Tb + Enigmail mit runas (anderer Benutzer) laufen lassen...

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.3.1 (32bit)
    • Betriebssystem + Version: Win7prof (64bit)
    • Kontenart (POP / IMAP): POP
    • Postfachanbieter (z.B. GMX): Gmx
    • S/MIME oder PGP: beides, GPG4win 3.1.5 mit GnuPG 2.2.11
    • Eingesetzte Antivirensoftware: Kaspersky IS
    • Firewall (Betriebssystem-intern/Externe Software): -


    Hallo,

    nach längeren Lesen 'zelebriere' ich gerade den Umstieg von Outlook-2010 zu Tb...

    und stolpere über ein Konfigurationsdetail, welches mit Ol jahrelang zuverlässig (und sicher) lief:


    Auf dem Win7-System bin ich mit Admin-Rechten angemeldet, aber alle Programme mit Zugriff auf das Internet laufen via runas unter einem eingeschränkten Benutzerkonto, so auch Outlook.


    Tb+Enigmail laufen unter dem Admin-Konto und bei Anmeldung an das entsprechende Benutzerkonto fehlerfrei,

    ABER:

    Rufe ich aus dem Admin-Konto via runas Tb+Enigmail mit den Benutzerrechten auf, streikt Enigmail, angeblich wird die gpg.exe nicht gefunden, Tb will erneut konfigurieren. Damit blockiert Tb komplett...

    Das passiert auch, wenn ich dem betreffenden Benutzerkonto testweise Admin-Rechte einräume, am Dateizugriff sollte es damit nicht liegen.


    Aufruf: runas /profile /user:name thunderbird.exe


    Wie bekomme ich Tb+Enigmail via runas unter Benutzerrechten zu laufen?


    Danke + Gruß :thumbsup:

    Hallo newcryptor,


    ich habe die Vorteile dieses Konzeptes noch nicht verstanden, permanent als Admin zu arbeiten und nur einzelne Programme in weniger berechtigten Accounts zu starten. Bisher kenne ich das nur andersrum, also generell in Accounts eingeschränkten Berechtigungen zu arbeiten und nur die wenigen administrativen Tätigkeiten "Als Administrator aus(zu)führen".


    MfG

    Drachen

    Hallo,

    hier laufen Entwicklerprogramme, die oft nach Adminrechten rufen, oftmals sind Dateisystemoperationen usw. notwendig, deshalb ist es (hier!) günstiger, als Admin zu arbeiten und einzelne Programme (wie FF, Oztlook, jetzt neu: TB) unter eingeschränkten Nutzerrechten auszuführen.

    Aber das ist hier nicht das Thema ;).


    Wie also bekomme ich TB+Enigmail mit Rechtsklick 'Ausführen als Benutzer' zum laufen? TB alleine läuft, nur Enigmail findet die gpg.exe nicht...


    Interessanterweise geht es in Sandboxie, nur ist die inzwischen nur noch für Homenutzung zuu lizensieren...

    Quote from newcryptor

    Interessanterweise geht es in Sandboxie, nur ist die inzwischen nur noch für Homenutzung zuu lizensieren...

    Schau mal nach, ob Sandboxie eine eigene Instanz des gpg und/oder des gpg-agenten startet. Wenn ja, dann hast du wahrscheinlich die Erklärung.

    Ja, Sandboxie startet eine eigene Instanz als 'Anonymous-Anmeldung', siehe Taskmanager.


    Aber selbst, wenn ich den gpg-agent.exe und/oder gpg.exe unter dem Benutzer 'vorlade' (dann aktiv im Taskmanager), findet TB bzw. Enigmail die gpg-installation nicht. Nur warum?


    So eine Effekt hatte ich noch bei keinem Programm, und in dieser Konstellation habe ich schon einiges durchprobieren müssen...


    Es ist nur eine Vermutung. Sie scheint aber zumindest in die richtige Richtung zu gehen.


    Ich nehme an, dass die Kombination gpg und gpg-agent nur Zugriff auf den Schlüsselbund des Benutzers erlaubt, in dessen Kontext er läuft. Unabhängig von den Windows-Rechten.

    Sanboxie hingegen startet seine eigene Instanz inklusive der Kopie des richtigen Schlüsselbunds. Soweit meine Theorie.


    Das ließe sich vermeiden, wenn du umgekehrt vorgehen würdest: Im Benutzerkonto arbeiten und den Anwendungen, die weitergehende Rechte benötigen, diese einräumen.


    Auch wenn es hier nicht das Thema ist: Dein Verfahren ist nicht "recht sicher". Es ist bequemer.

    Alle Programme, auch die, die du vielleicht nicht bewusst wahrnimmst, laufen bei dir mit Admin-Rechten. Dazu gehören auch Dienste, die sonst mit den Rechten des Benutzers laufen würden. Schau mal in den Taskmanager, was bei dir alles mit vollen Rechten läuft. Summa summarum hast du so einiges laufen, dass volle Rechte hat, obwohl sie gar nicht benötigt werden. Jedes Programm und jeder Dienst sind aber potentielle Angriffsfläche.


    Vorgesehen ist es genau anders herum: Der Benutzer bekommt nur die Rechte, der er benötigt. Auch Schreibzugriffe lassen sich im Detail konfigurieren. Das benötigt einmalig etwas Aufwand in der Administration.
    Im Ausnahmefall kann man einzelne Programmen mit Admin-Rechte starten.


    Du könntest zum Abrufen der E-Mails und zum Surfen etc. auch den Benutzer wechseln. Das ist auch nicht so bequem, aber insgesamt sicherer als deine Variante.


    Das bitte nur als Hinweis verstehen. Du bist der Chef auf deinem Rechner.

    Dann stellt sich die Frage, wie man diese Kombination TB+Enigmail+gpg+gpg-agent in einem einheitlichen Benutzerkontex starten kann. Der Taskmanager zeigt aber alle Programm unter dem entsprechenden einheitlichen Benutzer, irgendwie verstehe ich das nicht...


    (Die Diskussion, wie hier auf dem Rechner angemeldet wird, hatte ich schon mehrfach, derzeit kann dies nicht geändert werden, bitte nicht neu diskutieren! Prinzipiell hast Du Recht!)

    Sofern meine Theorie zutrifft, wäre die einzige mir bekannte Lösung (außer der, die du derzeit ausschließt) die, den Benutzer zu wechseln. Dann läuft alles im richtigen Kontext. Das ist eher lästig.


    Vielleicht ließe sich auch ein Script schreiben, welches laufende Instanzen beendet, sie im Kontext des Benutzers neu startet und den Thunderbird startet.

    Ausprobieren könntest duch auch, den Benutzer zunächst anzumelden und den gpg-agenten zu starten, falls er das nicht ohnehin automatisch wird. Dann wechselst du zum Admin-Konto, ohne den Benutzer abzumelden.


    Schön ist das alles nicht. Wenn man sich eine Lösung an den vorgesehenen Verfahren oder Standards vorbei zurechtbiegt, dann ist es oft so, dass man an anderer Stelle Probleme bekommt. Wenn man dann anfängt, weiter zu verbiegen, gerät man nur noch tiefer in den Teufelskreis.