Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 Benutzerkontosteuerung mit Administratorrechten

Frage Microsoft Windows 7

Mitglied: Senior-Ding-Dong

Senior-Ding-Dong (Level 1) - Jetzt verbinden

29.04.2011 um 13:01 Uhr, 3474 Aufrufe, 6 Kommentare

Hallo Community,

habe eine Frage zur Clientoptimierung. Ich verwende "derzeit" noch WinServer2003 als Domain Controler, habe aber schon vermehrt Windows 7 Clients in der Domäne. Beim Beschäftigen mit der Benutzerkontosteuerung bin ich auf folgende Unklarheiten getoßen.

Unsere Clients haben leider so manche "Steinzeitanwendung" (zumeist Access udgl.) die unbedingt Administratorrechte erfordern. Grundsätzlich habe ich da auch kein Problem damit. Aber - um die Clients ein wenig einzuschränken gäbe es unter Windows 7 ja schon die eine oder andere Möglichkeit. AppLocker ist nicht dass was ich suche, daher würde ich mich für die Benutzersteureung interessieren. Wenn der Client Admin Rechte hat kann er sich ja alles selbst einstellen, auch die UAC. Kennt jemand eine Möglichkeit wie man das unterbinden kann? Also Dateizugriff - JA und Beispielsweise IP ändern, Programme installieren - NEIN. Hoffe es kennt sich jemand mit meinen unübersichtlichen Ausführungen aus

Bin auch für ganz andere Lösungsansätze dankbar, vielleicht denke ich auch wiedermal zu umständlich!

Danke und ein schönes Wochenende

Marvin
Mitglied: DerWoWusste
29.04.2011 um 14:56 Uhr
Hi.

Vorweg: es ist ein Thema, das nie enden will: arbeiten als eingeschränkter Nutzer.
Mit eingeschalteter UAC macht Vista/Win7 schon einen Fortschritt: Anwendungen, die in bestimmte Bereiche schreiben wollen, die nur Nutzer mit Adminrechten beschreiben können, werden umgeleitet in virtuelle Verzeichnisse, in denen die Nutzer Schreibrechte haben. Klappt oftmals, manchmal jedoch nicht.

Ich würde zunächst sehen, was Deine Programme denn genau machen, bevor Du Adminrechte vergibst. Monitoren kannst Du das mit procmon, filtere dabei nach access denied. Fehlende Datei- oder Registryschreibrechte kann man anpassen, auch domänenweit per GPO.

Das Vorhaben, Adminrechte zu vergeben und die Admins dann einzuschränken ist schwierig bis unmöglich, da die Admins Kontroll- und Beschränkungsmaßnahmen außer Kraft setzen können.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 15:00 Uhr
Ein weiterer Ansatz: Vergib Adminrechte (was auf Vista/Win7 eben gerade durch die UAC nicht mehr so dramatisch ist), verbiete aber, diese außer zu den vorgesehenen Zwecken zu nutzen - so machen wir es in begründeten Ausnahmefällen. Außerdem kann man einige Überwachungen einschalten, die dann per Mail bei Zuwiderhandlung informieren, Stichwort NTFS-Überwachnung.
Bitte warten ..
Mitglied: Coreknabe
29.04.2011 um 15:47 Uhr
Hi Marvin,

kennst Du das hier?
http://kay-bruns.de/wp/software/surun/
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 17:09 Uhr
Na... da hat wieder einer (der Surun-Author) die Weisheit mit Löffeln gefressen...
Spricht von Vista und Co., hat aber keine Ahnung. Beispiel gefällig?
Warum keine Windows Bordmittel?

Der Windows Explorer hat einen “Ausführen als…”? Befehl. Der ist allerdings nicht praktikabel! Schadsoftware kann sich damit nämlich mit einfachsten Mitteln ein Administratoren-Kennwort besorgen. Als Demonstration dafür kann man einfach AutoHotkey benutzen. AutoHotkey loggt alle Tastendrücke mit und man kann sich das Passwort im LOG ansehen.

Quatsch. Seit Vista gibt es für die Credentialeingabe den SecureDesktop - der läuft in einer eigenen Sitzung und kann nicht abgefangen werden, hab ich spaßeshalber getestet.
Edit: Es geht auch mit deaktiviertem SecureDesktop nicht - scheint also eher an der Isolation des Prozesses consent.exe zu liegen - der läuft nämlich unter dem Konto System und kann von seinem user-mode-keylogger nicht abgefangen werden.
Ob es abgesehen davon eine gute Idee ist, surun zu verwenden, bezweifle ich hart. Ich werde es nochmal austesten und Bescheid sagen. Ich schätze, es lässt wie jedes andere Tool dieser Art eine Vererbung der hohen Rechte an Kindprozesse zu - Sicherheit ade.

Edit: Naja, er schreibt immerhin:
Das Microsoft dieses Thema so nachlässig behandelt hat, ist mir unverständlich. Schon in Windows NT 3.1 hätte man das Sicherheitsloch stopfen können. An der Rechteverwaltung hat sich bis einschließlich Windows XP nichts geändert

Was evtl. bedeutet, dass er weiß, dass dies mit Vista nicht mehr so ist.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 19:02 Uhr
Hab's mir angesehen (@win7 x64). Abgesehen von diversen Systeminstabilitäten, die in den ersten 5 Minuten bereits zu Tage kamen (keine Abmeldung mehr möglich, diverse Prozesse, inklusive explorer.exe stürzten ab), bestätigte sich meine Vermutung. Der "Schutz", den surun bietet, indem es eine Liste von erlaubten Anwendungen führt, die der schwache Nutzer als Admin starten darf, lässt sich auf einfachste Weise aushebeln.

Von der Stabilität (kann Zufall gewesen sein) mal abgesehen, kann es also ein super Tool sein, nur dann nicht, wenn man es mit der Sicherheit ernst nimmt.
Bitte warten ..
Mitglied: DerWoWusste
29.04.2011 um 21:09 Uhr
Und nochmal ich.

Ich wollte mich schon länger mal mit folgender Software befassen: http://www.beyondtrust.com/pbwd-eval/
Hab ich nun getan: Freie Trial installiert (snapin und Client auf dem selben PC), gpedit.msc gestartet und losgelegt.

Und ich bin begeistert! Die erste Software, die das kann (es scheint zumindest nach meinen Tests und den Reviews, die ich gelesen habe so), was alle, auch Du suchen: eine sichere Implementation von Rechtedelegation. Das böse Schlupfloch, was die ganzen Softwares wie surun offenlassen, (Vererbung der starken Rechte an Kindprozesse) ist zu. Sehr geil.

Das Beste: für einzelne Rechner (und nicht domänenweit) angewendet, ist die Software kostenlos! Man kann damit also tatsächlich seine Pappenheimer zufriedenstellen, wenn es denn nicht zu viele werden, ohne einen Cent zu zahlen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Windows SCCM vs Puppet + Chocolatey (2)

Frage von eglipeter zum Thema Windows Netzwerk ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...