{"id":12675,"date":"2024-05-13T20:14:32","date_gmt":"2024-05-13T18:14:32","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=12675"},"modified":"2024-05-13T20:21:51","modified_gmt":"2024-05-13T18:21:51","slug":"neues-sudo-fuer-windows-eine-mogelpackung-von-microsoft","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/neues-sudo-fuer-windows-eine-mogelpackung-von-microsoft\/","title":{"rendered":"Das neue Sudo f\u00fcr Windows: Eine Mogelpackung von Microsoft"},"content":{"rendered":"

Microsoft hat das Konzept des in den 1980er Jahren unter Unix entstandenen und unter GNU\/Linux seit Jahrzehnten verbreitete sudo<\/code> kopiert<\/em> – Zumindest auf den ersten Blick. Tats\u00e4chlich ist Microsofts Kopie weitaus weniger m\u00e4chtig, als das Original. Ich habe es ausprobiert, wir schauen in diesem Beitrag zusammen genauer hin. Au\u00dferdem zeige ich euch, wie es in der Vorschau-Version von Windows 11 aktiviert werden kann.<\/p>\n

Was ist sudo?<\/h2>\n

Wer noch wenig Ber\u00fchrungspunkte mit GNU\/Linux oder anderen Betriebssystemen aus der Unix-Familie hatte: Sudo entstand in den fr\u00fchen 1980er Jahren, um Uni-Studenten volle Root-Rechte (= Administrator) auf einzelne Programme zu gew\u00e4hren.1<\/a><\/sup> Daf\u00fcr gibt es die sudoers<\/code> Datei. Bis dahin war es lediglich m\u00f6glich, einen Benutzer auf das gesamte System zu berechtigen.<\/p>\n

Mit visudo<\/code> kann die sudoers Datei inklusive Syntaxpr\u00fcfung bearbeitet werden. Folgende Zeile erlaubt beispielsweise dem Benutzer namens student<\/em>, den Systemd-Dienst des Apache2 Webservers ohne Passworteingabe neu starten zu d\u00fcrfen:<\/p>\n

\n
\nstudent ALL=NOPASSWD: \/usr\/bin\/systemctl restart apache2.service\n<\/pre>\n<\/div>\n
Mehrere Befehle k\u00f6nnten per Komma getrennt werden, um etwa auch die Start\/Stop Operationen zu erlauben. Zuvor wurde dies dem Nutzer noch verweigert, weil er keine Berechtigung besa\u00df.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Sudo bietet nicht nur feine Berechtigungen mit Protokollierung. Es ist sicher & bequem nutzbar, weil man beim Arbeiten mit einem normalen Konto jederzeit sudo<\/code> vor einen Befehl setzen kann, um diesen mit vollen Root-Rechten auszuf\u00fchren. Im Gegensatz zu einer Anmeldung mit einem separaten (Root\/Admin) Nutzer unterbricht das den Arbeitsablauf nicht. Au\u00dferdem l\u00e4sst sich einstellen, ob Sudo die Eingabe des Passworts ben\u00f6tigt. Falls ja, kann eine Art Ticket festgelegt werden: Wer sich mit Sudo authentifiziert, darf es X Minuten ohne erneute Kennworteingabe verwenden.2<\/a><\/sup><\/p>\n
\n
\n$ sudo journalctl -f \/usr\/bin\/sudo\n[...]\nMay 13 14:20:09 pi5 sudo[8285]: pam_unix(sudo:auth): conversation failed\nMay 13 14:20:09 pi5 sudo[8285]: pam_unix(sudo:auth): auth could not identify password for [student]\nMay 13 14:20:09 pi5 sudo[8285]:  student : user NOT in sudoers ; TTY=pts\/3 ; PWD=\/home\/student ; USER=root ; COMMAND=\/usr\/bin\/whoami\n<\/pre>\n<\/div>\n
Was bietet Microsoft Windows bisher?<\/h2>\n
Lange Zeit hat man unter Windows alles mit einem Administrator-Konto gemacht. Erst Windows 2000 f\u00fchrte den runas<\/code> Befehl ein, um ohne umst\u00e4ndliches Ummelden als Benutzer A ein bestimmtes Programm als Benutzer B ausf\u00fchren zu k\u00f6nnen.3<\/a><\/sup> Das wurde jedoch kaum genutzt, weil es immer noch umst\u00e4ndlich war und die Software dadurch im Kontext von Benutzer B lief. Au\u00dferdem holte Windows die Vergangenheit ein: Da es lange Zeit \u00fcblich war, mit einem Administrator-Konto alle Programme zu starten, funktionierten viele mit einem normalen Konto gar nicht.<\/p>\n
Es sollte bis 2006 dauern, als Microsoft mit Windows Vista die Benutzerkontensteuerung erschuf. Nutzer mit Administratorrechten erhalten eine Bildschirmf\u00fcllende Meldung (UAC-Dialog), wenn ein Programm Administratorrechte in Anspruch nehmen m\u00f6chte. Bevor der Nutzer dies nicht genehmigt, wird die Aktion nicht ausgef\u00fchrt.4<\/a><\/sup> Diese Schutzschicht soll sicherstellen, dass nur erw\u00fcnschte Software volle Rechte erh\u00e4lt. Zuvor reichte ein falscher Klick, um einem (potenziell gef\u00e4hrlichem) Programm Admin-Rechte zu gew\u00e4hren.<\/p>\n
Das ist ein Ansatz, jedoch mit entscheidendem Nachteil: Die Software lief dadurch im Kontext eines Administrators, statt des angemeldeten Nutzers. Dies verursacht an einigen Stellen Probleme. Beispielsweise werden Einstellungen im falschen Benutzerprofil gespeichert oder die Rechte an erzeugten Dateien fehlen. Es gibt daher schon seit vielen Jahren Projekte aus der Community, die versuchen, sudo in Windows zumindest ansatzweise nachzubauen – SuRun5<\/a><\/sup> und sudowin6<\/a><\/sup> sind zwei Beispiele. Da beide nicht auf Eben des OS arbeiten, nutzen sie Tricks. SuRun beispielsweise nimmt den normalen Benutzer kurzzeitig in eine Adminstrator-Gruppe auf und entfernt ihn anschlie\u00dfend wieder daraus.7<\/a><\/sup><\/p>\n
18 Jahre sp\u00e4ter: So funktioniert Sudo f\u00fcr Windows<\/em><\/h2>\n
Wieder dauert es eine ganze Weile, bis Microsoft das Problem angeht. Etwa 39 Jahre nachdem sudo<\/code> entstand, entwickeln sie ihre eigene Implementierung f\u00fcr Windows.8<\/a><\/sup> Es startet einen neuen Prozess mit erh\u00f6hten Rechten, der (ggf. Eingeschr\u00e4nkt) mit dem urspr\u00fcnglichen Prozess kommuniziert, von dem aus sudo aufgerufen wurde.9<\/a><\/sup> Derzeit ist es nur in der Vorschau-Version enthalten, konkret Windows 11 Insider Preview 26045 – oder 26052, je nachdem, welcher Microsoft-Doku man glauben mag.10<\/a><\/sup> Ich habe sicherheitshalber 26058 genommen, dort ist es enthalten. Es muss zwar nicht installiert werden, allerdings einmalig aktiviert und konfiguriert. Ansonsten liefert der sudo<\/code> Befehl nur eine Fehlermeldung.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Praktisch: Bei gedr\u00fcckter [STRG] <\/code>Taste erreicht man \u00fcber den verlinkten Developer Settings page<\/em> Text direkt die Einstellungsseite unter System > F\u00fcr Entwickler<\/em>. Vor der Aktivierung erscheint eine Warnmeldung.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
W\u00e4hrend das Konzept vom Unix bzw. GNU\/Linux-Vorbild \u00fcbernommen wurde, unterscheidet sich Sudo f\u00fcr Windows<\/em>. Man sollte daher die Einstellungsgruppe ausklappen und sich die drei Varianten anschauen. Standardm\u00e4\u00dfig verh\u00e4lt sich Sudo f\u00fcr Windows n\u00e4mlich ganz anders, als man es seit Jahrzehnten von GNU\/Linux gewohnt ist.11<\/a><\/sup> Die Voreinstellung In einem neuen Fenster<\/em> \u00f6ffnet eine neue Konsole mit Administrator-Rechten und f\u00fchrt den Befehl dort aus.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Das ist \u00e4u\u00dferst ung\u00fcnstig und wird einige verwirren, weil sich Konsolenfenster unter Windows bekannterweise automatisch schlie\u00dfen, nachdem das Programm darin beendet ist. Wer also nur einen Befehl wie whoami<\/code> ausf\u00fchrt, der den Name des angemeldeten Benutzers ausgibt und sich danach beendet, kann Sudo f\u00fcr Windows in der Form nicht nutzen. Hier erscheint kurz ein Konsolenfenster, das sofort wieder verschwindet. Unter GNU\/Linux w\u00fcrde dies problemlos funktionieren. Unter Windows erfordert das einen Workaround: Etwa eine CMD-Instanz starten, in der man den Befehl aufruft, sowie anschlie\u00dfend mit pause<\/code> das Fenster blockiert.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Erst die anderen beiden Optionen l\u00f6sen dieses Problem durch Ausf\u00fchrung des Befehls in der bereits ge\u00f6ffneten Konsole. Inline<\/em> entspricht der GNU\/Linux Implementierung von sudo<\/code>. Damit kann der Nutzer mit der Software interagieren, beispielsweise f\u00fcr Best\u00e4tigungen oder andere Nutzereingaben.<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
In allen F\u00e4llen erscheint die UAC-Abfrage der Benutzerkontensteuerung, wie es seit Vista bei administrativen Funktionen \u00fcblich ist:<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Ung\u00fcnstig finde ich allerdings, dass hier standardm\u00e4\u00dfig nur sudo<\/code> angezeigt wird. Technisch ist das zwar korrekt – schlie\u00dflich fordert es die erh\u00f6hten Rechte an. F\u00fcr den Nutzer ist aber erst mal nicht klar, welches Zielprogramm gestartet wird. Immerhin sieht man das nach dem Einblenden der Details am Ende:<\/p>\n
\n
\"\"<\/a><\/figure>\n<\/div>\n
Das ist intransparent. Bei klassischer Software mag das Konzept in Ordnung sein, lediglich den Name des Programms anzuzeigen. Hier passt es nicht, weil sudo<\/code> blo\u00df eine Zwischenschicht ist und alleine keine R\u00fcckschl\u00fcsse darauf zul\u00e4sst, was dadurch letztendlich mit vollen Rechten ausgef\u00fchrt wird. Daher sollte aus meiner Sicht der ausgef\u00fchrte Befehl standardm\u00e4\u00dfig eingeblendet werden. Ein Vorschlag f\u00fcr 2024? \ud83d\ude09<\/p>\n
Automatische Aktivierung & Konfiguration<\/h2>\n
Alternativ zum obigen Weg l\u00e4sst es sich auch \u00fcber die Kommandozeile und damit automatisiert aktivieren:12<\/a><\/sup><\/p>\n
sudo config --enable <variante><\/code><\/pre>\n
M\u00f6gliche Varianten sind:<\/p>\n