Jump to content

Benutzer als lokale Admins, DB-Software läuft sonst nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Die Überschrift sagt eigentlich eh schon alles.

Ein Kunde hat eine Bäckereidatenbank ( http://www.ulmer-kemo.de/Produkte/produkte.html ) laufen, welche am Client Adminrechte benötigt.

Ich habe mich mit dem Hersteller schon öfter auseinandergesetzt wegen diesem Problem, aber es kommt nichts dabei raus.

Ich verstehe echt nicht, warum ein DB-Client Adminrechte brauchen sollte, der Hersteller meint nur, mit UAC ist alles gut und putzt sich ab.

Klar, wenn aber wie erst heute wieder, die Mitarbeiter nicht nachdenken, bevor sie auf ja klicken, dann hilft die beste UAC nichts.

 

Deshalb meine Frage an euch, kennt jemand Tricks, solchen faulen Programmierern irgendwie näherzubringen, dass sie ihr Sicherheitskonzept doch endlich mal überdenken sollten?

Evtl. mit Kostenersatzforderungen, weil wiedermal eine Schadsoftware unter Adminrechten ausgeführt wurde?

Oder sonstwas?

 

 

Bitte um Tipps, oder zumindest Mitleidsbekundungen. :rolleyes:

 

 

LG

Link zu diesem Kommentar

Hi,

 

evtl. auch noch passende Berechtigungen in der Registry setzen.

 

Wenn man mal die Homepage zitieren darf:

 

B.I.T. ist die Summe der jahrelangen Erfahrung aus den Programmen UBACK und BACKORG auf der Basis der modernsten EDV-Technologie.

 

B.I.T. wird mit den modernsten zu Verfügung stehenden Werkzeugen entwickelt, um Ihrem Unternehmen ein maximales Maß an Flexibilität und Investitionssicherheit zu gewährleisten.

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?

 

Gruß

Jan

Link zu diesem Kommentar

Was die Administratorrolle eigentlich so gefährlich macht, sind die sogenannten Priviliges

https://technet.microsoft.com/en-us/library/cc771990.aspx

 

z.B.

"Debug Programs"

damit kann man die Rechte an laufenden Prozessen verändern, DLLs von Prozessen austauschen, Passworthashes dumpen, etc.

https://blogs.msdn.microsoft.com/oldnewthing/20080314-00/?p=23113

 

"Load and unload device drivers"

Warum muss die Software Treiber laden und entladen können?  

 

Es gibt noch weitere, sehr gefährliche Privileges ("Die berühmten bösen 7"), die kaum ein Administrator jemals braucht. Und die Bäckereisoftware garantiert nie!

 

Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub

Link zu diesem Kommentar

Moin,

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

Aber:

 

 

Die Software ist eine komplette Neuentwicklung in und für Windows® 98Se,/NT/2000/Me und XP geeignet

sowie

 

Bereits die Grundversion ist ein umfassendes Paket mit phantastischen Möglichkeiten

Cool.

 

;)

 

Nachtrag - hilft dem TO leider nicht, wollte ich nur mal schreiben...

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

 

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

 

BTW: So selten kommt die Forderung nach Adminrechten auch bei aktueller Software heute nicht vor! Ich glaube, es ist einfach eine Frage des Aufwandes für den Hersteller. Wenn 90% aller Kunden der Software ohne mit der Wimper zu zucken Adminrechte geben, warum sollte ich da als Hersteller in Security, die mir keiner anrechnet, investieren? Der Bäcker hat wahrscheinlich eh schon Dutzende von Schwachstellen.

Link zu diesem Kommentar

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

 

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...