Κοινή χρήση προγράμματος με άλλους χρήστες

[kurtsxaar]

Καλημερα σας, θα ηθελα να ρωτησω αν γινεται να υπαρχει δυνατοτητα απο χρηστη με περιορισμενους να χρησιμοποιει καποιο προγραμμα που χρησιμοποιει και ο administrator?Δηλαδη για να γινω πιο κατανοητος εχω ενα γραφειο οπου διαχειριζομαι ενα προγραμμα πελατων και θελω να παρω καποιον υπαλληλο ωστε να μπορει να το διαχειριζεται και αυτος αλλα σε διαφορετικο χρηστη για να μην εχει προσβαση σε δικα μου αρχεια ή φωτογραφιες και τετοια..πως μπορω να το κανω?

[Bspus]

Στο ιδιο μηχανημα εννοεις ετσι?

 

Το default ειναι οι χρηστες να εχουν read δικαιωματα στο program files. Αρα να το ανοιξει και να το χρησιμοποιει θα πρεπει να μπορει. Ποιο προγραμμα ειναι? Αν δεν εχει βγαλει shortcuts στο desktop και start menu για τον απλο χρηστη, μπορεις να τα φτιαξεις μονος σου αμα ξερεις που ειναι εγκατεστημενο το προγραμμα.

 

Οταν παρολα αυτα το προγραμμα δεν ανοιγει η δεν συμπεριφερεται σωστα, 99% εχει να κανει με τα ακολουθα:

 

Ο installer δεν εγραψε σημαντικα κλειδια στο registry για το συγκεκριμενο χρηστη. Δηλαδη πρεπει ντε και καλα να γινει εγκατασταση με το συγκεκριμενο λογαριασμο χρηστη για να χρησιμοποιηθει σωστα. Συνηθισμενο για αγορασμενα με licences προγραμματα που επιτρεπουν λειτουργια για ενα χρηστη.

Για να μην ψαχνεις να γραφεις στο registry, καντο install με τον αλλο χρηστη, κανοντας τον προσωρινα administrator.

 

Ο αλλος λογος ειναι να απαιτει το προγραμμα να γραφει στο program files η/και στο registry συνηθως στο HKEY_LOCAL_MACHINE\Software στο αντιστοιχο κλειδι. Συνηθισμενο για παλια προγραμματα απο την εποχη των windows9x η απλως κακογραμμενα καινουρια προγραμματα.

Η λυση ειναι να δωσεις τα απαραιτητα δικαιωματα εγγραφης σε αυτα μονο τα σημεια για τον αλλο λογαριασμο. Απαιτει XP/2000 professional και απενεργοποιηση του simple file sharing (tools-folder options-view)

 

Αν και εσυ και ο υπαλληλος δουλευετε πανω στα ιδια αρχεια δεδομενων με αυτο το προγραμμα, προσεξε να εχει ο υπαλληλος δικαιωματα και σε αυτα τα αρχεια για να μπορει να προσθετει εγγραφες.

 

Τελος ελπιζω να καταλαβαινεις οτι αν ο υπαλληλος θελει να το παιξει hacker οταν εσυ λειπεις δεν υπαρχει ουσιαστικη προστασια για τα εγγραφα σου αφου εχει φυσικη προσβαση στο μηχανημα. Η παρακαμψη του administrator ειναι παιχνιδακι, και αυτο δεν εχει να κανει με τα windows μονο αλλα με τη φυσικη προσβαση σε μηχανημα. Δηλαδη και linux να ηταν το ιδιο προβλημα ασφαλειας θα υπηρχε

[alkisg]

Υπάρχουν τρόποι προστασίας ακόμα κι όταν υπάρχει φυσική πρόσβαση στο μηχάνημα.

Για παράδειγμα, ο χρήστης μπορεί να κάνει reset cmos (για unlock του bios), να μπουτάρει από δισκέτα, να βρει το password του administrator και ό,τι άλλο password έχεις αποθηκευμένο στο μητρώο, οπότε να αποκτήσει πρόσβαση στα αρχεία σου κτλ.

 

ΟΜΩΣ:

Αν π.χ. χρησιμοποιήσεις το truecrypt για να κρατάς ένα ολόκληρο partition με τα δεδομένα σου κρυπτογραφημένα, και αν δεν έχεις αποθηκεύσει τον κωδικό πρόσβασης στον Η/Υ αλλά τον θυμάσαι απ' έξω (ή σε χαρτί), τότε δεν μπορεί να το βρει παρά μόνο με ειδικά προγράμματα δοκιμών, τα οποία μπορεί να χρειαστούν μέχρι και χιλιάδες χρόνια για να βρουν τον κωδικό σου (αν είναι σχετικά δύσκολος).

Επομένως έτσι έχεις πλήρη προστασία.

 

Το κακό με τα Windows είναι ότι όταν έχεις φυσική πρόσβαση είναι πολύ εύκολο να βρεις τους κωδικούς των χρηστών, επειδή αυτοί αποθηκεύονται στο μητρώο. Στο Linux αντίθετα δεν αποθηκεύονται οι κωδικοί αλλά μόνο τα κρυπτογράμματά τους, και έτσι είναι αδύνατη η ανάκτησή τους με στόχο τη χρήση τους για logon με δικαιώματα administrator.

[Bspus]

Υπάρχουν τρόποι προστασίας ακόμα κι όταν υπάρχει φυσική πρόσβαση στο μηχάνημα.

Για παράδειγμα, ο χρήστης μπορεί να κάνει reset cmos (για unlock του bios), να μπουτάρει από δισκέτα, να βρει το password του administrator και ό,τι άλλο password έχεις αποθηκευμένο στο μητρώο, οπότε να αποκτήσει πρόσβαση στα αρχεία σου κτλ.

 

ΟΜΩΣ:

Αν π.χ. χρησιμοποιήσεις το truecrypt για να κρατάς ένα ολόκληρο partition με τα δεδομένα σου κρυπτογραφημένα, και αν δεν έχεις αποθηκεύσει τον κωδικό πρόσβασης στον Η/Υ αλλά τον θυμάσαι απ' έξω (ή σε χαρτί), τότε δεν μπορεί να το βρει παρά μόνο με ειδικά προγράμματα δοκιμών, τα οποία μπορεί να χρειαστούν μέχρι και χιλιάδες χρόνια για να βρουν τον κωδικό σου (αν είναι σχετικά δύσκολος).

Επομένως έτσι έχεις πλήρη προστασία.

 

Το κακό με τα Windows είναι ότι όταν έχεις φυσική πρόσβαση είναι πολύ εύκολο να βρεις τους κωδικούς των χρηστών, επειδή αυτοί αποθηκεύονται στο μητρώο. Στο Linux αντίθετα δεν αποθηκεύονται οι κωδικοί αλλά μόνο τα κρυπτογράμματά τους, και έτσι είναι αδύνατη η ανάκτησή τους με στόχο τη χρήση τους για logon με δικαιώματα administrator.

 

Ναι εχεις δικιο για την κρυπτογραφηση ολου του partition. Αυτο ομως ειναι δικοπο μαχαιρι καθως αν οντως ξεχασεις τον κωδικο θα τα χασεις και συ.

Επισης εχω δει αρκετα post τοσο στο insomnia οσο και αλλου του στυλ "Ειχα τα εγγραφα μου κρυπτογραφημενα σε ενα φακελο, εκανα format και τωρα δεν διαβαζονται. Τι να κανω?". Οποτε το τελευταιο πραγμα που θα προτεινα σε καποιον ειναι αυτη η λυση εκτος αν οντως εχει τοσο μεγαλο προβλημα ασφαλειας και ξερει ακριβως τι κανει.

 

Τοσο το linux οσο και τα windows εχουν μονο hashes των κωδικων. Μαλιστα στο linux ειναι πιο ευκολο να τους βρεις γιατι ειναι σε ενα text αρχειο (/etc/shadow). Αν αποκτησεις προσβαση σε αυτο τα εχεις. Δηλαδη αν μπουταρεις με καποιο live cd, κανεις mount τα partitions, η πιο απλα αν εχεις ανοιχτη την επιλογη απο το bootloader να μπουταρεις σε run level 1.

Στα windows ειναι στο SAM το οποιο ειναι κρυπτογραφημενο και το ιδιο παντα και πολυ δυσκολο (οχι αδυνατο, υπαρχουν προγραμματα) να του επιτεθεις απλως και μονο κανοντας το copy. Παλια στα NT γινοταν με copy, αλλα τωρα θες να εχεις ηδη admin rights και να τρεχεις την εγκατασταση windows και ειδικο προγραμμα μονο και μονο για να παρεις να hashes και να τα σπασεις μετα.

[alkisg]

> "Ειχα τα εγγραφα μου κρυπτογραφημενα σε ενα φακελο, εκανα format και τωρα δεν διαβαζονται. Τι να κανω?"

 

Σε αυτό φταίει πάλι η αρχιτεκτονική των Windows, που για το encrypted file system χρησιμοποιεί το SID αντί για κάποιου κωδικού ορισμένου από το χρήστη. Η Microsoft γενικά δεν εμπιστεύεται τους χρήστες (και έχει και κάποιο δίκιο, π.χ. την ανάγκασαν να αποσύρει το folder lock) και έτσι προσπαθεί να κρατάει τους κωδικούς και να δίνει δυνατότητα recovery. Γι' αυτόν ακριβώς τον λόγο την πατάει από θέμα ασφάλειας όταν υπάρχει φυσική πρόσβαση στο μηχάνημα.

 

> Τοσο το linux οσο και τα windows εχουν μονο hashes των κωδικων...

 

'Όχι, αυτό δεν ισχύει. Τα Windows αποθηκεύουν τους αρχικούς κωδικούς στο μητρώο, όχι τα hashes. Όλα τα προγράμματα ανάκτησης κωδικών Windows τους βρίσκουν σε msec, ακριβώς επειδή δεν χρειάζεται να κάνουν δοκιμές. Π.χ. για τα Windows 98 που είχα κάνει δικό μου σχετικό προγραμματάκι keyfinder, οι κωδικοί ήταν αποθηκευμένοι με απλό XOR, όχι με hash. Τους ξαναέκανες XOR και τους έβρισκες με τη μία.

 

Όσο για το Linux, ορίστε η γραμμή από το /etc/shadow με το δικό μου password:

alkisg:$1$1ihOnZDX$nEQOUFRW/TuaHHMYbSlIP/:13926:0:99999:7:::

Μπορείς να μου βρεις τον κωδικό;

 

Φιλικά πάντα...

[Bspus]

Εψαξα να βρω κατι που να λεει οτι τα windows αποθηκευουν τους κωδικους του συστηματος σε plain text και δεν βρηκα παρα μονο αυτο το registry key

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]

"enableplaintextpassword"=dword:00000000

 

Το οποιο by default ειναι off δηλαδη δεν εχεις plain text passwords. Παντως δεν ηξερα καν οτι υπαρχει η επιλογη να πω την αληθεια.

 

Τα windows μπορει να κανουν cache ενα σωρο plain text passwords απο αλλα προγραμματα η συνδεσεις δικτυου αλλα οχι τα passwords στο SAM file. Δεν ξερω τι γινοταν στα 98 και τι κωδικους κρατουσαν αφου ηταν single user συστημα. Στα ΝΤ based παντως δεν μπορω να βρω κατι τετοιο. Εψαξα και στο registry για οποιαδηποτε μορφη του κωδικου μου και δεν βρηκα τιποτα. Αν ξερεις που αποθηκευονται θα ηθελα πολυ να το δω.

Αλλα σε αυτην την περιπτωση γιατι υπαρχουν τοσα προγραμματα για να σπας NTLM hashes (LC5, john the ripper, mdcrack) και παρα-προγραμματα (στυλ pwdump2) για να παρεις τα hashes που θα τροφοδοτησουν τους password crackers αμα ηταν τοσο απλο?

 

Αυτο που δεν ειχα προσεξει και μου εκανε εντυπωση ειναι το ποσο πιο αργα επεξεργαζονται τα MD5 hashes που χρησιμοποιουνται στο linux σε σχεση με τα NTLM. Μιλαμε για διαφορα ταξης μεγεθους. Τα NTLM το LC5 τα επεξεργαζεται στο μηχανημα μου με ρυθμο γυρω στα 7εκ/δευ. Το να βρεις ενα κωδικο 6 χαρακτηρων με bruteforce ειναι θεμα λεπτων. Εν μερει αυτο ισως οφειλεται στο οτι για backwards compatibility με τα NT 3.5 by default, υπαρχουν hashes και σε μαι ακομα μορφη που υπολογισζονται σαν οι κωδικοι να ηταν ολοι κεφαλαια και τους σπαει σε 2 μερη των 7 χαρακτηρων. Δεν ξερω τι γινεται με passwords ανω των 14 χαρακτηρων. Αυτο μπορει να απενεργοποιηθει βεβαια αλλα αμφιβαλλω αν το κανει κανεις.

 

Το john the ripper ειναι πιο αργο στα NTLM και πιο γρηγορο στο MD5 (η οτι ειναι τελος παντων στο shadow) και παλι το πιο γρηγορο που καταφερα ηταν περιπου 8000/δευ για το shadow. Φυσικα δεν καθησα να ασχοληθω παραπανω.

 

Αλλα ο κινδυνος παραμενει γιατι πολυ απλα δεν χρειαζεται να το σπασεις τον κωδικο, απλως να τον παρακαμψεις και αυτο μπορει να γινει απλα.

 

Μπουταρεις με live cd και παιρνεις μια ατοφια κοπια του /etc/shadow. Οτι και να παει στραβα μπορεις ανα πασα στιγμη να το αντικαταστησεις

 

Αλλαζεις το shadow. Παιρνεις το salt/hash απο ενα χρηστη που ξερεις τον κωδικο και τα βαζεις στο root. Μπορεις πλεον να κανεις log in root με το password που γνωριζεις. Δοκιμασμενο και δουλευει.

Οταν τελειωσεις ξαναβαζεις το σωστο shadow και ουτε γατα ουτε ζημια.

 

Πιο ευκολο ακομα ειναι να πειραξεις το /etc/sudoers απο το live cd ακομα και να βαλεις το χρηστη που θες να εχει πληρη προσβαση παντου.

[alkisg]

Χε χε ξεφύγαμε τελείως, μάλλον πρέπει να ανοίξουμε ξεχωριστό topic!

 

Δεν ξέρω που αποθηκεύουν τα NT/2000/XP κτλ τους κωδικούς στο μητρώο, είχα ασχοληθεί μόνο παλιότερα με τα 98. Αλλά και πάλι δεν ήταν plain text, ήταν γραμμική XOR: ο πρώτος χαρακτήρας γινόταν XOR με κάτι, ο δεύτερος XOR με κάτι+1 κτλ. Οπότε δεν υπάρχει περίπτωση να βρεις το αντίστοιχο κλαδί του μητρώου με αναζήτηση, έπρεπε να ξέρεις που να ψάξεις, αλλά πάντως μετά ανακτούσες τον κωδικό σε O(1).

 

Για το registry key που λες παραπάνω, δεν είναι για τους κωδικούς των Windows, αλλά του lan manager. Έχω την εντύπωση ότι επιτρέπει unencrypted passwords να σταλούν μέσω δικτύου όταν συνδέεσαι σε SMB server, δηλαδή κοινόχρηστους φακέλους δικτύου. Αυτό ήταν το default παλιότερα με τα Windows 98, μετά κάνανε encrypted το default. Η επιλογή αυτή χρειάζεται ακόμα για σύνδεση με παλιότερα λειτουργικά της M$.

 

Για το Linux (shadow, sudoers κτλ) δεν έχω μεγάλη εμπειρία, οπότε δεν ξέρω αν κάποιο file system επιτρέπει encrypted disk contents. Προφανώς αν δεν είναι encrypted τότε με live cd απλά κάνεις chown και παίρνεις τα αρχεία οποιουδήποτε θες, δεν χρειάζεται καν να σπάσεις κωδικούς. Αν όμως είναι encrypted (σε στυλ truecrypt ή windows file encryption) τότε αφού δεν μπορείς να βρεις τον κωδικό δεν μπορείς και να έχεις πρόσβαση στα δεδομένα.

 

Τέλος πάντων, αυτό που ήθελα να πω εγώ είναι ότι μπορούμε να έχουμε πολύ καλή προστασία σε οποιοδήποτε λειτουργικό. Φυσικά αν ξεχάσει κάποιος το password του δεν του φταίει κανένας, οπότε να μην παραπονιέται μετά αν δεν έχει πρόσβαση στα αρχεία του...

[kurtsxaar]

καλημερα παιδια, η αληθεια ειναι οτι κοντεψα να χαθω μεσα σε ολα αυτα που μου γραψατε....το συγκεκριμενο προγραμμα που διαχειριζομαι οταν πηγαινω να το ανοιξω μεσω αλλου χρηστη που βγαζει ενα κειμενο που λεει : δεν βρεθηκε βαση δεδομενων-να γινουν οι αρχικες ρυθμισεις? και δεν παταω yes απο φοβο μην χασω τα τοσα αρχεια που εχω περασμενα ηδη...το θεμα ειναι οτι αν κανω εγκατασταση στον χρηστη το προγραμμα παλι δεν θα υπαρχουν τα ηδη καταχωρημενα αρχεια μου...

[alkisg]

Αν το πρόγραμμα δεν υποστηρίζει εγκατάσταση για όλους τους χρήστες τότε μπορείς να το παρακάμψεις κάνοντας runas.

 

Δοκίμασε: Μπες με το λογαριασμό του υπαλλήλου, μετά δεξί κλικ πάνω στο πρόγραμμα » εκτέλεση ως διαφορετικός χρήστης » και επίλεξε το username σου.

Αν παίξει σωστά, τότε υπάρχει τρόπος για να μη σου ζητάει password, το βλέπουμε στη συνέχεια.

[kurtsxaar]

ωραια φιλε alkisg το εκανα αυτο τωρα με τον κωδικο τι γινεται?το θεμα ειναι να μην του δειξω ενα σωρο κατατοπια και μετα βρεθω κρεμασμενος...απτο ψαχουλεμα που θα εχει κανει στα αρχεια μου...δεν φοβαμαι μη μου παρει κανενα αρχειο απλα να μην βλεπει καποια αρχεια ωστε να θιχτω εγω..διοτι ειμαστε και γνωστοι....

[Bspus]

Μια λυση ειναι να δωσεις τον κωδικο σαν παραμετρο σε batch file. Το runas απο μονο του δεν το επιτρεπει, αλλα ευτυχως καποιος εγραψε ενα vbscript που επιτρεπει αυτην την ενεργεια

 

Παρε το παρακατω και βαλτο σε ενα text file και ονομασε το vbrunas.vbs

Βαλε αυτο το αρχειο στο c:\windows\system32 η οπουδηποτε θες φτανει να ειναι μεσα στο path.

 

>
'Start of Script
'VBRUNAS.VBS
'v1.2 March 2001
'Jeffery Hicks
'[email protected] http://www.quilogy.com
'USAGE: cscript|wscript VBRUNAS.VBS Username Password Command
'DESC: A RUNAS replacement to take password at a command prompt.
'NOTES: This is meant to be used for local access. If you want to run a command
'across the network as another user, you must add the /NETONLY switch to the RUNAS
'command.

' *********************************************************************************
' * THIS PROGRAM IS OFFERED AS IS AND MAY BE FREELY MODIFIED OR ALTERED AS *
' * NECESSARY TO MEET YOUR NEEDS. THE AUTHOR MAKES NO GUARANTEES OR WARRANTIES, *
' * EXPRESS, IMPLIED OR OF ANY OTHER KIND TO THIS CODE OR ANY USER MODIFICATIONS. *
' * DO NOT USE IN A PRODUCTION ENVIRONMENT UNTIL YOU HAVE TESTED IN A SECURED LAB *
' * ENVIRONMENT. USE AT YOUR OWN RISK. *
' *********************************************************************************

On Error Resume Next
dim WshShell,oArgs,FSO

set oArgs=wscript.Arguments

if InStr(oArgs(0),"?")<>0 then
wscript.echo VBCRLF & "? HELP ?" & VBCRLF
Usage
end if

if oArgs.Count <3 then
wscript.echo VBCRLF & "! Usage Error !" & VBCRLF
Usage
end if

sUser=oArgs(0)
sPass=oArgs(1)&VBCRLF
sCmd=oArgs(2)

set WshShell = CreateObject("WScript.Shell")
set WshEnv = WshShell.Environment("Process")
WinPath = WshEnv("SystemRoot")&"\System32\runas.exe"
set FSO = CreateObject("Scripting.FileSystemObject")

if FSO.FileExists(winpath) then
'wscript.echo winpath & " " & "verified"
else
wscript.echo "!! ERROR !!" & VBCRLF & "Can't find or verify " & winpath &"." & VBCRLF & "You must be running Windows 2000 for this script to work."
set WshShell=Nothing
set WshEnv=Nothing
set oArgs=Nothing
set FSO=Nothing
wscript.quit
end if

rc=WshShell.Run("runas /user:" & sUser & " " & CHR(34) & sCmd & CHR(34), 2, FALSE)
Wscript.Sleep 30 'need to give time for window to open.
WshShell.AppActivate(WinPath) 'make sure we grab the right window to send password to
WshShell.SendKeys sPass 'send the password to the waiting window.

set WshShell=Nothing
set oArgs=Nothing
set WshEnv=Nothing
set FSO=Nothing

wscript.quit

'************************
'* Usage Subroutine *
'************************
Sub Usage()
On Error Resume Next
msg="Usage: cscript|wscript vbrunas.vbs Username Password Command" & VBCRLF & VBCRLF & "You should use the full path where necessary and put long file names or commands" & VBCRLF & "with parameters in quotes" & VBCRLF & VBCRLF &"For example:" & VBCRLF &" cscript vbrunas.vbs quilogy\jhicks luckydog e:\scripts\admin.vbs" & VBCRLF & VBCRLF &" cscript vbrunas.vbs quilogy\jhicks luckydog " & CHR(34) &"e:\program files\scripts\admin.vbs 1stParameter 2ndParameter" & CHR(34)& VBCRLF & VBCRLF & VBCLRF & "cscript vbrunas.vbs /?|-? will display this message."

wscript.echo msg

wscript.quit

end sub
'End of Script

 

Τωρα πια απο γραμμη εντολων μπορεις να χρησιμοποιεις αυτο το script. Για παραδειγμα, ανοιξε μια γραμμε εντολων

 

cscript vbrunas.vba administrator adminpass cmd.exe

 

H παραπανω γραμμη θα σου ανοιξει ενα νεο παραθυρο γραμμης εντολων κατευθειαν. Ο κωδικος ειναι το adminpass, εκει εσυ θα βαλεις το δικο σου και αντι για cmd.exe θα βαλεις το full path του προγραμματος σου. Αν το path του προγραμματος σου εχει spaces θα το βαλεις μεσα σε "". Πχ "c:\program files\my program\program.exe"

 

Δοκιμασε το. Αν τρεξει το επομενο βημα ειναι το batch file. Σε ενα νεο αρχειο κειμενου που το ονομαζεις με καταληξη bat βαζεις το παρακατω

>
@echo off
start /wait cscript vbrunas.vbs administrator adminpass cmd.exe
exit

 

Φυσικα με το δικο σου κωδικο και προγραμμα

 

Φοβασαι οτι θα ανοιξει το bat και θα δει τον κωδικο? Ψαξε να βρεις προγραμμα που κανει compile το batch file σε exe. Υπαρχουν δωρεαν τετοια. Ενα που ξερω εγω ειναι το bat2exe, το οποιο μαλιστα συμπιεζει κιολας και δεν μπορει να τα δει ουτε με hex editor.

[alkisg]

Βλακεία πρότεινα τελικά, το παίρνω πίσω!

 

Εφόσον ο υπάλληλος τρέξει το πρόγραμμα σαν administrator, τότε πολύ απλά μπορεί να κάνει (μέσα από το πρόγραμμα) Αρχείο » Άνοιγμα,

οπότε αφού τρέχει σαν administrator μπορεί να σου δει τα αρχεία,

ή να βρει π.χ. το cmd.exe, να κάνει δεξί κλικ » εκτέλεση και έτσι να τρέξει ο,τιδήποτε με δικαιώματα administrator!

 

Κάν'το ανάποδα. Ξαναεγκατέστησε το πρόγραμμα μόνο στον λογαριασμό του υπαλλήλου, και όποτε χρειάζεσαι να το τρέξεις εσύ, να το τρέχεις με το δικό του λογαριασμό (πάλι με runas).

 

Κράτα κανά backup στο μεταξύ γιατί δεν ξέρω ποιο πρόγραμμα θες να εκτελέσεις, μπορεί να σου σβήσει καμιά βάση δεδομένων και να τρέχεις.