Zum Inhalt wechseln


Foto

Benutzer als lokale Admins, DB-Software läuft sonst nicht


  • Bitte melde dich an um zu Antworten
31 Antworten in diesem Thema

#1 Mr_Marple

Mr_Marple

    Junior Member

  • 149 Beiträge

 

Geschrieben 11. April 2016 - 17:27

Hallo!

 

Die Überschrift sagt eigentlich eh schon alles.

Ein Kunde hat eine Bäckereidatenbank ( http://www.ulmer-kem...e/produkte.html ) laufen, welche am Client Adminrechte benötigt.

Ich habe mich mit dem Hersteller schon öfter auseinandergesetzt wegen diesem Problem, aber es kommt nichts dabei raus.

Ich verstehe echt nicht, warum ein DB-Client Adminrechte brauchen sollte, der Hersteller meint nur, mit UAC ist alles gut und putzt sich ab.

Klar, wenn aber wie erst heute wieder, die Mitarbeiter nicht nachdenken, bevor sie auf ja klicken, dann hilft die beste UAC nichts.

 

Deshalb meine Frage an euch, kennt jemand Tricks, solchen faulen Programmierern irgendwie näherzubringen, dass sie ihr Sicherheitskonzept doch endlich mal überdenken sollten?

Evtl. mit Kostenersatzforderungen, weil wiedermal eine Schadsoftware unter Adminrechten ausgeführt wurde?

Oder sonstwas?

 

 

Bitte um Tipps, oder zumindest Mitleidsbekundungen. :rolleyes:

 

 

LG



#2 magheinz

magheinz

    Newbie

  • 1.417 Beiträge

 

Geschrieben 11. April 2016 - 17:50

Braucht das Teil wirklich adminrechte oder genügt es die Schreibrechte unter c:\programme...\bäckersoftware anzupassen?



#3 Mr_Marple

Mr_Marple

    Junior Member

  • 149 Beiträge

 

Geschrieben 11. April 2016 - 17:56

Nein, das reicht leider nicht.

Habe es probiert und laut Hersteller ist auch definitiv die Admin-Berechtigung notwendig.

Vor ein paar Jahren noch durfte nicht mal die UAC eingeschaltet werden...



#4 testperson

testperson

    Board Veteran

  • 4.637 Beiträge

 

Geschrieben 11. April 2016 - 17:59

Hi,

 

evtl. auch noch passende Berechtigungen in der Registry setzen.

 

Wenn man mal die Homepage zitieren darf:

 

B.I.T. ist die Summe der jahrelangen Erfahrung aus den Programmen UBACK und BACKORG auf der Basis der modernsten EDV-Technologie.

 

B.I.T. wird mit den modernsten zu Verfügung stehenden Werkzeugen entwickelt, um Ihrem Unternehmen ein maximales Maß an Flexibilität und Investitionssicherheit zu gewährleisten.

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#5 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 11. April 2016 - 19:18

Moin,

 

neben Programfiles und Registry gibt es auch noch ProgramData, AllUsers, das Stammverzeichnis der Festplatte, etc.

 

Eventuell mal mit Process Monitor schauen:

https://technet.micr...ernals/bb896645

 

Mitleid gibt es von mir grundsätzlich nicht ;)


Keep It Small - Keep It Simple


#6 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 11. April 2016 - 19:50

Was die Administratorrolle eigentlich so gefährlich macht, sind die sogenannten Priviliges

https://technet.micr...y/cc771990.aspx

 

z.B.

"Debug Programs"

damit kann man die Rechte an laufenden Prozessen verändern, DLLs von Prozessen austauschen, Passworthashes dumpen, etc.

https://blogs.msdn.m...314-00/?p=23113

 

"Load and unload device drivers"

Warum muss die Software Treiber laden und entladen können?  

 

Es gibt noch weitere, sehr gefährliche Privileges ("Die berühmten bösen 7"), die kaum ein Administrator jemals braucht. Und die Bäckereisoftware garantiert nie!

 

Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.910 Beiträge

 

Geschrieben 11. April 2016 - 20:11

Seh ich genauso.

Make something i***-proof and they will build a better i***.


#8 Sunny61

Sunny61

    Expert Member

  • 22.225 Beiträge

 

Geschrieben 11. April 2016 - 20:19

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!
  • DocData gefällt das
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#9 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.771 Beiträge

 

Geschrieben 11. April 2016 - 21:27

Die Software würde bei uns nicht zum Einsatz kommen, selbst wenn es der einzige Hersteller für eine Nischenlösung wäre.

 

Ich bin da bei Sunny, geht heute garnicht mehr.

 

:mad:


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#10 testperson

testperson

    Board Veteran

  • 4.637 Beiträge

 

Geschrieben 12. April 2016 - 05:07

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)


Good morning, that's a nice TNETENNBA!

#11 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.771 Beiträge

 

Geschrieben 12. April 2016 - 05:14

Moin,

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

Aber:

 

 

Die Software ist eine komplette Neuentwicklung in und für Windows® 98Se,/NT/2000/Me und XP geeignet

sowie

 

Bereits die Grundversion ist ein umfassendes Paket mit phantastischen Möglichkeiten

Cool.

 

;)

 

Nachtrag - hilft dem TO leider nicht, wollte ich nur mal schreiben...


Bearbeitet von Nobbyaushb, 12. April 2016 - 05:15.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#12 testperson

testperson

    Board Veteran

  • 4.637 Beiträge

 

Geschrieben 12. April 2016 - 05:16

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

wink.gif

Es ging mir eher um den Inhalt. Alles andere ist Geschmacksache und da ist zum Glück jeder Jeck anders ;)


Good morning, that's a nice TNETENNBA!

#13 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.771 Beiträge

 

Geschrieben 12. April 2016 - 05:18

@Jan - schon klar! :D


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server (heißt ja jetzt Office Server and Services..)

Das Problem gefällt mir nicht, ich hätte gerne ein anderes.

Wenn das die Lösung ist, hätte ich gerne mein Problem wieder


#14 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 12. April 2016 - 05:51

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.
 

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

 

BTW: So selten kommt die Forderung nach Adminrechten auch bei aktueller Software heute nicht vor! Ich glaube, es ist einfach eine Frage des Aufwandes für den Hersteller. Wenn 90% aller Kunden der Software ohne mit der Wimper zu zucken Adminrechte geben, warum sollte ich da als Hersteller in Security, die mir keiner anrechnet, investieren? Der Bäcker hat wahrscheinlich eh schon Dutzende von Schwachstellen.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#15 Sunny61

Sunny61

    Expert Member

  • 22.225 Beiträge

 

Geschrieben 12. April 2016 - 06:10

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.
Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!
Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.


Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/