Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Mr_Marple

Benutzer als lokale Admins, DB-Software läuft sonst nicht

Empfohlene Beiträge

Hallo!

 

Die Überschrift sagt eigentlich eh schon alles.

Ein Kunde hat eine Bäckereidatenbank ( http://www.ulmer-kemo.de/Produkte/produkte.html ) laufen, welche am Client Adminrechte benötigt.

Ich habe mich mit dem Hersteller schon öfter auseinandergesetzt wegen diesem Problem, aber es kommt nichts dabei raus.

Ich verstehe echt nicht, warum ein DB-Client Adminrechte brauchen sollte, der Hersteller meint nur, mit UAC ist alles gut und putzt sich ab.

Klar, wenn aber wie erst heute wieder, die Mitarbeiter nicht nachdenken, bevor sie auf ja klicken, dann hilft die beste UAC nichts.

 

Deshalb meine Frage an euch, kennt jemand Tricks, solchen faulen Programmierern irgendwie näherzubringen, dass sie ihr Sicherheitskonzept doch endlich mal überdenken sollten?

Evtl. mit Kostenersatzforderungen, weil wiedermal eine Schadsoftware unter Adminrechten ausgeführt wurde?

Oder sonstwas?

 

 

Bitte um Tipps, oder zumindest Mitleidsbekundungen. :rolleyes:

 

 

LG

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nein, das reicht leider nicht.

Habe es probiert und laut Hersteller ist auch definitiv die Admin-Berechtigung notwendig.

Vor ein paar Jahren noch durfte nicht mal die UAC eingeschaltet werden...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

evtl. auch noch passende Berechtigungen in der Registry setzen.

 

Wenn man mal die Homepage zitieren darf:

 

B.I.T. ist die Summe der jahrelangen Erfahrung aus den Programmen UBACK und BACKORG auf der Basis der modernsten EDV-Technologie.

 

B.I.T. wird mit den modernsten zu Verfügung stehenden Werkzeugen entwickelt, um Ihrem Unternehmen ein maximales Maß an Flexibilität und Investitionssicherheit zu gewährleisten.

 

Es wird vermutlich mehr als nur diese Bäckereisoftware geben, oder?

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was die Administratorrolle eigentlich so gefährlich macht, sind die sogenannten Priviliges

https://technet.microsoft.com/en-us/library/cc771990.aspx

 

z.B.

"Debug Programs"

damit kann man die Rechte an laufenden Prozessen verändern, DLLs von Prozessen austauschen, Passworthashes dumpen, etc.

https://blogs.msdn.microsoft.com/oldnewthing/20080314-00/?p=23113

 

"Load and unload device drivers"

Warum muss die Software Treiber laden und entladen können?  

 

Es gibt noch weitere, sehr gefährliche Privileges ("Die berühmten bösen 7"), die kaum ein Administrator jemals braucht. Und die Bäckereisoftware garantiert nie!

 

Der Hersteller soll darlegen, welche Privileges sein Account warum braucht. Dann gib ihm einen User mit nur diesen Privileges in der LGPO.

Auch NTFS-Rechte können explizit gesetzt werden.

 

Frag den Hersteller, ob  ein "Power User" auch genügen würde :-)

 

blub

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

 

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Software würde bei uns nicht zum Einsatz kommen, selbst wenn es der einzige Hersteller für eine Nischenlösung wäre.

 

Ich bin da bei Sunny, geht heute garnicht mehr.

 

:mad:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hersteller solcher SW sollte man im Jahr 2016 die rote Karte zeigen!

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

Wenn man sich deren Homepage samt Beschreibung / Infos ansieht, scheinen die grade in die kritische Phase der Y2K Umstellung zu kommen ;)

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

Aber:

 

 

Die Software ist eine komplette Neuentwicklung in und für Windows® 98Se,/NT/2000/Me und XP geeignet

sowie

 

Bereits die Grundversion ist ein umfassendes Paket mit phantastischen Möglichkeiten

Cool.

 

;)

 

Nachtrag - hilft dem TO leider nicht, wollte ich nur mal schreiben...

bearbeitet von Nobbyaushb

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Naja, meine eigene Homepage ist ja seit vielen Jahren auch nicht erneuert worden...

 

wink.gif

Es ging mir eher um den Inhalt. Alles andere ist Geschmacksache und da ist zum Glück jeder Jeck anders ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Melde dich als Benutzer mit normalen Benutzerrechten an, starte den ProcessMonitor und jetzt die Bäckersoftware starten. Filtern auf die Bäckersoftware.EXE. Möglicherweise braucht es mehrere Anläufe, aber nur so kommst Du weiter.

 

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

 

BTW: So selten kommt die Forderung nach Adminrechten auch bei aktueller Software heute nicht vor! Ich glaube, es ist einfach eine Frage des Aufwandes für den Hersteller. Wenn 90% aller Kunden der Software ohne mit der Wimper zu zucken Adminrechte geben, warum sollte ich da als Hersteller in Security, die mir keiner anrechnet, investieren? Der Bäcker hat wahrscheinlich eh schon Dutzende von Schwachstellen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann musst du aber alle Use-Cases der Software kennen und durchspielen und auch die Unterprozesse, die es sicher gibt, betrachten.

Alle über normale Userrechte und hinausgehende Einstellungen (incl. Privileges) muss der Hersteller konfigurieren und dokumentieren!

Es ist auch eine Frage des Supports, wenn man als Kunde selbst anfängt, Berechtigungen nach bestem Wissen und Gewissen (=Bastelbude) zu setzen.

Ich hab schon öfters mit Software zu tun gehabt, die Adminrechte vorausgesetzt hat. Zu 99,9% hat bisher ausgereicht, auf ein Verzeichnis oder auf eine Datei Schreibrechte zu setzen. Bin ich deshalb ein Bastler?

 

Und wenn er die SW länger testen muss, ist es immer noch besser an ein paar Stellen die Rechte 'anzupassen' als die unbedarften User mit Adminrechten auszustatten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×