Vraag


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
Op de Windows 10 (Home) PC van mijn schoonouders heb ik een poging gewaagd om de beveiliging te verbeteren door een nieuwe lokale 'admin' gebruiker aan te maken met Administrator-rechten en het standaard (lokaal) account te veranderen naar normaal (lokaal) account zonder Administrator-rechten.

Werkt op zich aardig, zodra er meer rechten nodig zijn wordt er nu om het admin wachtwoord gevraagd. Wel loop ik sindsdien tegen een aantal issues aan:

1. Thunderbird geeft nu bij het opstarten de melding "Er is geen e-mailprogramma gekoppeld om de gevraagde actie uit te voeren. Installeer een e-mailprogramma. Maak een koppeling in Standaardprogramma's in het Configuratiescherm als er al een e-mailprogramma is geïnstalleerd".

- Kijk ik echter bij Standaardprogramma's in het Configuratiescherm, dan staat daar keurig 'Thunderbird'.
- Opnieuw installeren van Thunderbird maakte geen verschil.
- Windows Mail als standaard Mail app instellen maakt geen verschil - melding blijft bij opstarten TB (maar *niet* bij opstarten Windows Mail!)

2. Ineens zijn er ook Administrator-rechten benodigd om met bestaande bestanden te kunnen werken, bijvoorbeeld het verplaatsen van icoontjes op het Bureaublad naar een submap.
Update: dit is kennelijk normaal gedrag voor icoontjes die zich in de map 'Alle Gebruikers / All Users / Public' bevinden.

3. NoMachine NX werkt, maar zodra ik verbonden ben 'freezed' de viewport in de viewer na enkele seconden en wordt de verbinding verbroken. Hierbij moet ik zeggen dat ik verbinding maak als de Admin gebruiker aangezien mijn schoonouders geen wachtwoord (ik weet het, ik weet het) op hun account hebben en zonder wachtwoord kan ik (terecht) überhaupt niet inloggen met de NoMachine client. Heb voor dit issue ook een topic geopend op het NoMachine forum, maar het leek me goed om dit ook hier te vermelden.

Klinkt voor mij alsof er op een aantal plekken de rechten nu te beperkt zijn danwel niet goed staan. Klopt dit en zo ja, hoe fix ik dit? Of is er meer aan de hand?

[Voor 7% gewijzigd door iGadget op 26-01-2022 15:59. Reden: geupdated met laatste bevindingen]

Nuff' said...

Alle reacties


  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 02-02 08:52

Eagle Creek

Breathing security

en het standaard (lokaal) account te veranderen naar normaal (lokaal) account zonder Administrator-rechten.
Bedoel je hiermee het standaard ingebouwde Administrator-account, óf het account waarmee de pc vanuit de fabriek is geïnstalleerd en voor je schoonouders het standaardaccount was?

1: Even de koppeling op een ander programma zetten en dan terug op Thunderbird.

2: De kans is groot dat dit een icoontje betreft op het bureaublad van "alle gebruikers" wat je nu zou willen verplaatsen naar een map op het bureaublad van een ingelogde gebruiker. Het klopt dat hier admin-rechten voor nodig zijn. Oplossing is het icoon vanuit de all users te verwijderen en er een nieuw icoon van te maken met de lokale rechten.

3: Admin-account zonder wachtwoord lijkt me sowieso niet briljant. Werkt het überhaupt wel als je er wel een wachtwoord op zet? En deze applicatie al opnieuw geinstalleerd?
Klinkt voor mij alsof er op een aantal plekken de rechten nu te beperkt zijn danwel niet goed staan. Klopt dit en zo ja, hoe fix ik dit? Of is er meer aan de hand?
Ik denk op het eerste gezicht dat het meevalt.

~ Information security professional & enthousiast ~ EC Twitter ~


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
Dank voor je reactie @Eagle Creek.
Eagle Creek schreef op woensdag 26 januari 2022 @ 14:25:
Bedoel je hiermee het standaard ingebouwde Administrator-account, óf het account waarmee de pc vanuit de fabriek is geïnstalleerd en voor je schoonouders het standaardaccount was?
Ik heb een nieuw lokaal account aangemaakt (mèt wachtwoord!) en die Administrator-rechten gegegeven.
Het bestaande lokale account (zonder wachtwoord) is ws. die af fabriek is geleverd (heet low-level ook 'Gebruiker'). Deze heeft nu geen Administrator-rechten meer.
1: Even de koppeling op een ander programma zetten en dan terug op Thunderbird.
Gedaan, maakt geen verschil.
2: De kans is groot dat dit een icoontje betreft op het bureaublad van "alle gebruikers" wat je nu zou willen verplaatsen naar een map op het bureaublad van een ingelogde gebruiker. Het klopt dat hier admin-rechten voor nodig zijn. Oplossing is het icoon vanuit de all users te verwijderen en er een nieuw icoon van te maken met de lokale rechten.
Okee, dat zou kunnen. Op zich veranderen mijn schoonouders eigenlijk nooit iets op het Bureaublad, dus dit zal in de praktijk geen probleem vormen vermoed ik. Mochten ze hier wel tegenaan lopen, dan weet ik waar te zoeken.
3: Admin-account zonder wachtwoord lijkt me sowieso niet briljant.
Eens, hartstikke eens. Maar krijg dat er maar eens in bij 70-plussers...
Werkt het überhaupt wel als je er wel een wachtwoord op zet?
Wil er best een wachtwoord opzetten, maar werkt automagisch inloggen dan nog bij opstarten? Want als dat niet meer werkt heb ik echt oorlog vrees ik 8)7
En deze applicatie al opnieuw geinstalleerd?
Heb NoMachine nog niet opnieuw geïnstalleerd, wilde nog even de reactie op het NoMachine forum afwachten aangezien dit mogelijk een bug is.
Update: wegens uitblijven reactie op het NoMachine forum, toch alvast opnieuw geïnstalleerd - maakt geen verschil.

[Voor 2% gewijzigd door iGadget op 26-01-2022 15:15. Reden: nomachine opnieuw geïnstalleerd]

Nuff' said...


  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 02-02 08:52

Eagle Creek

Breathing security

Gedaan, maakt geen verschil.
Start Thunderbid überhaupt wel door?
Wat gebeurt er als je de actie bv instelt op Outlook, werkt dan de mailto:-koppeling?
En kan Thunderbird daarna starten?
Wil er best een wachtwoord opzetten, maar werkt automagisch inloggen dan nog bij opstarten? Want als dat niet meer werkt heb ik echt oorlog vrees ik 8)7
Ja, dat kun je eenvoudig inschakelen. Desalniettemin is dit alleen een belemmering voor wanneer je inderdaad op afstand hiervan gebruik probeert te maken.

~ Information security professional & enthousiast ~ EC Twitter ~


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
Start Thunderbid überhaupt wel door?
Dat wel, zodra ik op 'OK' klik bij die melding werkt TB gewoon.
Wat gebeurt er als je de actie bv instelt op Outlook, werkt dan de mailto:-koppeling?
Die werkt. En er volgt geen melding zoals bij TB.
En kan Thunderbird daarna starten?
Ja, maar krijg dan nog steeds dezelfde melding.

Overigens werkt de mailto:-koppeling ook als de standaard app op TB staat, maar wederom met die melding.
Ja, dat kun je eenvoudig inschakelen. Desalniettemin is dit alleen een belemmering voor wanneer je inderdaad op afstand hiervan gebruik probeert te maken.
Okee done. Het resultaat met NoMachine is echter hetzelfde - freeze en disconnect na een aantal seconden.

[Voor 6% gewijzigd door iGadget op 26-01-2022 15:37. Reden: wachtwoord ingesteld voor normale gebruiker]

Nuff' said...


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
Na nog wat googlen kwam ik op deze pagina, waar verwezen wordt naar een stukje in de registry wat de boosdoener zou zijn. Voor Outlook welliswaar, maar wellicht werkt het ook voor Thunderbird...

Echter, na het (backuppen en) verwijderen van
code:
1
HKEY_LOCAL_MACHINE\Software\Clients\Mail\Thunderbird
staat de Standaard-app voor E-Mail nog steeds op 'Thunderbird'. Ook na een reboot.
Dat was 'm dus niet...

Ga nu verder met
code:
1
HKEY_LOCAL_MACHINE\Software\Mozilla\Thunderbird
waar de sleutel 'TaskBarID's' een vrij lange (naar ik vermoed, hexadecimale) waarde bevat. Wellicht doet die iets.

Dan is er nog
code:
1
HKEY_USERS\[verschillende_lange_strings_voor_verschlilende_gebruikers?]\SOFTWARE
met een aantal Thunderbird-gerelateerde subkeys.

En ongetwijfeld komen er nog -tig mogelijkheden naar voren, als ik de search loslaat op de hele registry....

Wil natuurlijk ook niet dat straks de hele Thunderbird installatie om zeep is, dus tips hierin zijn enorm welkom.

Nuff' said...


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

iGadget schreef op woensdag 26 januari 2022 @ 20:21:
...Echter, na het (backuppen en) verwijderen van
code:
1
HKEY_LOCAL_MACHINE\Software\Clients\Mail\Thunderbird
staat de Standaard-app voor E-Mail nog steeds op 'Thunderbird'. Ook na een reboot.
Dat was 'm dus niet...

Ga nu verder met
code:
1
HKEY_LOCAL_MACHINE\Software\Mozilla\Thunderbird
waar de sleutel 'TaskBarID's' een vrij lange (naar ik vermoed, hexadecimale) waarde bevat...
Je realisseert je dat deze keys omdat ze in HKLM leven, administrator privileges vereisen? Een privilege dat je je eindgebruikers had afgepakt

QnJhaGlld2FoaWV3YQ==


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
Dank voor je reactie, @Brahiewahiewa !
Je realisseert je dat deze keys omdat ze in HKLM leven, administrator privileges vereisen? Een privilege dat je je eindgebruikers had afgepakt
Eh nee, dat realiseer ik me niet want mijn kennis over de registry is vrij beperkt. Maar zoiets vermoedde ik dus al wel en dit is ws dan ook verklaring van een hoop van dit gedonder.
Vraag is nu - is dit te fixen en zo ja hoe? Liefst zonder m'n schoonouders meteen weer Administrator te maken, want dan zijn we weer terug bij af ;)

Nuff' said...


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

iGadget schreef op donderdag 27 januari 2022 @ 08:39:
Dank voor je reactie, @Brahiewahiewa !

[...]

Eh nee, dat realiseer ik me niet want mijn kennis over de registry is vrij beperkt. Maar zoiets vermoedde ik dus al wel en dit is ws dan ook verklaring van een hoop van dit gedonder.
Vraag is nu - is dit te fixen en zo ja hoe? Liefst zonder m'n schoonouders meteen weer Administrator te maken, want dan zijn we weer terug bij af ;)
Fixen wordt lastig. 't Probleem is namelijk dat er op elke registry value een Access Control List zit waar die user "gebruiker" nog met admin privileges vermeld staat. Normaal gesproken zou UAC een dialoogje moeten tonen wat om admin credentials vraagt. Maar dat gebeurt niet met een account die voorheen wel admin privileges had.

Is het een optie om een nieuwe account aan te maken voor je schoonouders? Die nieuwe account heeft dan geen last van een falende UAC. E.e.a. betekent wel dat je dan een aantal applicaties opnieuw moet gaan installeren

QnJhaGlld2FoaWV3YQ==


  • iGadget
  • Registratie: Januari 2000
  • Laatst online: 09-01 16:42
@Brahiewahiewa dank wederom voor je reactie.
Heb een nieuw account aangemaakt.
- Thunderbird (zonder data) meteen even opgestart -> geen melding (yay!).
- Bestaande Thunderbird mappen teruggekopiëerd, opgestart... zelfde melding als bij het oude account :-(

Ik vermoed nu dat het mis gaat zodra TB een koppeling (heeft ge)maakt met bijv. een IMAP server. Dit heb ik nog niet kunnen testen, de PC moest terug naar mijn schoonouders en heb NoMachine nog niet werkend.

Update - mijn schoonmoeder belde me net en het blijkt dat die melding er ook al was vóórdat ik de beveiliging had opgeschroefd |:(
Oftewel, het staat compleet los van rechten.

Inmiddels heeft ze er wel een probleem bij - als ze een bericht wist in TB, dan wordt het bericht eronder óók gewist :?
Wat dit nou weer is... 8)7

Misschien maar eens helemaal met een schone lei beginnen en voorzichtig de oude mail importeren... :/

[Voor 31% gewijzigd door iGadget op 01-02-2022 11:51. Reden: chaos...]

Nuff' said...

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee