Jump to content
Sign in to follow this  
Mr_Marple

Benutzer als lokale Admins, DB-Software läuft sonst nicht

Recommended Posts

Hallo!

 

Die Überschrift sagt eigentlich eh schon alles.

Ein Kunde hat eine Bäckereidatenbank ( http://www.ulmer-kemo.de/Produkte/produkte.html ) laufen, welche am Client Adminrechte benötigt.

Ich habe mich mit dem Hersteller schon öfter auseinandergesetzt wegen diesem Problem, aber es kommt nichts dabei raus.

Ich verstehe echt nicht, warum ein DB-Client Adminrechte brauchen sollte, der Hersteller meint nur, mit UAC ist alles gut und putzt sich ab.

Klar, wenn aber wie erst heute wieder, die Mitarbeiter nicht nachdenken, bevor sie auf ja klicken, dann hilft die beste UAC nichts.

 

Deshalb meine Frage an euch, kennt jemand Tricks, solchen faulen Programmierern irgendwie näherzubringen, dass sie ihr Sicherheitskonzept doch endlich mal überdenken sollten?

Evtl. mit Kostenersatzforderungen, weil wiedermal eine Schadsoftware unter Adminrechten ausgeführt wurde?

Oder sonstwas?

 

 

Bitte um Tipps, oder zumindest Mitleidsbekundungen. :rolleyes:

 

 

LG

Share this post


Link to post
Share on other sites

Nein, das reicht leider nicht.

Habe es probiert und laut Hersteller ist auch definitiv die Admin-Berechtigung notwendig.

Vor ein paar Jahren noch durfte nicht mal die UAC eingeschaltet werden...

Share this post


Link to post
Share on other sites

Hi,

 

evtl. auch noch passende Berechtigungen in der Registry setzen.

 

Wenn man mal die Homepage zitieren darf:

 

B.I.T. ist die Summe der jahrelangen Erfahrung aus den Programmen UBACK und BACKORG auf der Basis der modernsten EDV-Technologie.

 

B.I.T. wird mit den modernsten zu Verfügung stehenden Werkzeugen entwickelt, um Ihrem Unternehmen ein maximales Maß an Flexibilität und Investitionssicherheit zu gewährleisten.

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Was die Administratorrolle eigentlich so gefährlich macht, sind die sogenannten Priviliges

https://technet.microsoft.com/en-us/library/cc771990.aspx

 

z.B.

"Debug Programs"

damit kann man die Rechte an laufenden Prozessen verändern, DLLs von Prozessen austauschen, Passworthashes dumpen, etc.

https://blogs.msdn.microsoft.com/oldnewthing/20080314-00/?p=23113

 

"Load and unload device drivers"

Warum muss die Software Treiber laden und entladen können?  

 

Es gibt noch weitere, sehr gefährliche Privileges ("Die berühmten bösen 7"), die kaum ein Administrator jemals braucht. Und die Bäckereisoftware garantiert nie!

 

Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub

Share this post


Link to post
Share on other sites

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

 

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!

  • Like 1

Share this post


Link to post
Share on other sites

Die Software würde bei uns nicht zum Einsatz kommen, selbst wenn es der einzige Hersteller für eine Nischenlösung wäre.

 

Ich bin da bei Sunny, geht heute garnicht mehr.

 

:mad:

Share this post


Link to post
Share on other sites

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Share this post


Link to post
Share on other sites

Moin,

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

Aber:

 

 

Die Software ist eine komplette Neuentwicklung in und für Windows® 98Se,/NT/2000/Me und XP geeignet

sowie

 

Bereits die Grundversion ist ein umfassendes Paket mit phantastischen Möglichkeiten

Cool.

 

;)

 

Nachtrag - hilft dem TO leider nicht, wollte ich nur mal schreiben...

Edited by Nobbyaushb

Share this post


Link to post
Share on other sites

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

wink.gif

Es ging mir eher um den Inhalt. Alles andere ist Geschmacksache und da ist zum Glück jeder Jeck anders ;)

Share this post


Link to post
Share on other sites

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

 

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

 

BTW: So selten kommt die Forderung nach Adminrechten auch bei aktueller Software heute nicht vor! Ich glaube, es ist einfach eine Frage des Aufwandes für den Hersteller. Wenn 90% aller Kunden der Software ohne mit der Wimper zu zucken Adminrechte geben, warum sollte ich da als Hersteller in Security, die mir keiner anrechnet, investieren? Der Bäcker hat wahrscheinlich eh schon Dutzende von Schwachstellen.

Share this post


Link to post
Share on other sites

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

 

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

Werbepartner:



×
×
  • Create New...