sniper666
Goto Top

Administrative Rechte für Programme

Hallo zusammen,
Nach langer Suche ohne Erfolg hoffe ich nun hier Hilfe zu finden.

Es handelt sich eigentlich um eine ganz normale Situation.
In einer Firma wird ein Windows Netzwerk eingesetzt. Die User haben stark eingeschränkte Rechte.
Aber es gibt viel Software die Administrative Rechte benötigt.
Kann man einem Programm einen User Zuordnen? So das es immer mit Admin Rechten startet?
Runas ist hier natürlich nicht zu gebrauchen. Damit würde ich User und Passwort offen legen. Den Usern höhere Berechtigungen geben macht an der Stelle
auch wenig Sinn. Die Sicherheit würde leiden.
Mit den Runas tools die man oft findet würde es auch nicht gehen. Die PWs liegen zwar verschlüsselt vor aber über einen simplen APIHook kann man die leicht auslesen.
Kennt jemand eine Möglichkeit die Administrator abfrage zu umgehen? Am Besten über die Gruppenrichtlinien?
Ich freue mich über jeden Lösungsansatz oder Denksastoß.

Content-Key: 158005

Url: https://administrator.de/contentid/158005

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: fisi-pjm
fisi-pjm 04.01.2011 um 17:17:20 Uhr
Goto Top
Soll immer der gleiche Benutzer ein bestimmtes programm auf jedem rechner ausführen können oder beschränkt sich das auf einen PC?

dann würd ich sagen Registry schlüssel mit entsprechenden berechtigungen ausstatten und den Programmordner. Die installation natürlich als Admin.

Gruß
PJM
Mitglied: 96533
96533 04.01.2011 um 20:18:55 Uhr
Goto Top
Hallo.

Der gewünschte "Denkanstoß" kommt leider eher als *Klatsch an die Stirn*...

Wenn Dir die Sicherheit wichtig ist, dann kannst Du leider gar nichts machen. Sobald das Programm sichtbar (interaktiv) mit hohen Rechten startet, kann der Nutzer es auch schon zu allem Möglichen missbrauchen. Da gibt es keinen Ausweg. Alle gut gemeinten Tools runasspc, cpau und Konsorten ändern daran gar nichts.
Der einzige Fall, wo man das bei gutem Gewissen machen darf, ist bei Programmen, die ohne Oberfläche arbeiten (Kommandozeile beispielsweise). Da kann man geplante Tasks nutzen und diese vom User ausführbar machen.

Was Dir bleibt, ist eine Kapselung in einer virtuellen Maschine, sonst leider nichts.
Oder Du trittst den Programmieren auf die Füße - solche Programmierkunst muss abgestraft werden, wo nur möglich.
Mitglied: nxclass
nxclass 04.01.2011 um 22:53:18 Uhr
Goto Top
viel Software die Administrative Rechte benötigt
erst mal herausfinden Warum es Admin Rechte benötigt - ggf. reicht eine Installation in einem anderen Ordner, ein kopieren einer Systemdatei in einen weniger geschützten Bereich ...

Dann gibt es noch die Möglichkeit: Programme als Dienste zu starten - ob Dir das allerdings etwas bringt ... ?
Mitglied: 96533
96533 04.01.2011 um 23:11:38 Uhr
Goto Top
ob Dir das allerdings etwas bringt...?
Klar bringt das was: Unsicherheit. Es ist exakt das Selbe wie mit runas.
Mitglied: Logan000
Logan000 05.01.2011 um 09:00:42 Uhr
Goto Top
Moin Moin

Es handelt sich eigentlich um eine ganz normale Situation.
Aber es gibt viel Software die Administrative Rechte benötigt.
Es gibt nur sehr wenige Programme die wirklich Admin Rechte benötigen.
Es gibt ein paar mehr Programme, wo die Programmierer auf diesem Auge blöd sind. Wird aber weniger.

Kann man einem Programm einen User Zuordnen? So das es immer mit Admin Rechten startet?
Ja, allerdings ...
Die Sicherheit würde leiden.

Was du tun soltest:
1. Den Hersteller / Programmierer über das Problem informieren bzw. Abhife einfordern.
2. Euren "Softwarebeschaffer" auf die Füße treten, damit er nicht mehr so einen Mist einkauft.

Was das spezielle Programm angeht ist der Vorschlag von fisi-pjm noch sicherheitstechnisch am ehesten zu vertreten.
Zumal so in 98% der Fälle das Problem umgangen ist und sich auch per GPO umsetzen lässt.

Klappt das nicht kannst du entweder damit leben dem User lokale Adminrechte zu geben oder du klopst das Prog in die Tonne.
Da gehört es eigentlich auch hin.

Um welches Program handelt es sich?

Gruß L.
Mitglied: Pryman
Pryman 06.01.2011 um 12:28:51 Uhr
Goto Top
Hallo,

eventuell hilft dir dabei das Microsoft Application Compatibility Toolkit (kurz ACT) weiter. Damit kannst das geforderte Verhalten festlegen.

Links:
http://www.microsoft.com/downloads/en/details.aspx?familyid=24DA89E9-B5 ...
http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2534.h ...

Grüße.
Mitglied: 96533
96533 06.01.2011 um 17:55:11 Uhr
Goto Top
Hallo Pryman.

Du verstehst die Funktion des ACT miss. Du kannst damit appfixes erstellen, die die UAC umgehen, soweit richtig. Jedoch braucht das Programm weiterhin Adminrechte, sprich, es verschwindet nur die UAC-Abfrage, funktionieren wird es dennoch nur, wenn der Nutzer Admin ist.
Mitglied: Pryman
Pryman 06.01.2011 um 20:57:59 Uhr
Goto Top
Es ist mit dem ACT möglich die Anwendung mit entsprechenden Rechten ausführen zu lassen. Darum geht es ja. Abgesehen davon sind Anwendungen, welche Adminrechte verlangen, obwohl sie diese aber nicht benötigen, nicht Windows 7 ready. An dieser Stelle muss der Hersteller aktiv werden.
Mitglied: Sniper666
Sniper666 11.01.2011 um 16:52:41 Uhr
Goto Top
Erstmal Danke für die vielen Antworten.

Also es gibt doch eine Menge Software die wirklich höhere rechte benötigt. In diesem Fall handelt es sich um einen Service Controler.
Es gibt bei einem Kunden einen Service den jeder User nach bedarf starten können muss und auch wieder beenden. Da wurde eben schnell ein Controller für geschrieben. Der muss natürlich admin rechte haben. Sonst kann der controller keine services steuern.

Tut mir Leid aber da sehe ich das Problem echt nicht bei den Entwicklern. Das Koncept von Microsoft ist an manchen stellen eher etwas schwach auf der Brust. Jeder Dienst der auf einer Maschiene läuft wird über einen seperaten System Account gestartet. Warum kann ich das nicht auch für normale Anwendungen machen?

Schön wäre es wenn MS die Möglichkeit geben würde über GPO jeden User die Rechte zu geben bestimmte Anwendungen (Mit Zertifikat) mit höheren rechten auszuführen.
Da sehe ich wirklich keine Sicherheitslücke.
Für weitere Ideen bin ich dankbar. Das ist auch ein Problem das viele andere mit der Zeit sicher auch haben werden. Wie gesagt es gibt nunmal operationen für die diese Rechte wirklich nötig sind.
Mitglied: Sniper666
Sniper666 11.01.2011 um 16:58:34 Uhr
Goto Top
Also ACT Ist zwar eine Interresante Sache aber an dieser Stelle nutzlos. Ich kann damit zwar unter anderem die UAC deactivieren aber das macht nur sinn wenn die user die rechte haben. Das sorgt nähmlich nicht dafür das der User die Anwendung ausführen darf sondern nur dafür das er nicht mehr gefragt wird.
Also wie gesagt Windows domäne. Hunderte Clients. Auf allen gibt es einen service der manuel gestartet bzw. beendet werden muss. Damit die user an ihren workstations den Service Controller starten können fehlen die Rechte. (es gibt noch eine Menge andere Software die adminrechte braucht aber hier ist es wirklich berechtigt und ohne andern weg)
Das lokaleadminrechte/runastools und ähnlich sichere konzepte nicht in frage kommen sollte klar sein.
Also wie kann man einem User hohe rechte für eine bestimmte anwendung geben bzw. eine Bestimmte anwendung immer als ein anderern User ausführen?
Mitglied: Logan000
Logan000 11.01.2011 um 21:34:34 Uhr
Goto Top
Moin Moin

Was ACT abgeht: Hast Du die Einstellung RunAsAdmin ausprobiert?
Funktioniert die nicht?

Gruß L.
Mitglied: DerWoWusste
DerWoWusste 11.01.2011 um 23:19:04 Uhr
Goto Top
Hi.
Du schreibst A
Also wie kann man einem User hohe rechte für eine bestimmte anwendung geben bzw. eine Bestimmte anwendung immer als ein anderern User ausführen?
und B willst Du aber die Sicherheit wahren. Das ist unvereinbar.

Wenn die Sicherheit doch nicht wichtig ist (ein wenig wichtig gibt es meiner Ansicht nach bei diesem Thema nicht), dann nutze eins der Tools, die Kennwörter verschlüsselt übergeben, wie runasspc.
Was sagst Du denn zu dem Vorschlag mit der virtuellen Maschine als Kapselung?

Noch was:
Jeder Dienst der auf einer Maschiene läuft wird über einen seperaten System Account gestartet. Warum kann ich das nicht auch für normale Anwendungen machen?
Weil "das" nicht das ist, wonach Du suchst. Diese Dienste laufen nicht in der selben Sitzung ab, sie sind für den Nutzer gar nicht sichtbar.
Mitglied: Logan000
Logan000 12.01.2011 um 08:50:00 Uhr
Goto Top
Moin

Zitat von @Sniper666:
Es gibt bei einem Kunden einen Service den jeder User nach bedarf starten können muss und auch wieder beenden. Da wurde eben
schnell ein Controller für geschrieben. Der muss natürlich admin rechte haben. Sonst kann der controller keine services steuern.
Wenn ich das richtig verstehe, geht es hier um ein Programm das (einen bestimmten) Dienste startet und beendet.
Tut mir Leid aber da sehe ich das Problem echt nicht bei den Entwicklern.
Ich schon. Allerdings nicht bei dem "ServiceControler" sondern bei dem angesprochenem Dienst.
Wenn ein User die Anwendung starten/beenden können soll, programmiere ich keinen Dienst.

Gruß L.
Mitglied: Sniper666
Sniper666 14.01.2011 um 16:22:14 Uhr
Goto Top
Hi,

Warum sollte es nicht möglich sein höhere Rechte mit Sicherheit zu verbinden? Wenn nur diese eine Software mit einem Account ausgeführt wird der höhere Rechte hat dann kann der User an der Stelle keinen Schaden anrichten.

Zu ACT:
Die Option habe ich getestet. Bewirkt aber nichts. Was ich auch noch versucht habe ist das mit dem Standart User Analyser zu beheben. Der SUA erkennt auch das Problem. mit einem Test Run (aus dem SUA gestartet) funktioniert dann auch alles. Aber wenn ich dann den Fix installiere hat das keine Auswirkungen.
Mitglied: DerWoWusste
DerWoWusste 14.01.2011 um 18:58:08 Uhr
Goto Top
Wenn nur diese eine Software mit einem Account ausgeführt wird der höhere Rechte hat dann kann der User an der Stelle keinen Schaden anrichten.
Du musst Dich informieren, was MS mit folgendem Artikel ausdrücken will: http://msdn.microsoft.com/en-us/library/ms682573(VS.85).aspx - was auf dem selben Desktop abgeht, gefährdet einander potentiell.
Außerdem: Aus jedem sichtbar ausgeführten Programm kann jeder Depp sofort ausbrechen (z.B. über den öffnen-Dialog) und, da die Rechte an Kindprozesse vererbt werden, alles mögliche nun mit Adminrechten starten.

Ich hoffe, nun wird es langsam klar. Bei Diensten hast Du dieses Problem nicht, sie laufen unsichtbar, seit Vista noch nicht einmal mehr in der selben Session.