen 42″ LCD Fernseher SHARP LC-42XD1E gekauft. Das soll derzeit einer der Besten LCD Fernseher sein.

Ich war sehr skeptisch ob des Bildes. LCDs haben immer Sorgen mit Blickwinkelabhängigkeit, Schwarzwert und feinen Farbunterschieden.

Für mein Gerät gibt Sharp einen Blickwinkel von 176° (also ±88°) an… Ich kann dem keinesfalls zustimmen und habe das fotografiert!

Den ganzen Beitrag lesen »

In Windows NT (NT, 2000, XP, 2003 Server, Vista…kurz NT) ist der Ersteller eines Objektes, z.B. einer Datei, eines Ordners oder eines Schlüssels in der Registry, auch dessen Besitzer.

Wenn also Administrator „Bob“ eine Datei erstellt, besitzt er diese Datei. Möchte „Bob“ dann als eingeschränkter Nutzer arbeiten, trägt er sich aus der Administratorengruppe aus. Jedoch sind alle Dateien, Verzeichnisse, Registry Schlüssel uswusf. die er einst erstellte nach, wie vor in seinem Besitz. Bob besitzt zwar jetzt keine Berechtigung mehr, z.B. den Ordner „C:\ Programme\ SuperProgramm“ zu löschen, aber er ist Besitzer des Ordners und hat somit das Recht, die „Sicherheit“ von „C:\ Programme\ SuperProgramm“ zu verändern. So kann er (oder ein in seinem Namen handelndes Programm) sich mit Vollzugriff in die Sicherheitsoptionen eintragen und den Ordner dann löschen, bzw. das bereits ‚AutoStart’ende Programm „C:\ Programme\ SuperProgramm\ MussManStarten.exe“ durch „C:\ Windows\ Temp\ Virus.exe“ erstezen. 😯

Zum Glück gibt es in Windows XP Professional den Gruppenrichtlinien-Editor (gpedit.msc). Mit dem kann man unter „Richtlinien für Lokaler Computer\ Computerkonfiguration\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicherheitsoptionen“ in der Option „Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden„, „Administratorengruppe“ auswählen. Das bewirkt, dass wenn ein Administrator ein Objekt erstellt, dieses Objekt dann der Gruppe „Administratoren“ und nicht dem Benutzer gehört. Wird der Administrator zum eingeschränkten Benutzer degradiert, kann er die Sicherheitsoptionen erstellter Objekte nicht mehr verändern und Vollzugriff darauf erlangen. 🙂

Da SuRun ja ständig die Gruppen wechselt, sollten auch SuRun Nutzer (bis heute) gpedit.msc nutzen und diese Option setzen.

Blöd, wirklich blöd ist nur, dass Windows XP Home keinen Editor für die Gruppenrichtlinien mitbringt. Dort sind normaler Weise alle erstellten Objekte im Besitz des Erstellers und so latente Sicherheitsrisiken nicht (einfach) abstellbar. ❗

Im Gruppenrichtlinien-Editor von Windows 2000 konnte ich die Objektbesitzer Option nicht finden. 😯

Heute habe ich in SuRuns Einstellungen fünf Optionen dazugebastelt. Eine davon geht das Objektbesitzer-Problem an und ermöglicht es, auch ohne gpedit.msc, den „Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden“ zu setzen. 🙂

Immer wenn man denkt, länger keine Zeit zu haben, kommen häufig irgendwo ein paar Minuten dahergelaufen…

Heute habe ich SuRun eine Whitelist verpasst. Damit kann man bestimmte Programme markieren, die immer mit SuRun gestartet werden dürfen ohne dass es nachfragt. Die Whitelist wird in einem geschützten Teil der Registry abgelegt und ist für Unbefugte nicht lesbar.

Außerdem wird bei allen Dialogen, die auf Bestätigung warten, nach 40s automatisch auf „Abbrechen“ gedrückt. Dadurch wird verhindert, dass der sichere Desktop den normalen Windows Betrieb blockiert.

Damit ist SuRun (bis auf Hilfe, Dokumentation und englische Webseite) komplett. 🙂

Ich habe heute die einzige mir bekannte Schwachstelle in SuRun beseitigt. 🙂

Ein Virus hätte in einen von SuRun als Administrator gestarteten Prozess Code einschleusen und ausführen können. Jetzt wird dem angemeldeten Benutzer (Virus oder nicht) der Zugriff auf von SuRun gestartete Prozesse verwehrt.

So sollte es unmöglich sein, SuRun feindlich als Sprungbrett zur Systemkontrolle zu missbrauchen!

AutoHotKey(AHK) ist ein erstaunliches kleines Programm. Man kann damit nützliche Dinge tun, wie die mittlere Maustaste auf den Linken Doppelklick umzuleiten, die Caps-, Num und Scroll-Lock Tasten zu visualisieren oder die Lautstärkeregelung auf Tastenkürzel zu legen bzw. die Betätigung der Multimediatasten der Lautstärkeregelung anzuzeigen. Auf meinen PC hat die Windows Taste dank AHK jetzt endlich mal Bedeutung 😉

Unter Windows Vista hatte ich das Problem, dass AHK nicht die Master-Lautstärke von Windows, sondern nur die Lautstärke von „AutoHotKey.exe“ regelte. Abhilfe schafft hier nur der Kompatibilitätsmodus von Vista: Den ganzen Beitrag lesen »