bytetix
Goto Top

DropMyRights Tool

Hallo zusammen,

ich versuche gerade mein Windows 7 PC etwas "sicherer" zu machen.

Dazu wollte ich das Tool DropMyRights verwenden. Das Tool dient ja dazu das die Internet basierten Anwendungen so wie z.B. der IE oder Firefox nicht mit Admin zu starten.

Jetzt habe ich mir das Tool installiert und den IE mittels des Programmes aufgerufen. Man sieht auch kurz das eine schwarze CMD Box aufflackert (das Tool an sich, was dann den IE aufruft) und alles seiner Wege geht.

Der IE wird aber trotzdem unter meinem User XY ausgeführt, und dieser User hat nunmal lokale Admin Rechte. Wie stelle ich also jetzt fest, ob der IE wirklich mit "weniger" als den Adminrechten läuft ??? Das wäre ja der Kern dieses Tools.

Btw: Kann ich dieses Tool überhaupt unter Win 7 verwenden? Es ist ja eher aus der XP Zeit...

danke sehr!

Content-Key: 227146

Url: https://administrator.de/contentid/227146

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 20.01.2014 aktualisiert um 16:32:30 Uhr
Goto Top
Moin.

Der IE wird seit Vista dank des protected mode gesondert behandelt, dropmyrights ist nicht mehr nötig (und funktioniert auch nicht unter Win7), wenn die UAC an und der protected mode an sind (beides ist default). Andere Browserhersteller wollten nachziehen, bin nicht sicher, ob das schon geschehen ist, denn sie schreiben das schon seit 2006 (Mozilla zumindest).

Mach Dich vertraut mit UAC und den sogenannten MICs http://en.wikipedia.org/wiki/Mandatory_Integrity_Control
http://en.wikipedia.org/wiki/User_Account_Control
Mitglied: infowars
infowars 20.01.2014 um 15:33:43 Uhr
Goto Top
Oder einfach eine Batch schreiben:
runas /user:Benutzername /savecred "C:\Program Files (x86)\Internet Explorer\iexplore.exe"  
Mitglied: DerWoWusste
DerWoWusste 20.01.2014 um 15:38:31 Uhr
Goto Top
Moin Infowars.

Verrat mal, was das bringen soll. Die UAC/MIC regeln das eh.
Mitglied: bytetix
bytetix 20.01.2014 um 22:20:47 Uhr
Goto Top
HI Leude,

ja die UAC sind an meinem Win7 PC deaktiviert (haben genervt nach einiger Zeit).
Dementsprechend wäre der Rat von Infowars mit dem Batch evtl. eine Lösung.
Den IE mit einem unpriviligierten User starten ist ja was ich will. Gibt es evtl. noch eine komfortablere Lösung? Evtl. etwas in der gpedit.msc oder so?
Mitglied: DerWoWusste
DerWoWusste 20.01.2014 aktualisiert um 22:44:17 Uhr
Goto Top
Du bist um Sicherheit bemüht, schaltest aber die UAC ab - das beißt sich. Und dropmyrights war auch weitaus mehr, als nur starten als anderer, schwacher Benutzer. Hast Du meine Links mal angeschaut? Die Lösung für einen möglichst sicheren IE sind die MICs und die brauchen die UAC. Das ist sogar komfortabel.
Wenn die UAC im täglichen Betrieb stört, dann setze Dich damit auseinander wann sie kommt und warum. Lässt sich abstellen.
Mitglied: C.R.S.
C.R.S. 22.01.2014 um 22:43:04 Uhr
Goto Top
Hallo,

mit welchem Integrity Level ein Prozess ausgeführt wird, ist aus den Security-Eigenschaften des Process Explorer ersichtlich. Das IL kann für jedes Programm mit icacls /setintegritylevel einfach festgelegt werden.

Grüße
Richard
Mitglied: DerWoWusste
DerWoWusste 23.01.2014 um 09:46:27 Uhr
Goto Top
Der Vollständigkeit halber: auch Chrome läuft mit einem gegenüber den anderen Prozessen des Users herabgesetzten Integrity Level. Chrome nennt das Sandboxing. Mozilla/Firefox jedoch arbeitet seit Jahren daran, ist aber immer noch nicht fertig: https://wiki.mozilla.org/Features/Security/Low_rights_Firefox
Mitglied: DerWoWusste
DerWoWusste 23.01.2014 um 09:47:47 Uhr
Goto Top
Moin C.R.S.
Das IL kann für jedes Programm mit icacls /setintegritylevel einfach festgelegt werden.
Richtig, aber versuch das lieber nicht mit dem Firefox. Gab schon vor 6,7 Jahren Anleitungen dazu im Netz, aber sobald Plugins ins Spiel kommen, crashten die.
Mitglied: C.R.S.
C.R.S. 24.01.2014 um 17:23:55 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin C.R.S.
> Das IL kann für jedes Programm mit icacls /setintegritylevel einfach festgelegt werden.
Richtig, aber versuch das lieber nicht mit dem Firefox. Gab schon vor 6,7 Jahren Anleitungen dazu im Netz, aber sobald Plugins ins
Spiel kommen, crashten die.

Hallo DWW,

das funktioniert an sich schon, wenn konsequent alle Zugriffsmöglichkeiten abhängiger Prozesse angepasst werden. Dann bleibt natürlich die Frage, ob das den Aufwand wert ist.

Grüße
Richard