Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Administrative Rechte für Programme

Frage Microsoft

Mitglied: Sniper666

Sniper666 (Level 1) - Jetzt verbinden

04.01.2011 um 17:14 Uhr, 6231 Aufrufe, 15 Kommentare

Hallo zusammen,
Nach langer Suche ohne Erfolg hoffe ich nun hier Hilfe zu finden.

Es handelt sich eigentlich um eine ganz normale Situation.
In einer Firma wird ein Windows Netzwerk eingesetzt. Die User haben stark eingeschränkte Rechte.
Aber es gibt viel Software die Administrative Rechte benötigt.
Kann man einem Programm einen User Zuordnen? So das es immer mit Admin Rechten startet?
Runas ist hier natürlich nicht zu gebrauchen. Damit würde ich User und Passwort offen legen. Den Usern höhere Berechtigungen geben macht an der Stelle
auch wenig Sinn. Die Sicherheit würde leiden.
Mit den Runas tools die man oft findet würde es auch nicht gehen. Die PWs liegen zwar verschlüsselt vor aber über einen simplen APIHook kann man die leicht auslesen.
Kennt jemand eine Möglichkeit die Administrator abfrage zu umgehen? Am Besten über die Gruppenrichtlinien?
Ich freue mich über jeden Lösungsansatz oder Denksastoß.
Mitglied: fisi-pjm
04.01.2011 um 17:17 Uhr
Soll immer der gleiche Benutzer ein bestimmtes programm auf jedem rechner ausführen können oder beschränkt sich das auf einen PC?

dann würd ich sagen Registry schlüssel mit entsprechenden berechtigungen ausstatten und den Programmordner. Die installation natürlich als Admin.

Gruß
PJM
Bitte warten ..
Mitglied: 96533
04.01.2011 um 20:18 Uhr
Hallo.

Der gewünschte "Denkanstoß" kommt leider eher als *Klatsch an die Stirn*...

Wenn Dir die Sicherheit wichtig ist, dann kannst Du leider gar nichts machen. Sobald das Programm sichtbar (interaktiv) mit hohen Rechten startet, kann der Nutzer es auch schon zu allem Möglichen missbrauchen. Da gibt es keinen Ausweg. Alle gut gemeinten Tools runasspc, cpau und Konsorten ändern daran gar nichts.
Der einzige Fall, wo man das bei gutem Gewissen machen darf, ist bei Programmen, die ohne Oberfläche arbeiten (Kommandozeile beispielsweise). Da kann man geplante Tasks nutzen und diese vom User ausführbar machen.

Was Dir bleibt, ist eine Kapselung in einer virtuellen Maschine, sonst leider nichts.
Oder Du trittst den Programmieren auf die Füße - solche Programmierkunst muss abgestraft werden, wo nur möglich.
Bitte warten ..
Mitglied: nxclass
04.01.2011 um 22:53 Uhr
viel Software die Administrative Rechte benötigt
erst mal herausfinden Warum es Admin Rechte benötigt - ggf. reicht eine Installation in einem anderen Ordner, ein kopieren einer Systemdatei in einen weniger geschützten Bereich ...

Dann gibt es noch die Möglichkeit: Programme als Dienste zu starten - ob Dir das allerdings etwas bringt ... ?
Bitte warten ..
Mitglied: 96533
04.01.2011 um 23:11 Uhr
ob Dir das allerdings etwas bringt...?
Klar bringt das was: Unsicherheit. Es ist exakt das Selbe wie mit runas.
Bitte warten ..
Mitglied: Logan000
05.01.2011 um 09:00 Uhr
Moin Moin

Es handelt sich eigentlich um eine ganz normale Situation.
....
Aber es gibt viel Software die Administrative Rechte benötigt.
Es gibt nur sehr wenige Programme die wirklich Admin Rechte benötigen.
Es gibt ein paar mehr Programme, wo die Programmierer auf diesem Auge blöd sind. Wird aber weniger.

Kann man einem Programm einen User Zuordnen? So das es immer mit Admin Rechten startet?
Ja, allerdings ...
Die Sicherheit würde leiden.

Was du tun soltest:
1. Den Hersteller / Programmierer über das Problem informieren bzw. Abhife einfordern.
2. Euren "Softwarebeschaffer" auf die Füße treten, damit er nicht mehr so einen Mist einkauft.

Was das spezielle Programm angeht ist der Vorschlag von fisi-pjm noch sicherheitstechnisch am ehesten zu vertreten.
Zumal so in 98% der Fälle das Problem umgangen ist und sich auch per GPO umsetzen lässt.

Klappt das nicht kannst du entweder damit leben dem User lokale Adminrechte zu geben oder du klopst das Prog in die Tonne.
Da gehört es eigentlich auch hin.

Um welches Program handelt es sich?

Gruß L.
Bitte warten ..
Mitglied: Pryman
06.01.2011 um 12:28 Uhr
Hallo,

eventuell hilft dir dabei das Microsoft Application Compatibility Toolkit (kurz ACT) weiter. Damit kannst das geforderte Verhalten festlegen.

Links:
http://www.microsoft.com/downloads/en/details.aspx?familyid=24DA89E9-B5 ...
http://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2534.h ...

Grüße.
Bitte warten ..
Mitglied: 96533
06.01.2011 um 17:55 Uhr
Hallo Pryman.

Du verstehst die Funktion des ACT miss. Du kannst damit appfixes erstellen, die die UAC umgehen, soweit richtig. Jedoch braucht das Programm weiterhin Adminrechte, sprich, es verschwindet nur die UAC-Abfrage, funktionieren wird es dennoch nur, wenn der Nutzer Admin ist.
Bitte warten ..
Mitglied: Pryman
06.01.2011 um 20:57 Uhr
Es ist mit dem ACT möglich die Anwendung mit entsprechenden Rechten ausführen zu lassen. Darum geht es ja. Abgesehen davon sind Anwendungen, welche Adminrechte verlangen, obwohl sie diese aber nicht benötigen, nicht Windows 7 ready. An dieser Stelle muss der Hersteller aktiv werden.
Bitte warten ..
Mitglied: Sniper666
11.01.2011 um 16:52 Uhr
Erstmal Danke für die vielen Antworten.

Also es gibt doch eine Menge Software die wirklich höhere rechte benötigt. In diesem Fall handelt es sich um einen Service Controler.
Es gibt bei einem Kunden einen Service den jeder User nach bedarf starten können muss und auch wieder beenden. Da wurde eben schnell ein Controller für geschrieben. Der muss natürlich admin rechte haben. Sonst kann der controller keine services steuern.

Tut mir Leid aber da sehe ich das Problem echt nicht bei den Entwicklern. Das Koncept von Microsoft ist an manchen stellen eher etwas schwach auf der Brust. Jeder Dienst der auf einer Maschiene läuft wird über einen seperaten System Account gestartet. Warum kann ich das nicht auch für normale Anwendungen machen?

Schön wäre es wenn MS die Möglichkeit geben würde über GPO jeden User die Rechte zu geben bestimmte Anwendungen (Mit Zertifikat) mit höheren rechten auszuführen.
Da sehe ich wirklich keine Sicherheitslücke.
Für weitere Ideen bin ich dankbar. Das ist auch ein Problem das viele andere mit der Zeit sicher auch haben werden. Wie gesagt es gibt nunmal operationen für die diese Rechte wirklich nötig sind.
Bitte warten ..
Mitglied: Sniper666
11.01.2011 um 16:58 Uhr
Also ACT Ist zwar eine Interresante Sache aber an dieser Stelle nutzlos. Ich kann damit zwar unter anderem die UAC deactivieren aber das macht nur sinn wenn die user die rechte haben. Das sorgt nähmlich nicht dafür das der User die Anwendung ausführen darf sondern nur dafür das er nicht mehr gefragt wird.
Also wie gesagt Windows domäne. Hunderte Clients. Auf allen gibt es einen service der manuel gestartet bzw. beendet werden muss. Damit die user an ihren workstations den Service Controller starten können fehlen die Rechte. (es gibt noch eine Menge andere Software die adminrechte braucht aber hier ist es wirklich berechtigt und ohne andern weg)
Das lokaleadminrechte/runastools und ähnlich sichere konzepte nicht in frage kommen sollte klar sein.
Also wie kann man einem User hohe rechte für eine bestimmte anwendung geben bzw. eine Bestimmte anwendung immer als ein anderern User ausführen?
Bitte warten ..
Mitglied: Logan000
11.01.2011 um 21:34 Uhr
Moin Moin

Was ACT abgeht: Hast Du die Einstellung RunAsAdmin ausprobiert?
Funktioniert die nicht?

Gruß L.
Bitte warten ..
Mitglied: DerWoWusste
11.01.2011 um 23:19 Uhr
Hi.
Du schreibst A
Also wie kann man einem User hohe rechte für eine bestimmte anwendung geben bzw. eine Bestimmte anwendung immer als ein anderern User ausführen?
und B willst Du aber die Sicherheit wahren. Das ist unvereinbar.

Wenn die Sicherheit doch nicht wichtig ist (ein wenig wichtig gibt es meiner Ansicht nach bei diesem Thema nicht), dann nutze eins der Tools, die Kennwörter verschlüsselt übergeben, wie runasspc.
Was sagst Du denn zu dem Vorschlag mit der virtuellen Maschine als Kapselung?

Noch was:
Jeder Dienst der auf einer Maschiene läuft wird über einen seperaten System Account gestartet. Warum kann ich das nicht auch für normale Anwendungen machen?
Weil "das" nicht das ist, wonach Du suchst. Diese Dienste laufen nicht in der selben Sitzung ab, sie sind für den Nutzer gar nicht sichtbar.
Bitte warten ..
Mitglied: Logan000
12.01.2011 um 08:50 Uhr
Moin

Zitat von Sniper666:
Es gibt bei einem Kunden einen Service den jeder User nach bedarf starten können muss und auch wieder beenden. Da wurde eben
schnell ein Controller für geschrieben. Der muss natürlich admin rechte haben. Sonst kann der controller keine services steuern.
Wenn ich das richtig verstehe, geht es hier um ein Programm das (einen bestimmten) Dienste startet und beendet.
Tut mir Leid aber da sehe ich das Problem echt nicht bei den Entwicklern.
Ich schon. Allerdings nicht bei dem "ServiceControler" sondern bei dem angesprochenem Dienst.
Wenn ein User die Anwendung starten/beenden können soll, programmiere ich keinen Dienst.

Gruß L.
Bitte warten ..
Mitglied: Sniper666
14.01.2011 um 16:22 Uhr
Hi,

Warum sollte es nicht möglich sein höhere Rechte mit Sicherheit zu verbinden? Wenn nur diese eine Software mit einem Account ausgeführt wird der höhere Rechte hat dann kann der User an der Stelle keinen Schaden anrichten.

Zu ACT:
Die Option habe ich getestet. Bewirkt aber nichts. Was ich auch noch versucht habe ist das mit dem Standart User Analyser zu beheben. Der SUA erkennt auch das Problem. mit einem Test Run (aus dem SUA gestartet) funktioniert dann auch alles. Aber wenn ich dann den Fix installiere hat das keine Auswirkungen.
Bitte warten ..
Mitglied: DerWoWusste
14.01.2011 um 18:58 Uhr
Wenn nur diese eine Software mit einem Account ausgeführt wird der höhere Rechte hat dann kann der User an der Stelle keinen Schaden anrichten.
Du musst Dich informieren, was MS mit folgendem Artikel ausdrücken will: http://msdn.microsoft.com/en-us/library/ms682573(VS.85).aspx - was auf dem selben Desktop abgeht, gefährdet einander potentiell.
Außerdem: Aus jedem sichtbar ausgeführten Programm kann jeder Depp sofort ausbrechen (z.B. über den öffnen-Dialog) und, da die Rechte an Kindprozesse vererbt werden, alles mögliche nun mit Adminrechten starten.

Ich hoffe, nun wird es langsam klar. Bei Diensten hast Du dieses Problem nicht, sie laufen unsichtbar, seit Vista noch nicht einmal mehr in der selben Session.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Userverwaltung
Benötigte Rechte für PC Domjoin (2)

Frage von Phill93 zum Thema Windows Userverwaltung ...

Linux Userverwaltung
Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen (1)

Link von magicteddy zum Thema Linux Userverwaltung ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...