Barrapunto

Y que tampoco esta del todo mal es el "ejecutar como..." utilizando un usuario administrador para la ejecución de un programa (una instalación por ejemplo).

.

Echar de menos??? shift+boton_secundario y "Ejecutar como" de toda la vida

... que la mayor parte de las veces, en cualquier entorno, los problemas de seguridad son culpa de los usuarios o administradores que carecen del conocimiento necesario, y no del sistema en sí.

En la mayor parte de las veces, esto implica añadir a algunos usuarios al grupo Administradores o al grupo Usuarios Avanzados, con lo que se garantiza la intrusión de malware y la instalación de programas no corporativos.

Esto es un craso error. Desde el NT viene existiendo el "runas", como parte del Kit de Administración (Y de serie en los servers), y en el XP-2003 ya venía el "Ejecutar como"; además, cuando estas con un usuario sin permisos, antes de ejecutar un programa que requiere permisos de administrador, el mismo te pide el usuario con permisos.

Me llama la atención que aqui se haga una pregunta tan básica (Cuya respuesta conoce cualquier administrador de windows mínimamente avezado); quizá quiera decir que muchos de los que tan duramente critican la seguridad de windows... en realidad no la conocen.

Si por ejemplo se lo preguntas a google, eso si en "su" idioma, la respuesta es esta:

Sudo for Windows [google.es]

Saludos.

runas pide la contraseña mientras sudo permite a un usuario sin privilegios ejecutar ciertos ejecutables predefinidos, son cosas muy distintas.

ejemplo un*x: el user 'pepito' quiere hacer mount/umount sin que le pidan contraseña: en el fichero sudoers, el administrador añade:

pepito ALL=/usr/sbin/mount,/usr/sbin/umount

Ha, y nada que ver con el sticky bit, que sirve para restringir el acceso a directorios o ficheros, cf /tmp.

Se siente.

runas esta disponible desde la primera version de windows 2000 , el problema es que no se podia utomatizar la entrada del usuario y la contraseña, una solucion que encontre en su momento fue lsrunas que permitia dar la contraseña encriptada(eso si tiene grabes implicaciones de seguridad ya que copiando el script se puede ejecutar cualquier cosa como administrador).

Por favor, sólo si antes instalas man . Que si no uno ya no puede jugar al dicciopinta [escomposlinux.org]

El runas funciona aunque de una manera muy particular. En mi empresa lo usamos para ejecutar ciertos programas pero adolece de los siguientes problemas a los que no hemos encontrado solución.
1) El acceso directo no almacena la contraseña así que tienes que usar el comando runas.
2) runas te saca la ventanita del dos y no hemos encontrado forma de impedir que no salga. Visualmente un asco.
3) No ha habido forma de que funcione asignando privilegios por grupo en vez de por usuario, pero esto podría ser un problema debido a que la forma en que se implementan las políticas de grupo en windows.

currartelo [inetbot.com]...

"Those who don't understand UNIX are doomed to reinvent it, poorly."
("Aquellos que no entienden el UNIX están condenados a reinventarlo pobremente.")

--Henry Spencer [wikipedia.org]

Si tengo un usuario de windows que no es administrador y deseo cambiar la configuración de la red... ¿ cómo puedo hacerlo sin tener que abrir una sesión nueva para el administrador?

Salu2

37 grados ahí fuera, el aire acondicionado estropeado y rodeado de ordenadores... pues claro que sudo!! con windows y con linux!! (bueno, más con windows, la verdad) ;)

Un saludo a todos.

la mejor solución es... ¡usa linux! :-)

http://meneame.net/story/sudo-para-windows

Y por que no usar VMware [vmware.com], QEmu [bellard.free.fr], Bosch [sourceforge.net] o similares? Asi podran hacer lo que quieran dentro de esa maquina virtual, y luego con restaurar un backup de la imagen, listo...

a ver si lo entiendo, quieres que un usuario sin privilegios de administrador tenga una cuenta con los privilegios de administrador pero solo para algunos ejecutables, no?

eso se puede hacer en Linux, Windows, MacOSX o cualquier otro sistema?

Pues ahora que lo dices, creo que opino igual.
Casi siempre me he encontrado que cuando se echa en falta una utilidad es porque se sigue pensando de la misma manera que en el entorno donde se utilizaba esa utilidad.

La mayoría de las veces lo que hay que hacer es enfocar los problemas desde el punto de vista del entorno en el que estés. Antiguamente ocurría mucho entre unix y novell.

Simplemente, para trabajar en un entorno hay que conocer las soluciones del entorno. Y no formular soluciones que necesiten de elmentos de los que no dispones en ese entorno.

.

¿ cómo podrías hacer un "login" en unix o linux sin un setuid() o similar?

Si te leyeras la pregunta (Read The Fucking Question) te darias cuenta que no esta preguntando eso.

Lo que quiere es un sudo (sabes lo que es ?) en windows, que no es lo mismo que un su (el equivalente al runas o Ejecutar como).

Ala, experto sysadmin del copon, ejecuta este par de comandos a ver si asi te enteras un poco de lo que se esta hablando aqui:

man su
man sudo

El setuid es necesario porque permite por ejemplo a un usuario cambiar su contraseña (es decir modificar el /etc/shadow) sin tener que pedirlo nada a root. Es mas que necesario en sistemas Unix, de hecho es un syscall presente desde la v7 AT&T de 1979 [faqs.org].

La primera version de sudo es del año 1980, y por cierto usa setuid:
---s--x--x 2 root root 168208 Jun 27 2005 /usr/local/bin/sudo

No son hacks para nada, pero si que todo programa con setuid supone un riesgo de seguridad si se consigue cambiar su flujo de ejecucion.

Sí está muerto [billgatesisdead.com] y la gente no quiere aceptarlo... El Bill Gates de ahora es su hermano gemelo bueno, hasta hace poco confinado en el desván (como en los simpsons xD). ¿Porqué si no ese cambio de política de empresa en MS?

Y con que argumentos, que si no me equivoco si te traes un disco usb de casa en ext2 ya te puedes ganar los privilegios de administrador.

GNU/linux te va a pasar por encima en mucho menos de lo que tu te crees y te vas a pensar que te ha atropellado un tren de mercancias. Quiza de paso reacciones y te des cuenta de tu supina incompetencia informatica o quiza sigas toda tu vida lamentandote y añorando tus bonitos pantallazos azules.

Touchè. Para lo que piden por aquí, con añadir al grupo del usuario a las directivas del dominio, dar permisos a ese grupo en las ramas adecuadas del registro, y los permisos correctos en las unidades, ya basta.

El problema de Windows es que tiene una seguridad con cientos y cientos de opciones; por ello securizar bien, o dar permisos para algo es complejo, y requiere de gente que lo conozca bien.

Por ejemplo, para que permita agregar una impresora a un usuario estandar, hay que dar permisos en las directivas y, *además*, para muchas impresoras, en determinadas ramas del arbol del registro (HKEY_LOCAL_MACHINE\Hardware\CurrentControlSet\Pri nters", "HKEY_CURRENT_USER\(...)\Software\" (De creación), etc...

Pero claro, para saber eso necesitas una formación fuerte y experiencia, o un sysadmin jefe que se las sepa.... ¡¡¡Coño!!! ¡¡¡Como en Linux!!!

La pregunta era básica de pelotas. Todo el que ha estado en un IT de windows durante un mes por *pelotas* la conoce.

El problema es que la gente que pone a parir a windows lo último que hizo fue instalar un 98 en el PC de su cuñado(Y con el puñado de "joyitas" que he leido por aqui, se confirma), y con eso ya critican...

Pensaba que el Windows era un poco rarito, pero esto de tener que aprender el alfabeto rúnico ya me parece excesivo. ¿Qué será lo próximo, acceso remoto por oiuja?