Kann Firefox nicht mit eingeschränkten Rechten starten

    Um sicherer im Internet zu sein, habe ich versucht meinen Firefox Browser nur noch mit eingeschränkten Rechten zu starten. Leider scheitert das. Klicke ich auf die Verknüpfung, tut sich einfach nichts. Was mache ich falsch?
    Ich gehe folgendermaßen vor:
    Ich klicke rechts auf die Verknüpfung von Firefox, gehe auf Eigenschaften und dann im nächsten Fenster auf "Erweitert" und setze den Haken bei "Unter anderen Anmeldeinformationen ausführen". Klicke ich dann auf die Verknüfung, so kommt ein Fenster mit erweiterten Ausführeigenschaften. Ich wähle ganz oben mein Administratorbenutzerkonto, setze aber den Haken bei "Computer und Daten vor nicht autorisierter Programmaktivität schützen".

    Klicke ich dann auf o.k. tut sich nichts. Warum klappt das nicht? Den InternetExplorer (und auch andere Programme) kann ich so ohne Probleme starten.

    Einmal editiert, zuletzt von Anonymous (9. Januar 2009 um 13:02)

    user983475934 fragte:

    Zitat

    Um sicherer im Internet zu sein, habe ich versucht, meinen Firefox Browser nur noch mit eingeschränkten Rechten zu starten.[...]


    Sicherer im I-Net bist Du genau dann, wenn Du aufpasst. Sofern Du den FF jedoch in Bezug auf seine "Rechte" hin "kastrierst", wirst Du - meiner Ansicht nach - keinen wirklichen Sicherheitsvorteil erwirken können, sofern Du nicht auch Dein zugrundeliegendes Windows-Konto mit einschränkst. Es gibt dabei eigentlich bloss zwei Möglichkeiten:


    a.Du bist als Admin am Windows-System angemeldet (Deine jetzige Konfiguration) und möchtest bloss den FF bezüglich seiner Ausführungen hin einschränken - dabei jedoch weiterhin als Admin am Windows-System angemeldet bleiben? (Gilt definitiv als Unsicher, denn der (eigentlich ja eingeschränkte) FF kann somit dennoch potentiell die Sicherheit des ungeschützten Systems gefährden)!!!

    b.Du bist als eingeschränkter Benutzer am Windows-System angemeldet und möchtest dem FF jedoch einzelne Admin-Rechte bezüglich seiner Ausführungen einräumen. (Solche einzelnen RunAs-Verfügungen gelten i.d.R. als wesentlich sicherer in Bezug auf mögliche Systemkompromittierungen)!!!


    Nocheinmal: Das zugrundeliegende (OS) (also in Deinem Falle das Windows-System), sollte auf jeden Fall für Dich mit eingeschränkten Benutzer-Rechten abgesichert werden. Dagegen gilt dies nicht unbedingt für den Firefox (über Profile), da dieser ja bloss auf dem (hoffentlich bereits abgesicherten) Betriebssystem selber "aufsetzt" und somit über z.B. mögliche "Integer-Overflows" keinen Schaden mehr an der Basis anrichten könnte - und genau darum geht es ja.


    user983475934 fragte:

    Zitat

    [...]Klicke ich dann auf die Verknüpfung, so kommt ein Fenster mit erweiterten Ausführeigenschaften.[...]Klicke ich dann auf o.k. tut sich nichts[...]

    Das Problem könnte bei Dir u.A. in den EXE-Verknüpfungen (Open / "exefile\shell") der Windows-Registry selber liegen.


    Zitat

    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00
    @=""

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"


    Importiere die obigen Zeilen in eine beliebige Textdatei und speichere diese dann im Anschluss unter der Endung *.reg ab. Danach die neu entstandene Reg-Datei durch Doppelklick in die Windows-Registry einspeisen und anschliessend das System Neustarten. Melde Dich nochmal zurück...


    Oliver

    Hallo user983475934,

    Lösungsvorschlag:
    1. Du hast nun sicherlich mind. 2 Konten, eins mit Admin-Rechten und eines mit eingeschränkten Rechten.
    Setze die Kontoart des eingeschränkten Kontos wieder auf Admin. (Funktioniert natürlich nur über das Admin-Konto)
    2. Lösche nun die FF Installation des ehemaligen eingeschränkten Kontos komplett. (evtl. hast du den CCleaner, der löscht auch in der Folge verwaiste Verknüpfungen und Einträge in der Registry. Deinstalliere über Systemsteuerung und nachher mit CCleaner alle Reste)
    3. Lade FF über die offizielle Mozilla-Seite http://www.mozilla-europe.org/de/
    4. Probiere, ob er nun als Admin startet.
    5. Sollte er arbeiten, setze das Konto auf eingeschränkt. Nun sollte es gehn.
    Funktioniert er so nicht, bitte noch mal melden.


    :cry:

    Das Importieren in Regedit und Neustarten brachte nichts.

    Zitat

    a.Du bist als Admin am Windows-System angemeldet (Deine jetzige Konfiguration) und möchtest bloss den FF bezüglich seiner Ausführungen hin einschränken - dabei jedoch weiterhin als Admin am Windows-System angemeldet bleiben? (Gilt definitiv als Unsicher, denn der (eigentlich ja eingeschränkte) FF kann somit dennoch potentiell die Sicherheit des ungeschützten Systems gefährden)!!!


    Wie bitteschön? Ein Programm das so aufgeführt wird, ist total in seinen Rechten kastriert. Es kann z.B. nicht in C:\Programme schreiben, genauso wenig ins Systemverzeichnis.

    Zitat

    b.Du bist als eingeschränkter Benutzer am Windows-System angemeldet und möchtest dem FF jedoch einzelne Admin-Rechte bezüglich seiner Ausführungen einräumen. (Solche einzelnen RunAs-Verfügungen gelten i.d.R. als wesentlich sicherer in Bezug auf mögliche Systemkompromittierungen)!!!


    Das ist richtig gefährlich, da der FF z.B. eine beliebige DLL durch eine Schadhafte ersetzen kann.

    Zitat

    Du hast nun sicherlich mind. 2 Konten, eins mit Admin-Rechten und eines mit eingeschränkten Rechten.


    Nein eben nicht. Durch diesen Weg, wie ich Firefox ausführe, brauche ich kein 2. eingeschränktes Konto.
    Auf einem reinen eingeschränkten Konto läuft Firefox auch OHNE Probleme. Nur nicht, wenn ich ihn als Admin mit eingeschränkten Rechten ausführe. Ich führe viele Anwendungen so aus und nur Firefox macht Probleme damit. Beim IE klappt es ja auch problemlos.
    Es macht übrigens keinen Unterschied, ob ich einen normal installierten Firefox oder eine portable version von portableapps.com nehme. Beide Feuerfüchse starten dann einfach nicht mehr.

    user983475934 stellte Folgendes in Frage:

    Zitat

    Wie bitte schön? Ein Programm das so aufgeführt wird, ist total in seinen Rechten kastriert. Es kann z.B. nicht in C:\Programme schreiben, genauso wenig ins Systemverzeichnis.


    Genau dass könnte z.B. einmal wichtig werden, sofern ungewollte Drive-By-Downloads oder unbekannte Erweiterungen innerhalb des Firefoxes bei Dir aktiviert und somit ausserhalb Deiner Kontrolle innerhalb des Browsers installiert werden sollten. Alles was somit per HTTP, FTP, - bzw. über ein ungesichertes Transport-Protokoll Deiner Wahl etc. automatisch aus dem Netz (durch ungewollte FF-Updates) nachladen kann - und somit auch innerhalb des FF´s ausführen darf - wäre daher in Folge für Dein System als gefährlich einzustufen.


    user983475934 erklärte darüberhinaus:

    Zitat

    Beim IE klappt es ja auch problemlos.[...]


    IE = System     (also ein Bestandteil von Windows). FF = Programm (und somit definitiv kein Bestandteil von Windows selber, sondern bloss eine auf Windows aufsetzende Programm-Verfügung mit sekundären Rechten).


    Zitat

    Es macht übrigens keinen Unterschied, ob ich einen normal installierten Firefox oder eine portable version von portableapps.com nehme. Beide Feuerfüchse starten dann einfach nicht mehr.


    Was für ein Wunder (s.o.)...


    Die Instanzen (Prozess) - bzw. Profilverwaltung durch den Firefox könnte u.U. für Dein Problem verantwortlich sein. Alternativ dazu könnte es - meiner Ansicht nach - auch an den von Windows bereitgestellten Umgebungsvariablen liegen. (und zwar USERNAME und USERPROFILE, in Relation zu dem jeweilig gestarteten Programm, auf Basis des angemeldeten ADMIN). Hier gab es scheinbar in der Vergangenheit bereits Probleme (Profil des "angemeldeten Benutzers" vs. des jeweiligen "Prozessbesitzers").


    a.Benutzt Du verschiedene Profile unter FF?

    b.Verwendet FF dabei stets immer das Profil des angemeldeten Benutzers?

    c.Werden bei Dir (unter RunAs) die Windows-Umgebungsvariablen des angemeldeten Benutzers eingehalten? (Kontrolle z.B. über den "Prozess Explorer").


    Ich würde fast auf ein Windows-Problem (Basis) tippen...


    Oliver


    http://www.firefox-browser.de/wiki/MOZ_NO_REMOTE

    Zitat von user983475934

    Auf einem reinen eingeschränkten Konto läuft Firefox auch OHNE Probleme. Nur nicht, wenn ich ihn als Admin mit eingeschränkten Rechten ausführe. Ich führe viele Anwendungen so aus und nur Firefox macht Probleme damit. Beim IE klappt es ja auch problemlos. Es macht übrigens keinen Unterschied, ob ich einen normal installierten Firefox oder eine portable version von portableapps.com nehme. Beide Feuerfüchse starten dann einfach nicht mehr.

    Warum muß den ein Browser überhaupt mit Admin-Rechten laufen können, sollen, dürfen? Ich würde diese Möglichkeit mozillaseitig entfernen.

    Übrigens, wenn Du nur ein Admin-Konto eingerichtet hast, wie sollte dann Fuchs unter anderen Rechten laufen können? Das setzt doch erstmal ein entsprechendes System-Profil voraus? Und damit meine ich kein Firefox-Profil. Ok, mit Windows habe ich keine Ahnung, hab' Linux.

    ciao
    katzi (m)

    Zitat

    Warum muß den ein Browser überhaupt mit Admin-Rechten laufen können, sollen, dürfen? Ich würde diese Möglichkeit mozillaseitig entfernen.

    Und wie willst du dann Updates einspielen? Jedes mal eine komplette Installation über root/Admin? Dann könnte man das Update-System in der Form auch gleich entfernen.

    Zitat von boardraider

    Und wie willst du dann Updates einspielen? Jedes mal eine komplette Installation über root/Admin? Dann könnte man das Update-System in der Form auch gleich entfernen.

    Ich nutze den originalen Fuchs, den ich mir bei neuen Versionen von Mozilla herunterlade und nach der physischen Internettrennung als Root in ein Verzeichnis entpacke, auf das ich nacher als User nur Leserechte habe. Irgendwelche automatischen Updates habe ich komplett ausgeschaltet; lediglich für Erweiterungen bleiben diese erlaubt, da die eh im Userverzeichnis liegen.

    Und wenn ich den Fuchs nehmen würde, den mein Linux-System mitbringt, gehen Updates über das systemeigene Updateprogramm. Nur wird dieses von mir separat aufgerufen; automatisch läuft auch da nix.

    ciao
    katzi (m)

    Zitat

    Genau dass könnte z.B. einmal wichtig werden, sofern ungewollte Drive-By-Downloads oder unbekannte Erweiterungen innerhalb des Firefoxes bei Dir aktiviert und somit ausserhalb Deiner Kontrolle innerhalb des Browsers installiert werden sollten. Alles was somit per HTTP, FTP, - bzw. über ein ungesichertes Transport-Protokoll Deiner Wahl etc. automatisch aus dem Netz (durch ungewollte FF-Updates) nachladen kann - und somit auch innerhalb des FF´s ausführen darf - wäre daher in Folge für Dein System als gefährlich einzustufen.


    Eben nicht. Der Firefox läuft nur mit eingeschränkten Rechten und somit auch alle weiteren Anwendungen (wie den Schadcode), den Firefox ausführt.

    Im Übrigen klappt diese Methode der Ausführung mit jedem Programm mit dem ich es bis jetzt versucht habe, bis auf Firefox natürlich und auch Thunderbird (aber hier ist es mir nicht so wichtig).

    Zitat

    Alternativ dazu könnte es - meiner Ansicht nach - auch an den von Windows bereitgestellten Umgebungsvariablen liegen. (und zwar USERNAME und USERPROFILE, in Relation zu dem jeweilig gestarteten Programm, auf Basis des angemeldeten ADMIN). Hier gab es scheinbar in der Vergangenheit bereits Probleme (Profil des "angemeldeten Benutzers" vs. des jeweiligen "Prozessbesitzers").


    Ich habe es gerade getestet, die Umgebungsvariablen USERNAME und USERPROFILE sind bei beiden Ausführungsmethoden identisch.

    Zitat

    a.Benutzt Du verschiedene Profile unter FF?


    Nein, ich benutze nur ein Profil.

    Zitat

    c.Werden bei Dir (unter RunAs) die Windows-Umgebungsvariablen des angemeldeten Benutzers eingehalten? (Kontrolle z.B. über den "Prozess Explorer").


    Ja USERNAME und USERPROFILE stimmen überein, siehe oben.
    Man braucht übrigens nicht den ProcessExplorer, einfach cmd mit eingeschränkten Rechten ausführen, das reicht zur Kontrolle auch. Um zu testen, ob cmd auch wirklich eingeschränkten Rechten unterwegs ist, einfach in "C:\Programme" wechseln und mit mkdir versuchen ein neues Verzeichnis zu erstellen, es wird verweigert werden.

    Zitat

    Warum muß den ein Browser überhaupt mit Admin-Rechten laufen können, sollen, dürfen? Ich würde diese Möglichkeit mozillaseitig entfernen.


    Da jedes Programm mit Adminrechten startet, wenn du an ein Konto mit Adminrechten angemeldet bist. Ich versuche ja gerade das Programm ohne Adminrechte zu starten und scheitere daran.

    Zitat

    Übrigens, wenn Du nur ein Admin-Konto eingerichtet hast, wie sollte dann Fuchs unter anderen Rechten laufen können? Das setzt doch erstmal ein entsprechendes System-Profil voraus?


    Nein das setzt es eben nicht voraus. Windows verweigert die Schreibrechte und einige andere Rechte (wie z.B. Werte in der Regedit ändern) für Programme, die mit eingeschränkten Rechten ausgeführt werden. Es wird aber dasselbe Userprofil wie für den Administrator verwendet.

    Da wirklich alles entrechtet werden müsste (sämtliche Dienste, alle anderen Programme, Firefoxplugins), stelle ich mir die Frage: Warum nicht den bequemeren, einfacheren und potentiell weit aus sicheren Weg gehen und ein eingeschränktes Nutzungskonto nehmen?

    Zitat

    Da wirklich alles entrechtet werden müsste (sämtliche Dienste, alle anderen Programme, Firefoxplugins), stelle ich mir die Frage: Warum nicht den bequemeren, einfacheren und potentiell weit aus sicheren Weg gehen und ein eingeschränktes Nutzungskonto nehmen?


    Da viele Programme auf Schreibrechte im Verzeichnis C:\Programme bestehen und somit nicht mit eingeschränkten Rechten ausgeführt werden können.
    Bitte sagt mir, wie ich Firefox mit eingeschränkten Rechten ausführen kann, denn ansonsten ist der IE sicherer, weil mit dem geht es!

    user983475934 erklärte:

    Zitat

    [...]Der Firefox läuft nur mit eingeschränkten Rechten und somit auch alle weiteren Anwendungen (wie den Schadcode), den Firefox ausführt.


    Wir sprechen hier aneinander vorbei - vermutlich von Dir provoziert.

    Grundlage ist stets ein - durch die einzelnen OS-Kontenverfügungen - abgesichertes Betriebssystem. Erst dann gilt die Einschränkung einzelner Programme selber, und zwar auf der bereits abgesicherten Systembasis. Es gilt somit - im übertragenen Sinne - eine System-Hierarchie, bestehend aus OS und den darauf aufsetzenden Programmen einzuhalten. Das weisst Du selber vermutlich besser als wir.


    user983475934 stellte dar:

    Zitat

    Ich habe es gerade getestet, die Umgebungsvariablen USERNAME und USERPROFILE sind bei beiden Ausführungsmethoden identisch.


    Na - Wie genau wurde bei Dir getestet? Ein USERNAME muss schliesslich nicht immer ein unbedingtes Äquivalent zum jeweiligen USERPROFILE - und zwar in Bezug auf die einzelnen ausführbaren Programme (z.B. den FF) selber darstellen. Es gilt - nach meinen bisherigen Informationen - immer noch Username > UserProfile. Die Kombination aus unterschiedlichen Systemprozessen ("PropertyAttributes" unter Windows), auf welche der FF dann in Folge "zurückgreifen" muss, können meiner Ansicht nach dabei Fehler verursachen.


    user983475934 überzeugte zuguterletzt durch:

    Zitat

    Man braucht übrigens nicht den ProcessExplorer, einfach cmd mit eingeschränkten Rechten ausführen, das reicht zur Kontrolle auch.[...]


    Genau damit hast Du Dich - meiner Ansicht nach - bezüglich weiterer Diskussionen, gerade selber "disqualifiziert"...

    Ich wage diesbezüglich inzwischen schon nicht mehr so sehr dazu, auf "Windows-Probleme" selber zu tippen, sondern eher auf "Schulferien"...


    Oliver

    Zitat

    Grundlage ist stets ein - durch die einzelnen OS-Kontenverfügungen - abgesichertes Betriebssystem. Erst dann gilt die Einschränkung einzelner Programme selber, und zwar auf der bereits abgesicherten Systembasis. Es gilt somit - im übertragenen Sinne - eine System-Hierarchie, bestehend aus OS und den darauf aufsetzenden Programmen einzuhalten. Das weisst Du selber vermutlich besser als wir.


    Tatsache ist, dass ein Programm, welches unter einem Adminkonto mit eingeschränkten Rechten ausgeführt wird, genauso sicher ist, wie ein Programm, das unter einem eingeschränkten Benutzerkonto ausgeführt wird.
    Umgekehrt gilt, wenn du ein Programm mit Adminrechten aus einem eingeschränkten Benutzerkonto heraus startest, dieses genauso viel Schaden anrichten kann, wie wenn es vom Adminkonto direkt aus gestartet worden wäre. Jetzt alle Missverständnisse beseitigt?

    Zitat

    Genau damit hast Du Dich - meiner Ansicht nach - bezüglich weiterer Diskussionen, gerade selber "disqualifiziert"...


    Du kannst mir gerne erklären warum ich mich deswegen disqualifiziert habe. Das "Run As" des Prozessexplorers macht nichts anderes als ich in meinem Eingangspost beschrieben habe, wie ich Firefox versuche mit eingeschränkten Rechten zu starten. Dieses "Run As" bekommst du genauso, wenn du auf eine Anwendung/Verknüpfung zu einer Anwendung einen Rechtsklick machst und "Ausführen als..." wählst.
    In cmd brauchst du nur noch

    Code
    echo %userprofile%
echo %username%

    eingeben und schon siehst du, ob diese beiden Umgebungsvariablen richtig gesetzt sind. Nachdem sie bei beiden Ausführungsmethoden gleich sind, stimmen sie also überein.

    Ich habe jetzt mal einen Screenshot zur Verdeutlichung erstellt. Auf den im diesem Bild gesetzten Haken kommt es an. Dieser sorgt für die Rechtebeschränkung. Ist er gesetzt, startet FF nicht mehr.
    [Blockierte Grafik: http://img71.imageshack.us/img71/9802/clipboard01wg2.jpg]

    Wenn ich ein 2. Benutzerkonto mit eingeschränkten Rechten erstelle und unter "Folgender Benutzer" das eingeschränkte Konto wähle und als Admin angemeldet bin, klappt es hervorragend. Aber ich will kein 2. Benutzerkonto erstellen. Es muss mit diesem gesetzten Haken genauso klappen, da andere Programme damit auch laufen.
    Ich hoffe, dass man mir sagen kann, wie ich Firefox mit diesem gesetzten Haken zum Laufen bringe.

    Zitat von user983475934

    setze aber den Haken bei "Computer und Daten vor nicht autorisierter Programmaktivität schützen".


    Hast du dich eigentlich mal informiert, was sich dahinter verbirgt? Welche Dokumentation MS zu diesem ominösen Feature anbietet?

    Also ich hab durch 30 Sekunden googlen das gefunden:
    http://blogs.msdn.com/aaron_margosis…/10/227727.aspx

    Das dürfte auch deine Ausgangsfrage beantworten. Zur deiner Sicherheitspraxis sei der Link zuvor angeraten, dann verstehst du auch, was Oliver meinte, der dir eigentlich nur hilfreiche Ratschläge erteilen will.

    Zitat von user983475934

    ..Nur nicht, wenn ich ihn als Admin mit eingeschränkten Rechten ausführe..

    Im Übrigen klappt diese Methode der Ausführung mit jedem Programm mit dem ich es bis jetzt versucht habe, bis auf Firefox natürlich und auch Thunderbird (aber hier ist es mir nicht so wichtig).


    häääh..is schon Weihnachten.. [Blockierte Grafik: http://img145.imageshack.us/img145/6448/we…sspaddelxm3.gif]

    ein eingeschränkter Nutzer hat NIEnix aber auch gar nix mit irgendwelchen Rechten zu tun zu haben..
    auf ADMIN-Profil-Nutzerdaten schreiben zu dürfen..
    geschweige denn, sie überhaupt zu sehen zu kriegen...

    Zitat

    Folglich gehört es dem Administrator .. und der eingeschränkte Nutzer hat kein volles Zugriffsrecht auf die Dateien in ..


    anderen Profilen.. nicht mal bei..ääh verwandt zufällig..? :D

    Zitat

    Nein das setzt es eben nicht voraus. Windows verweigert die Schreibrechte und einige andere Rechte (wie z.B. Werte in der Regedit ändern) für Programme, die mit eingeschränkten Rechten ausgeführt werden. Es wird aber dasselbe Userprofil wie für den Administrator verwendet.

    Zitat von boardraider


    Hast du dich eigentlich mal informiert, was sich dahinter verbirgt? Welche Dokumentation MS zu diesem ominösen Feature anbietet?

    Also ich hab durch 30 Sekunden googlen das gefunden:
    http://blogs.msdn.com/aaron_margosis…/10/227727.aspx

    Das dürfte auch deine Ausgangsfrage beantworten. Zur deiner Sicherheitspraxis sei der Link zuvor angeraten, dann verstehst du auch, was Oliver meinte, der dir eigentlich nur hilfreiche Ratschläge erteilen will.


    Danke. Das ist kompetente Hilfe.

    Zitat

    File system (assuming NTFS): The app cannot access the user’s profile directory at all. That includes “My Documents”, “Temporary Internet Files”, “Cookies”, etc.

    Genau daran lag es. Auf mein Profilverzeichnis hat nun "Jeder" Lesezugriff und schon startet der Firefox mit eingeschränkten Rechten.
    Firefox ist in dieser Hinsicht schlampig programmiert. Der Fehler, dass auf das Benutzerprofil nicht zugegriffen werden kann, hätte abgefangen werden müssen.

    Danke für den Heiselink zur Sicherheit. Das zeigt also, dass die eingeschränkten Rechte nicht viel bringen. So gesehen ist es genauso gefährlich als eingeschränkter Benutzer zu arbeiten und irgendein Programm mit Administratorrechten ebenfalls offen zu haben, da das eingeschränkte Programm dieses Adminprogramm missbrauchen könnte.

    Also nochmal ein herzliches Dankeschön an Boardraider. Er hat mir wirklich geholfen und hat auch im Gegensatz zu manch anderem keinerlei Unfug erzählt.

    Zitat von user983475934

    Das zeigt also, dass die eingeschränkten Rechte nicht viel bringen. So gesehen ist es genauso gefährlich als eingeschränkter Benutzer zu arbeiten und irgendein Programm mit Administratorrechten ebenfalls offen zu haben, da das eingeschränkte Programm dieses Adminprogramm missbrauchen könnte.


    Hast aber lange gebraucht, das zu verstehen :?