[English]Arbeiten die Entwickler von Windows 11 an einer Implementierung des aus Linux bekannten sudo-Befehls. Zumindest gibt es in den Entwickler-Einstellungen der neuen Windows 11-Insider-Preview-Builds eine solche Option, um sudo zu aktivieren. Ob die aus Linux und macOS bekannte sudo-Implementierung es zu den Anwendern schafft, steht allerdings in den Sternen.
Anzeige
Entdeckung in geleakter Preview
Ich selbst schaue mir keine Preview Build an – aber es gibt wohl ziemlich viele Leute, die da begierig drauf sind. Voriges Wochenende scheint eine Windows Server Preview-Build irrtümlich auf den Windows Update-Servern veröffentlicht worden zu sein. Testern ist dann aufgefallen, dass Microsoft intern wohl die native Unterstützung des sudo-Befehls für Windows 11 testet. Das geht aus nachfolgendem Tweet und diesem Artikel von Windows Latest hervor.
Im Artikel von Windows Latest finden sich Screenshots, in denen die Option Enable sudo unter System – For developers im Administrator-Konto gezeigt wird. Schaltet der Administrator die Option ein, erhält er ein Dialogfeld, welches davor warnt, dass das sudo-Kommando das Gerät und die persönlichen Daten auf dem Gerät gefährden könnte.
Was ist sudo?
Der Befehl sudo steht für "superuser do" und ist aus Linux sowie von dem auf dem von NeXTSTEP (Mach-Kernel) und FreeBSD 4.3 basierenden macOS bekannt. Ein Nutzer kann mit sudo ein Programm oder einer Shell mit den (erhöhten Rechten) eines anderen Nutzers ausführen lassen. So lässt sich ein Programm mit den Rechten des Superuser, der alles unter Linux darf, ausführen.
Anzeige
Im Gegensatz zum su-Befehl muss der Nutzer kein Kennwort des root-Administrators (Superuser) kennen, und es lässt sich konfigurieren, welche Befehle und Programme mit sudo aufgerufen werden dürfen. Die Wikipedia hält hier eine Beschreibung der Besonderheiten des sudo-Befehls vor.
In der Wikipedia wird auch darauf hingewiesen, dass die Windows-Option runas keine wirkliche Entsprechung ist, da dort das Kennwort des Zielkontos bekannt sein muss. Allerdings scheint es Implementierungen von sudo von Drittanbietern zu geben.
Die in Windows seit Vista implementierte Benutzerkontensteuerung ist ebenfalls keine Entsprechung von sudo, da für die meisten Programme für die Privilegienerhöhung das Kennwort des Administratorkontos eingegeben werden muss.
Details noch unbekannt
Die im Windows Latest-Artikel gezeigten Screenshots geben noch nicht allzu viel her, was Fragen zur Umsetzung der sudo-Implementierung angeht. Es gibt lediglich eine per Screenshot dokumentierte Option, in der ein Entwickler vorgeben kann, dass sudo in einem neuen Fenster, mit deaktivierter Eingabemöglichkeit oder Inline auszuführen ist.
Sind der Entwicklermodus eingeschaltet und die sudo-Option aktiviert, soll man per Eingabeaufforderung, per PowerShell oder über eine Terminalsession unter Windows sudo nutzen können. Möglicherweise sieht Microsoft in Verbindung mit dem Windows Subsystem für Linux (WSL) eine Notwendigkeit für diese Implementierung. Ob und wann diese Implementierung wirklich für allen Nutzer von Windows 11 kommt, steht in den Sternen. Persönlich hege ich da arg gemischte Gefühle, denn da wird für mich gefühlt "wieder ein Balkönchen" an Windows angeschraubt, was den Leuten dann später auf die Füße fallen wird.
Microsoft bestätigt, so halb
Ergänzung: In einem Blog-Beitrag hatte Microsoft in der Nacht zum 8. Februar 2024 dann wohl noch einige Informationen gegeben. Der Blog-Beitrag wurde aber wohl versehentlich veröffentlicht und gleich wieder gelöscht. Sowohl deskmodder.de als auch heise haben das Thema aber aufgegriffen und einige Informationen veröffentlicht. Die Implementierung kommt möglicherweise zur Windows Server Canary Build 26052.
Anzeige
Gibt es eigentlich schon. Müssen sie nur noch implementieren
https://github.com/gerardog/gsudo
wenn ich mich Recht entsinne muss man unter Linux beim ersten "su" das eignene Passwort eingeben. Es wird dann für eine gewisse Zeit gespeichert, so dass weitere "su" ohne erneute Abfrage laufen.
Auch kann man mit su eine höher Privilegierte Instanz starten, nicht nur die Gleiche wie man zur Zeit hat.
Man meldet sich bei aktuellen Linux immer mit
einem "normalen" User an (man sieht also im Log wer es war). Muß man dann Dinge erledigen, die root rechte erfordern, so kann man vor jedem Befehl ein "su" setzen um sich root rechte (oder die eines anderen Users) zu verschaffen.
Das geht auch als unprivilierter User (muss ja, wenn man sich nicht mehr direkt als "root" anmelden kann.)
Ein User unter Windows kann m.W. seine Rechte nicht erhöhen. Das ist wohl als Sicherheitsfesture gedacht. Allerdings hat das zur Folge, dass man oft gleich die Console mit Admin rechten startet und auch sonst immer Adminrechte hat, weil es könnte ja sein, das man die mal braucht…will man ja eigentlich auch nicht. (Auch beliebt: File manager als Admin starten. Allerdings kommt man dann nicht mehr auf Netzwerk Laufwerke.)
Wenn ich da fehl informiert bin, und man auch unter Windows das eigene Privileg weiter erhöhen darf als man hat, bitte ich um Information.
Dieser Registry-Eintrag ermöglicht den Zugriff auf Netzwerklaufwerke als Admin.
echo Mapped drives are available for elevated users
reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLinkedConnections /t REG_DWORD /d 1 /f
Das mit dem eigenen Passwort bei Su hat natürlich den Vorteil, das kein Unbefugter schnell Mal root Befehle ausführen kann.
Vor allem muss man in einem Team von Administratoren, nicht allen (keinem) das root password geben und kann gezielt einzelne Nutzer ausschließen. Auch ist natürlich der wechsel des root Passwortes sehr viel einfacher.
Das erfordert natürlich tiefe Eingriffe in die Rechte Verwaltung. (Ein User root kann mehrere gültige Passworter haben…wenn man es vereinfacht grob darstellt.)
(Übrigens treibt MS ziemlichen Aufwand um zu verhindern, das der Windows Filemanager mit Admin rechten neu gestartet werden kann. Wer diese Tricks nicht kennt, aber partout den windows file manager verwenden will und keine 3rd party, muss sich mit einem Account mit Admin Rechten anmelden und damit alles machen, obwohl er eigentlich nur etwas in system32 ff. nachsehen will…
Das will man aber eigentlich nicht.)
lies "sudo" anstatt "su"
Ich fände es zusätzlich gut, wenn der Otto Normalbenutzer, der sein Gerät bei x kauft beim Einrichten dazu gewungen werden würde, ein Admin-Konto UND ein eigenes Benutzerkonto einzurichten.
Bei Linux ist das seit gefühlten 25 Jahren so das Du aktiv werden musst, wenn du dich direkt als root anmelden willst.
Sag nicht, dass Microsoft nicht lernfähig ist!
Was gut ist kupfert MS ab, leider nicht nur das.
Windows 7-11 plus Server 0-Day für den es bisher nur einen 0patch gibt. Ziel der Attacke ist den Eventlog-Dienst abzuscheißen, auch übers Netzwerk.
https://blog.0patch.com/2024/01/the-eventlogcrasher-0day-for-remotely.html
Ist im Detail im Beitrag Windows "EventLogCrasher" 0-Day-Schwachstelle crasht Event-Logging; 0patch Micro-Patch verfügbar thematisiert. Bin heute Nacht nicht mehr dazu gekommen.
"abzusch…"
This made my day…
Und der obligatorische xkcd zu sudo ;)
https://xkcd.com/149/
Cheers!
gibt doch gsudo.
am ende wird das wieder son Mist wie das windows curl…