Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 Benutzerkontosteuerung mit Administratorrechten

Frage Microsoft Windows 7

Mitglied: Senior-Ding-Dong

Senior-Ding-Dong (Level 1) - Jetzt verbinden

29.04.2011 um 13:01 Uhr, 3550 Aufrufe, 6 Kommentare

Hallo Community,

habe eine Frage zur Clientoptimierung. Ich verwende "derzeit" noch WinServer2003 als Domain Controler, habe aber schon vermehrt Windows 7 Clients in der Domäne. Beim Beschäftigen mit der Benutzerkontosteuerung bin ich auf folgende Unklarheiten getoßen.

Unsere Clients haben leider so manche "Steinzeitanwendung" (zumeist Access udgl.) die unbedingt Administratorrechte erfordern. Grundsätzlich habe ich da auch kein Problem damit. Aber - um die Clients ein wenig einzuschränken gäbe es unter Windows 7 ja schon die eine oder andere Möglichkeit. AppLocker ist nicht dass was ich suche, daher würde ich mich für die Benutzersteureung interessieren. Wenn der Client Admin Rechte hat kann er sich ja alles selbst einstellen, auch die UAC. Kennt jemand eine Möglichkeit wie man das unterbinden kann? Also Dateizugriff - JA und Beispielsweise IP ändern, Programme installieren - NEIN. Hoffe es kennt sich jemand mit meinen unübersichtlichen Ausführungen aus

Bin auch für ganz andere Lösungsansätze dankbar, vielleicht denke ich auch wiedermal zu umständlich!

Danke und ein schönes Wochenende

Marvin
Mitglied: DerWoWusste
29.04.2011 um 14:56 Uhr
Hi.

Vorweg: es ist ein Thema, das nie enden will: arbeiten als eingeschränkter Nutzer.
Mit eingeschalteter UAC macht Vista/Win7 schon einen Fortschritt: Anwendungen, die in bestimmte Bereiche schreiben wollen, die nur Nutzer mit Adminrechten beschreiben können, werden umgeleitet in virtuelle Verzeichnisse, in denen die Nutzer Schreibrechte haben. Klappt oftmals, manchmal jedoch nicht.

Ich würde zunächst sehen, was Deine Programme denn genau machen, bevor Du Adminrechte vergibst. Monitoren kannst Du das mit procmon, filtere dabei nach access denied. Fehlende Datei- oder Registryschreibrechte kann man anpassen, auch domänenweit per GPO.

Das Vorhaben, Adminrechte zu vergeben und die Admins dann einzuschränken ist schwierig bis unmöglich, da die Admins Kontroll- und Beschränkungsmaßnahmen außer Kraft setzen können.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 15:00 Uhr
Ein weiterer Ansatz: Vergib Adminrechte (was auf Vista/Win7 eben gerade durch die UAC nicht mehr so dramatisch ist), verbiete aber, diese außer zu den vorgesehenen Zwecken zu nutzen - so machen wir es in begründeten Ausnahmefällen. Außerdem kann man einige Überwachungen einschalten, die dann per Mail bei Zuwiderhandlung informieren, Stichwort NTFS-Überwachnung.
Bitte warten ..
Mitglied: Coreknabe
29.04.2011 um 15:47 Uhr
Hi Marvin,

kennst Du das hier?
http://kay-bruns.de/wp/software/surun/
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 17:09 Uhr
Na... da hat wieder einer (der Surun-Author) die Weisheit mit Löffeln gefressen...
Spricht von Vista und Co., hat aber keine Ahnung. Beispiel gefällig?
Warum keine Windows Bordmittel?

Der Windows Explorer hat einen “Ausführen als…”? Befehl. Der ist allerdings nicht praktikabel! Schadsoftware kann sich damit nämlich mit einfachsten Mitteln ein Administratoren-Kennwort besorgen. Als Demonstration dafür kann man einfach AutoHotkey benutzen. AutoHotkey loggt alle Tastendrücke mit und man kann sich das Passwort im LOG ansehen.

Quatsch. Seit Vista gibt es für die Credentialeingabe den SecureDesktop - der läuft in einer eigenen Sitzung und kann nicht abgefangen werden, hab ich spaßeshalber getestet.
Edit: Es geht auch mit deaktiviertem SecureDesktop nicht - scheint also eher an der Isolation des Prozesses consent.exe zu liegen - der läuft nämlich unter dem Konto System und kann von seinem user-mode-keylogger nicht abgefangen werden.
Ob es abgesehen davon eine gute Idee ist, surun zu verwenden, bezweifle ich hart. Ich werde es nochmal austesten und Bescheid sagen. Ich schätze, es lässt wie jedes andere Tool dieser Art eine Vererbung der hohen Rechte an Kindprozesse zu - Sicherheit ade.

Edit: Naja, er schreibt immerhin:
Das Microsoft dieses Thema so nachlässig behandelt hat, ist mir unverständlich. Schon in Windows NT 3.1 hätte man das Sicherheitsloch stopfen können. An der Rechteverwaltung hat sich bis einschließlich Windows XP nichts geändert

Was evtl. bedeutet, dass er weiß, dass dies mit Vista nicht mehr so ist.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 19:02 Uhr
Hab's mir angesehen (@win7 x64). Abgesehen von diversen Systeminstabilitäten, die in den ersten 5 Minuten bereits zu Tage kamen (keine Abmeldung mehr möglich, diverse Prozesse, inklusive explorer.exe stürzten ab), bestätigte sich meine Vermutung. Der "Schutz", den surun bietet, indem es eine Liste von erlaubten Anwendungen führt, die der schwache Nutzer als Admin starten darf, lässt sich auf einfachste Weise aushebeln.

Von der Stabilität (kann Zufall gewesen sein) mal abgesehen, kann es also ein super Tool sein, nur dann nicht, wenn man es mit der Sicherheit ernst nimmt.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 21:09 Uhr
Und nochmal ich.

Ich wollte mich schon länger mal mit folgender Software befassen: http://www.beyondtrust.com/pbwd-eval/
Hab ich nun getan: Freie Trial installiert (snapin und Client auf dem selben PC), gpedit.msc gestartet und losgelegt.

Und ich bin begeistert! Die erste Software, die das kann (es scheint zumindest nach meinen Tests und den Reviews, die ich gelesen habe so), was alle, auch Du suchen: eine sichere Implementation von Rechtedelegation. Das böse Schlupfloch, was die ganzen Softwares wie surun offenlassen, (Vererbung der starken Rechte an Kindprozesse) ist zu. Sehr geil.

Das Beste: für einzelne Rechner (und nicht domänenweit) angewendet, ist die Software kostenlos! Man kann damit also tatsächlich seine Pappenheimer zufriedenstellen, wenn es denn nicht zu viele werden, ohne einen Cent zu zahlen.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
SBS 2011 - Windows 7 Client - Administratorrechte deaktivieren
gelöst Frage von MarkowitschWindows Netzwerk5 Kommentare

Hallo liebe Community, ich habe eine Domäne mit SBS2011 und 6 Windows 7 Pro 64BIT Clients. Einer der Clients ...

Sicherheitsgrundlagen
Programm ohne UAC und Administratorrechte starten
Anleitung von agowa338Sicherheitsgrundlagen3 Kommentare

Hallo, ich denke, jeder kennt das Problem, ein Programm das die UAC aufpoppen lässt ohne dass es wirklich Administrator ...

Windows 7
Sicherheit: Administratorrechte vs. Benutzerrechte
Frage von Achimxyz4Windows 76 Kommentare

Ich benutze Windows 7 64 pro und habe ein einziges Konto (abgesehen vom deaktivierten "Administrator"- und Gast-Konto), was natürlich ...

Windows Userverwaltung
Server2008 - abgestufte Administratorrechte vergeben
Frage von KanickWindows Userverwaltung3 Kommentare

Hallo Ich habe einen Domain-Server mit Windows 2008. Den Nutzern würde ich gerne ein Administratorpasswort geben, mit dem sie ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...