Zum Inhalt wechseln


Foto

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!


  • Bitte melde dich an um zu Antworten
40 Antworten in diesem Thema

#31 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 14. September 2005 - 08:40

@Kohn

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!


Danke für diesen Hinweis. Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert. Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

Grüße, e2e4
MCP

#32 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.226 Beiträge

 

Geschrieben 14. September 2005 - 09:06

Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert.


Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.
Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!
Never argue with an idíot, they drag you down to their level and beat you with experience!

#33 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 14. September 2005 - 09:30

Du hast zwar vollkommen Recht, aber es handelt sich hierbei sogar um eine zig-Tausend-Euro teure Spezial-Simulations-Software (kein Office-PC im herkömmlichen Sinne) und da kümmert man sich um derartiges wenig, da hilft auch kein "Beschweren" - als Antwort kommt nur, "bei uns läuft das auch so" ... Alternativen sind also keine vorhanden.

Grüße, e2e4
MCP

#34 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 14. September 2005 - 09:56

Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

Grüße, e2e4


Ein guter Ansatz sind da File und Regmon [Boardsuche]. Beim Notes Client gilt es speziell dem User Schreibrechte auf die Notes.ini zu erteilen, denn ohne die geht nichts. Du kannst aber auch gleich das ganze Notes Programm Verzeichnis mit etwas höheren Rechten ausstatten. GPO und engeschränkte Gruppen/Dateisystem sind da die zu verwenden Lösungen.


Gruss
Velius

#35 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 15. September 2005 - 08:05

@Velius

Mit Deinen Hinweisen ist es mir gelungen LN auch mit DropMyRights zu starten. Danke! Ich habe mir jetzt dazu eine Lösung über cacls und machlink aus Batch gebastelt, um die Links auf dem Desktop/Schnellstartleiste zu verteilen.

Dabei habe ich noch zwei Seiten gefunden, die in diese Thematik passen und bisher noch nicht genannt worden:

xsudo für Windows -> http://www.lancode.de/
Arbeiten ohne Adminrechte -> http://www.noadmin.de/forum/index.php

Grüße, e2e4
MCP

#36 Velius

Velius

    Expert Member

  • 5.645 Beiträge

 

Geschrieben 15. September 2005 - 08:21

@e2e4

Schön! :)
Doch man sollte schon versuchen, die Rechte zu erteilen, die notwendig sind, und nicht erst Admin Rechte zuweisen und anschliessend die, die zuviel sind wieder entziehen....

#37 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 20. September 2005 - 07:55

Eine Nachfrage zu den Systemvoraussetzungen für DropMyRights habe ich dennoch. Während auf XP-Systemen alles einwandfrei arbeitet, habe ich bei Win2k Probleme. Hier erhalte ich immer die Fehlermeldung:

Der Prozedureinsprungspunkt "safercreatelevel" wurde in der dll "advapi32.dll" nicht gefunden


Installiert ist auf diesen Systemen .DOT-NET 2 BETA. Aus der Fehlermeldung bin ich bisher nicht schlau geworden und die Anforderungen zur Nutzung von DropMyRights konnte ich nirgends finden ...

Herausgefunden habe ich, dass Programme, die im Kontext von DMR gestartet wurden auch daraus resultierende Programme in diesem Kontext lassen. Also z.B. Mail-Client mit DMR gestartet und Link daraus "geklickt" öffnet den Browser ebenfalls mit DMR-Beschränkung.

Grüße, e2e4
MCP

#38 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 30. September 2005 - 12:45

Übrigens hier gibt es noch eine Anleitung in Sachen "Dr. Watson für Adminrechte":

Application Compatibility Toolkit
http://www.microsoft...ityToolkit.mspx

Grüße, e2e4
MCP

#39 e2e4

e2e4

    Gast

  • 537 Beiträge

 

Geschrieben 26. Oktober 2005 - 05:38

Windows Vista beabsichtigt weitere Verbesserungen im Zusammenhang mit dem User-Kontext:

http://www.microsoft...uebersicht.mspx

Ich bin gespannt :)
MCP

#40 Gadget

Gadget

    Moderator

  • 5.082 Beiträge

 

Geschrieben 22. Januar 2006 - 16:28

Microsoft hat dazu ein neues Whitepaper veröffentlicht:

Applying the Principle of Least Privilege to User Accounts on Windows XP
http://www.microsoft...n/luawinxp.mspx

u. hier findet ihr noch einen Blog zum Topic:

The Microsoft Solutions for Security and Compliance (MSSC) team consists of subject matter experts, testers and editors who create security guidance solutions for the IT professional.
http://blogs.technet.com/secguide/

LG Gadget

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#41 PAT

PAT

    Board Veteran

  • 2.562 Beiträge

 

Geschrieben 01. Februar 2006 - 08:20

Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.
Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!


Full ACK, das Problem ist nur, wenn diese Software bereits vorhanden ist und mal richtig Asche gekostet hat. Versuch mal Deinem Chef zu erklären, dass diese Software Pfui ist.
OK, oft gibt's dann updates, die dies beheben. Die sind aber meist auch nicht umsonst. Ich kenne sogar einen konkreten Fall (zum Glück nicht in meinem Netz), da gibt es gar keinen Support mehr für diese Software, obwohl die noch gar nicht so alt ist. (Der Hersteller wurde aufgekauft.)
Viele Grüße
Patrick

--------------------------------------------------------------
If you have a problem, we have the solution...
...Our solution will be your problem!