e2e4 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 @Kohn heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt! Danke für diesen Hinweis. Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert. Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt? Grüße, e2e4 Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert. Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen. Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"! Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Du hast zwar vollkommen Recht, aber es handelt sich hierbei sogar um eine zig-Tausend-Euro teure Spezial-Simulations-Software (kein Office-PC im herkömmlichen Sinne) und da kümmert man sich um derartiges wenig, da hilft auch kein "Beschweren" - als Antwort kommt nur, "bei uns läuft das auch so" ... Alternativen sind also keine vorhanden. Grüße, e2e4 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 14. September 2005 Melden Teilen Geschrieben 14. September 2005 Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt? Grüße, e2e4 Ein guter Ansatz sind da File und Regmon [boardsuche]. Beim Notes Client gilt es speziell dem User Schreibrechte auf die Notes.ini zu erteilen, denn ohne die geht nichts. Du kannst aber auch gleich das ganze Notes Programm Verzeichnis mit etwas höheren Rechten ausstatten. GPO und engeschränkte Gruppen/Dateisystem sind da die zu verwenden Lösungen. Gruss Velius Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 15. September 2005 Melden Teilen Geschrieben 15. September 2005 @Velius Mit Deinen Hinweisen ist es mir gelungen LN auch mit DropMyRights zu starten. Danke! Ich habe mir jetzt dazu eine Lösung über cacls und machlink aus Batch gebastelt, um die Links auf dem Desktop/Schnellstartleiste zu verteilen. Dabei habe ich noch zwei Seiten gefunden, die in diese Thematik passen und bisher noch nicht genannt worden: xsudo für Windows -> http://www.lancode.de/ Arbeiten ohne Adminrechte -> http://www.noadmin.de/forum/index.php Grüße, e2e4 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 15. September 2005 Melden Teilen Geschrieben 15. September 2005 @e2e4 Schön! :) Doch man sollte schon versuchen, die Rechte zu erteilen, die notwendig sind, und nicht erst Admin Rechte zuweisen und anschliessend die, die zuviel sind wieder entziehen.... Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 20. September 2005 Melden Teilen Geschrieben 20. September 2005 Eine Nachfrage zu den Systemvoraussetzungen für DropMyRights habe ich dennoch. Während auf XP-Systemen alles einwandfrei arbeitet, habe ich bei Win2k Probleme. Hier erhalte ich immer die Fehlermeldung: Der Prozedureinsprungspunkt "safercreatelevel" wurde in der dll "advapi32.dll" nicht gefunden Installiert ist auf diesen Systemen .DOT-NET 2 BETA. Aus der Fehlermeldung bin ich bisher nicht schlau geworden und die Anforderungen zur Nutzung von DropMyRights konnte ich nirgends finden ... Herausgefunden habe ich, dass Programme, die im Kontext von DMR gestartet wurden auch daraus resultierende Programme in diesem Kontext lassen. Also z.B. Mail-Client mit DMR gestartet und Link daraus "geklickt" öffnet den Browser ebenfalls mit DMR-Beschränkung. Grüße, e2e4 Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 30. September 2005 Melden Teilen Geschrieben 30. September 2005 Übrigens hier gibt es noch eine Anleitung in Sachen "Dr. Watson für Adminrechte": Application Compatibility Toolkit http://www.microsoft.com/germany/msdn/library/security/DasApplicationCompatibilityToolkit.mspx Grüße, e2e4 Zitieren Link zu diesem Kommentar
e2e4 10 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Windows Vista beabsichtigt weitere Verbesserungen im Zusammenhang mit dem User-Kontext: http://www.microsoft.com/austria/technet/articles/vista-produktuebersicht.mspx Ich bin gespannt :) Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 22. Januar 2006 Autor Melden Teilen Geschrieben 22. Januar 2006 Microsoft hat dazu ein neues Whitepaper veröffentlicht: Applying the Principle of Least Privilege to User Accounts on Windows XP http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/luawinxp.mspx u. hier findet ihr noch einen Blog zum Topic: The Microsoft Solutions for Security and Compliance (MSSC) team consists of subject matter experts, testers and editors who create security guidance solutions for the IT professional. http://blogs.technet.com/secguide/ LG Gadget Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 1. Februar 2006 Melden Teilen Geschrieben 1. Februar 2006 Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"! Full ACK, das Problem ist nur, wenn diese Software bereits vorhanden ist und mal richtig Asche gekostet hat. Versuch mal Deinem Chef zu erklären, dass diese Software Pfui ist. OK, oft gibt's dann updates, die dies beheben. Die sind aber meist auch nicht umsonst. Ich kenne sogar einen konkreten Fall (zum Glück nicht in meinem Netz), da gibt es gar keinen Support mehr für diese Software, obwohl die noch gar nicht so alt ist. (Der Hersteller wurde aufgekauft.) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.