Het wanneer je dat nodig hebt "als administrator uitvoeren" van Command Prompt (Opdrachtprompt, cmd.exe), dat is toch niet onhandig? Daar hoef je toch geen snelkoppeling voor te maken, of cmd altijd als administrator uit te voeren?
Mogelijk snap ik niet wat je bedoelt, en moet je even uitleggen wat het nadeel zou zijn van wat ik aangaf, en het voordeel van jouw aanpak.

Kan je dmv deze regel ook het wachtwoord toevoegen van de Admin zodat je 1 keer in de zoveel tijd een .exe runt onder Administrator rechten?

Zoja, hoe?

bvd

Ik bedoelde het ook niet alleen maar voor CMD, sorry voor die onduidelijkheid; natuurlijk is het als je alleen maar CMD gebruikt niet zo'n grote moeite om een snelkoppeling te maken. Maar als je vaak veel verschillende tools gebruikt die niet om verhoogde rechten vragen als ze die niet al hebben (bijvoorbeeld regedt32) dan is dit makkelijk, want ik neem aan dat men niet graag hun hele desktop vol heeft met tools om alleen maar die als admin te kunnen openen.

De snelkoppeling rechtsklikken en dan klikken op 'Als administrator uitvoeren' is toch veel handiger voor de veiligheid?

Maar zoals cjkos om 21:08 ook zegt, rechtsklikken en dan kiezen "Als administrator uitvoeren" is toch net zo eenvoudig?
En je hoeft toch ook niet je hele desktop vol te zetten met snelkoppelingen naar die tools? Je hebt evengoed toegang tot die programma's via de koppelingen in de programma-map onder Menu Start (mits je daar koppelingen naar die tools toestaat).

Ik waardeer je tip, maar ik snap nog steeds niet wat de toegevoegde waarde van de door jou voorgestelde aanpak is.

Inderdaad, maar dan moet je het hele startmenu afzoeken. persoonlijk vind ik het handiger om de naam van het bestand/module uit mijn hoofd te leren (vaak zijn ze redelijk straight-forward en dus makkelijk te onthouden) zodat ik in één keer win+r en dan met 1 regel het programma uit kan voeren. Natuurlijk is dit slechts een persoonlijke voorkeur, dus ik weet neit of het voor iedereen een meerwaarde heeft. Maar ik wilde het toch delen.

Ik bedenk me net dat je met deze methode misschien ook juist als admin zijnde een applicatie uit kan voeren als standaard account; zou dat werken?

Ah, ik begrijp het.
Dankjewel.

Heb je het zelf al uitgeprobeerd?
Hoe werkte het met een en ander?

Ik heb het zelf net even uitgeprobeerd met cmd.exe, CCleaner.exe en cleanmgr.exe (schijfopruiming).
cmd.exe opende als voor de Administrator, dus daarvoor lijkt het niet te werken.
CCleaner opende in het geheel niet.
Maar voor schijfopruiming lijkt het wél te werken. Dat werd aangeboden als voor een standaardgebruikers-account, met een verzoek om het Admin-password te geven wanneer ik voor álle schijven wilde opruimen (in plaats van alleen een verzoek tot bevestiging, zoals standaard in het Admin-account).

Dus ik ben benieuwd hoe het voor jou werkt voor een en ander.

Overigens nog even deze vraag: Wat is nou precies de relatie met "computerbeveiliging"? Misschien was het meer iets voor de categorie "algemeen"?

Voor zover ik weet is het bij RunAs niet mogelijk om een wachtwoord als parameter mee te geven. In plaats van RunAs zou je ook PsExec van Sysinternals kunnen gebruiken (http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx). Hierbij is het wel mogelijk om het wachtwoord als parameter mee te geven.

wat een omweg.. hier een korte snelle oplossing

klik op "start/windows logo"
Vul bij (programma's en bestanden zoeken) "cmd" in
Druk vervolgens op "ctrl-shift-enter"
en de vraag verschijnt om als administrator uit tevoeren.

Klaar

Opdrachtprompt -> rechtermuisklik -> run as administrator -> voer ww in -> klaar.

Kun je met elke uitvoerbaar programma trouwens doen. Vaak wordt door Windows al herkent dat een programma (bijv een setup.exe) admin privileges nodig heeft. Door dan het programma uit te voeren komt (bij mij iig, ik heb mijn UAC zo ingesteld), automatisch een pop up naar voren om het ww in te voeren waardoor het programma zich in c:\program files (x86, indien geen 64 bit proggie) installeert. Niks moeilijk doen met commands in een command prompt schermpje.

daar heb je de Task Scheduler voor..

Hier werkt het helaas ook niet al te best; veel programma's willen niet laden. En sorry, dat is mijn fout. Ik heb simpelweg op de homepage onder de forum headlines op "stel zelf een vraag" geklikt.

Dat is, als je Windows vista/7 hebt én Windows Search hebt. Zoals ik al zei is het voorkeur; ik dwing niemand iets.

Dat klopt, maar zoals ik hierboven schreef doen sommige applicaties dit nog steeds niet, daarvoor heb ik deze methode opgezocht en hier gedeeld.

Bij Besluit van Bitwiper (BB12032009) is deze methode - alhoewel door Microsoft alszijnde volstrekt legitiem & juiste methode van werken word gedoceerd - ten strengste verboden!!!:


Veiligheidstechnisch enige juiste methode is dus: Afmelden & aanmelden als Beheerder, na voltooing taak afmelden.

P.S: Opes!... Smiley vergeten! Bij deze:

;-)

Decreet bedoel je! ;) De URL er ook even bij opgezocht: http://www.security.nl/artikel/27913/1/Updaten_als_User.html.

Zoals bijv. Kay Bruns in deze Duitstalige pagina http://kay-bruns.de/wp/software/surun/explorers-ausfuehren-als aangeeft kun je dit inzichtelijk maken met AutoHotKey:
- Zorg dat het default script in elk geval bevat: - Tik Ctrl-K (voor key history)
- Start een applicatie via RunAs (en voer admin wachtwoord in)
- Activeer AutoHotkey weer en druk F5 om te refreshen

Kay heeft ook een tooltje geschreven genaamd "IAT-Hook" (iathook.zip) dat dit mooi demonsteerde, zie http://kay-bruns.de/wp/2008/02/15/verwundbarkeiten/, maar helaas laat deze nu bij mij Explorer crashen met een DEP fout.

Kay beweert dat wachtwoorden ingevoerd in zijn SuRun tool (http://kay-bruns.de/wp/software/surun/) niet door keyloggers te sniffen zouden zijn (ik heb nog niet mer SuRun gespeeld). Echter voor elke applicatie die in hetzelfde winstation draait (ongeacht of dit onder andere accounts is of met andere privileges) geldt dat die apps met elkaar kunnen communiceren. En screenshots maken kan -bij mijn weten- ook altijd.

Met andere woorden: als je normaal netjes met een account met lage privileges werkt, en dat account is gecompromitteerd, bestaat er een kans op privilege escalation door de malware zodra je (tijdelijk en/of voor een specifiek programma) je privileges verhoogt. Als dat niet gebeurt komt dat alleen omdat aanvallers geen rekening houden met jouw werkwijze - security by obscurity dus.

Dat laatste geldt ook voor RunAs alternatieven zoals LSrunase (http://www.moernaut.com/default.aspx?item=lsrunase) doet, die het Administrator wachtwoord versleutelt. Want dat is te kraken, zoals je hier kunt lezen http://www.csnc.ch/misc/files/publications/2009_scsII_ivan_buetler_LsrunaseSupercrypt.pdf.

Dat geldt ook voor CPAU (http://www.joeware.net/freetools/tools/cpau/index.htm) waarvan de auteur aangeeft "Again, this is NOT strong encryption, this is text encoding."

Als je er echt niet aan ontkomt om iets met admin rechten te starten vanuit een batchfile dan is obfuscation natuurlijk altijd beter dan plain text. Vooral als je zelf iets verzint zodanig dat er geen hapklare scriptkiddy recepten voor op internet te vinden zijn kan zo'n oplossing bruikbaar zijn (op niet kritische systemen). De beste oplossing is natuurlijk een zorgvuldig geccodeerde service die met adminrechten de gewenst taak vervult (en niet meer dan dat) na een "zetje" vanuit een unprivileged account.

Kijk ook eens naar RunasSpc (http://www.robotronic.de/runasspcEn.html), hiermee wordt het admin-wachtwoord encrypted opgeslagen en kun je als gelimiteerde gebruiker makkelijk een programma met verhoogde rechten draaien. Zelf start ik vaak op deze manier een alternatieve verkenner als Freecommander om via deze tijdelijk lokale beheerstaken uit te voeren, alles wat via Freecommander dan wordt uitgevoerd draait dan ook met verhoogde rechten. Scheelt het af- en aanmelden als gebruiker.