Mr_Marple 15 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Hallo! Die Überschrift sagt eigentlich eh schon alles. Ein Kunde hat eine Bäckereidatenbank ( http://www.ulmer-kemo.de/Produkte/produkte.html ) laufen, welche am Client Adminrechte benötigt. Ich habe mich mit dem Hersteller schon öfter auseinandergesetzt wegen diesem Problem, aber es kommt nichts dabei raus. Ich verstehe echt nicht, warum ein DB-Client Adminrechte brauchen sollte, der Hersteller meint nur, mit UAC ist alles gut und putzt sich ab. Klar, wenn aber wie erst heute wieder, die Mitarbeiter nicht nachdenken, bevor sie auf ja klicken, dann hilft die beste UAC nichts. Deshalb meine Frage an euch, kennt jemand Tricks, solchen faulen Programmierern irgendwie näherzubringen, dass sie ihr Sicherheitskonzept doch endlich mal überdenken sollten? Evtl. mit Kostenersatzforderungen, weil wiedermal eine Schadsoftware unter Adminrechten ausgeführt wurde? Oder sonstwas? Bitte um Tipps, oder zumindest Mitleidsbekundungen. :rolleyes: LG Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Braucht das Teil wirklich adminrechte oder genügt es die Schreibrechte unter c:\programme...\bäckersoftware anzupassen? Zitieren Link zu diesem Kommentar
Mr_Marple 15 Geschrieben 11. April 2016 Autor Melden Teilen Geschrieben 11. April 2016 Nein, das reicht leider nicht. Habe es probiert und laut Hersteller ist auch definitiv die Admin-Berechtigung notwendig. Vor ein paar Jahren noch durfte nicht mal die UAC eingeschaltet werden... Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Hi, evtl. auch noch passende Berechtigungen in der Registry setzen. Wenn man mal die Homepage zitieren darf: B.I.T. ist die Summe der jahrelangen Erfahrung aus den Programmen UBACK und BACKORG auf der Basis der modernsten EDV-Technologie. B.I.T. wird mit den modernsten zu Verfügung stehenden Werkzeugen entwickelt, um Ihrem Unternehmen ein maximales Maß an Flexibilität und Investitionssicherheit zu gewährleisten. Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder? Gruß Jan Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Moin, neben Programfiles und Registry gibt es auch noch ProgramData, AllUsers, das Stammverzeichnis der Festplatte, etc. Eventuell mal mit Process Monitor schauen: https://technet.microsoft.com/en-us/sysinternals/bb896645 Mitleid gibt es von mir grundsätzlich nicht ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Was die Administratorrolle eigentlich so gefährlich macht, sind die sogenannten Priviliges https://technet.microsoft.com/en-us/library/cc771990.aspx z.B. "Debug Programs" damit kann man die Rechte an laufenden Prozessen verändern, DLLs von Prozessen austauschen, Passworthashes dumpen, etc. https://blogs.msdn.microsoft.com/oldnewthing/20080314-00/?p=23113 "Load and unload device drivers" Warum muss die Software Treiber laden und entladen können? Es gibt noch weitere, sehr gefährliche Privileges ("Die berühmten bösen 7"), die kaum ein Administrator jemals braucht. Und die Bäckereisoftware garantiert nie! Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO. Auch NTFS-Rechte können explizit gesetzt werden. Frag den Hersteller, ob ein "Power User" auch genügen würde :-) blub Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Seh ich genauso. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter. Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen! 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 11. April 2016 Melden Teilen Geschrieben 11. April 2016 Die Software würde bei uns nicht zum Einsatz kommen, selbst wenn es der einzige Hersteller für eine Nischenlösung wäre. Ich bin da bei Sunny, geht heute garnicht mehr. :mad: Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen! Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 (bearbeitet) Moin, Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;) Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden... Aber: Die Software ist eine komplette Neuentwicklung in und für Windows® 98Se,/NT/2000/Me und XP geeignet sowie Bereits die Grundversion ist ein umfassendes Paket mit phantastischen Möglichkeiten Cool. ;) Nachtrag - hilft dem TO leider nicht, wollte ich nur mal schreiben... bearbeitet 12. April 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden... Es ging mir eher um den Inhalt. Alles andere ist Geschmacksache und da ist zum Glück jeder Jeck anders ;) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 @Jan - schon klar! :D Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter. Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten. Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren! Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen. BTW: So selten kommt die Forderung nach Adminrechten auch bei aktueller Software heute nicht vor! Ich glaube, es ist einfach eine Frage des Aufwandes für den Hersteller. Wenn 90% aller Kunden der Software ohne mit der Wimper zu zucken Adminrechte geben, warum sollte ich da als Hersteller in Security, die mir keiner anrechnet, investieren? Der Bäcker hat wahrscheinlich eh schon Dutzende von Schwachstellen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 12. April 2016 Melden Teilen Geschrieben 12. April 2016 Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten. Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren! Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen. Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler? Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.