Jump to content
Sign in to follow this  
Revan

Programm benötigt Administrative Rechte - Soll eingeschränkt laufen

Recommended Posts

Hallo,

 

ich habe hier einen Rechner der eine Prüfmaschine steuert (Windows 10 1803).

Die Software verlangt zum starten Administrative Rechte, was ich gerne vermeiden würde und daher versuche ich, mit Procmon herauszufinden wo der Zugriff abgelehnt wird.

Leider gibt es keinen Eintrag der "Access Denied" lautet (Wär ja auch zu einfach :frown:)

 

Im Eventlog sehe ich allerdings das beim starten der App ohne Admin Rechte eine DLL aus dem Programm-Ordner crasht.

Procmon zeigt auch einige Einträge zu dieser DLL, aber auch nur "Success", "Name not Found" und "File locked with only Readers"

 

Der User hat volle Schreibrechte auf den Programm-Ordner (liegt NICHT unter "C:\Program Files" sondern auf einem Extra Laufwerk)

 

Wie könnte ich dem jetzt noch auf die Spur kommen?

 

Share this post


Link to post
Share on other sites

Ha, gute Frage :lol3:

Der Hersteller sagt gar nix, der Vertrieb bzw. der Deutsche Techniker sagt nur das die Software Adminrechte braucht. Warum weiß er auch nicht. Er installiert ja nur und richtet ein.

Er könne zwar mal eine Anfrage an die Entwickler richten aber obs was bringt wüsste er auch nicht.

 

Ich probiere es mit der Aufgabenplanung, vielen Dank :thumb1:

Share this post


Link to post
Share on other sites

Moin,

 

vor 56 Minuten schrieb Sunny61:

Probier es mit der Aufgabenplanung:

 

das mag im Einzelfall zwar funktionieren, aber aus Sicht der Sicherheit ist das nicht OK, Das Programm läuft dann mit Adminrechten. Alles, was von diesem Programm aus läuft, hat ebenfalls Adminrechte. Ein simpler Dateidialog reicht dann aus, damit ein User unbegrenzt das System manipulieren kann.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Nicht nur die Zugriffe im Dateisystem prüfen. Solche Anwendungen wollen gern auch in die Registry schreiben, wo sie es nicht dürfen.

Dem Entwickler mal die  Adminrechte  wegnehmen ;)

 

Share this post


Link to post
Share on other sites
vor 17 Stunden schrieb NilsK:

das mag im Einzelfall zwar funktionieren, aber aus Sicht der Sicherheit ist das nicht OK, Das Programm läuft dann mit Adminrechten. Alles, was von diesem Programm aus läuft, hat ebenfalls Adminrechte. Ein simpler Dateidialog reicht dann aus, damit ein User unbegrenzt das System manipulieren kann.

In diesem Fall kann man das evtl. so laufen lassen. Der TO schrieb ja:

 

vor 20 Stunden schrieb Revan:

ich habe hier einen Rechner der eine Prüfmaschine steuert (Windows 10 1803).

 

Share this post


Link to post
Share on other sites

Moin,

 

gerade in dem Szenario dürfte das dann ausscheiden. An so einem Rechner arbeitet normalerweise kein IT-Fachpersonal. Man will also keine Prozesse, die als Admin laufen und von dem Bediener zugänglich sind.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Immer wieder "lustig", aber leider fast schon Standard bei dem ganzen Industriekram. Das Zeug ist technisch zwar oft Top, die Software auf den PC's ist aber gerne mal wie ein Geschwür das irgendwie drangehängt wurde. Schon unzählige Stunden damit verbracht. Die Aufgabenplanungsvariante nehme ich jeweils als Übergangslösung. Ein weiteres Script mit Verknüpfung auf dem Desktop welches dann die Aufgabe ausführt. Schön ist das nicht wirklich.

--> Manchmal ist auch ein Kompatibilitätsmodus durch den Installateur des Messystems/Maschine hinterlegt. Der greift dann im dümmsten Fall nur auf Benutzerebene. Muss man auch erstmal drauf kommen.

 

Mit ProcMon solltest dem Zugriffs-Fehler aber schon auf die Schliche kommen, half eigentlich (fast) immer. Vielleicht auch mal die Sicherheits-Log prüfen, viele Zugriffsfehler bleiben auch da hängen. Läuft ja sehr vieles über die Filter-Engine. Evtl. das Auditlevel vorgängig erhöhen.

--> Sollte das Programm in der Registry rumschreiben, kannst auch mal mit RegShot die Differenzen rausssuchen und so die RegHives herausfinden.

Share this post


Link to post
Share on other sites

Ich sehe im Trace nirgends einen verweigerten Zugriff. Steuert die Software die Maschine über eine serielle oder parallele Schnittstelle an? Das kann Probleme geben, wenn die Software Einstellungen wie Baudrate etc. verändern will. Hast Du es mal mit Hauptbenutzer-Rechten probiert?

Share this post


Link to post
Share on other sites
Am 14.11.2018 um 18:10 schrieb lefg:

Moin

 

Die effektiven NTFS-Rechte des Benutzer auf die DLL im Vergleich mit denen eines Admins, der Admingruppe?

 

Moin

 

Ich finde auf meinem Beitrag keine Reaktion.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...