Jump to content
Revan

Programm benötigt Administrative Rechte - Soll eingeschränkt laufen

Empfohlene Beiträge

Hallo,

 

ich habe hier einen Rechner der eine Prüfmaschine steuert (Windows 10 1803).

Die Software verlangt zum starten Administrative Rechte, was ich gerne vermeiden würde und daher versuche ich, mit Procmon herauszufinden wo der Zugriff abgelehnt wird.

Leider gibt es keinen Eintrag der "Access Denied" lautet (Wär ja auch zu einfach :frown:)

 

Im Eventlog sehe ich allerdings das beim starten der App ohne Admin Rechte eine DLL aus dem Programm-Ordner crasht.

Procmon zeigt auch einige Einträge zu dieser DLL, aber auch nur "Success", "Name not Found" und "File locked with only Readers"

 

Der User hat volle Schreibrechte auf den Programm-Ordner (liegt NICHT unter "C:\Program Files" sondern auf einem Extra Laufwerk)

 

Wie könnte ich dem jetzt noch auf die Spur kommen?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ha, gute Frage :lol3:

Der Hersteller sagt gar nix, der Vertrieb bzw. der Deutsche Techniker sagt nur das die Software Adminrechte braucht. Warum weiß er auch nicht. Er installiert ja nur und richtet ein.

Er könne zwar mal eine Anfrage an die Entwickler richten aber obs was bringt wüsste er auch nicht.

 

Ich probiere es mit der Aufgabenplanung, vielen Dank :thumb1:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

vor 56 Minuten schrieb Sunny61:

Probier es mit der Aufgabenplanung:

 

das mag im Einzelfall zwar funktionieren, aber aus Sicht der Sicherheit ist das nicht OK, Das Programm läuft dann mit Adminrechten. Alles, was von diesem Programm aus läuft, hat ebenfalls Adminrechte. Ein simpler Dateidialog reicht dann aus, damit ein User unbegrenzt das System manipulieren kann.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nicht nur die Zugriffe im Dateisystem prüfen. Solche Anwendungen wollen gern auch in die Registry schreiben, wo sie es nicht dürfen.

Dem Entwickler mal die  Adminrechte  wegnehmen ;)

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 17 Stunden schrieb NilsK:

das mag im Einzelfall zwar funktionieren, aber aus Sicht der Sicherheit ist das nicht OK, Das Programm läuft dann mit Adminrechten. Alles, was von diesem Programm aus läuft, hat ebenfalls Adminrechte. Ein simpler Dateidialog reicht dann aus, damit ein User unbegrenzt das System manipulieren kann.

In diesem Fall kann man das evtl. so laufen lassen. Der TO schrieb ja:

 

vor 20 Stunden schrieb Revan:

ich habe hier einen Rechner der eine Prüfmaschine steuert (Windows 10 1803).

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

gerade in dem Szenario dürfte das dann ausscheiden. An so einem Rechner arbeitet normalerweise kein IT-Fachpersonal. Man will also keine Prozesse, die als Admin laufen und von dem Bediener zugänglich sind.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Immer wieder "lustig", aber leider fast schon Standard bei dem ganzen Industriekram. Das Zeug ist technisch zwar oft Top, die Software auf den PC's ist aber gerne mal wie ein Geschwür das irgendwie drangehängt wurde. Schon unzählige Stunden damit verbracht. Die Aufgabenplanungsvariante nehme ich jeweils als Übergangslösung. Ein weiteres Script mit Verknüpfung auf dem Desktop welches dann die Aufgabe ausführt. Schön ist das nicht wirklich.

--> Manchmal ist auch ein Kompatibilitätsmodus durch den Installateur des Messystems/Maschine hinterlegt. Der greift dann im dümmsten Fall nur auf Benutzerebene. Muss man auch erstmal drauf kommen.

 

Mit ProcMon solltest dem Zugriffs-Fehler aber schon auf die Schliche kommen, half eigentlich (fast) immer. Vielleicht auch mal die Sicherheits-Log prüfen, viele Zugriffsfehler bleiben auch da hängen. Läuft ja sehr vieles über die Filter-Engine. Evtl. das Auditlevel vorgängig erhöhen.

--> Sollte das Programm in der Registry rumschreiben, kannst auch mal mit RegShot die Differenzen rausssuchen und so die RegHives herausfinden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich sehe im Trace nirgends einen verweigerten Zugriff. Steuert die Software die Maschine über eine serielle oder parallele Schnittstelle an? Das kann Probleme geben, wenn die Software Einstellungen wie Baudrate etc. verändern will. Hast Du es mal mit Hauptbenutzer-Rechten probiert?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 14.11.2018 um 18:10 schrieb lefg:

Moin

 

Die effektiven NTFS-Rechte des Benutzer auf die DLL im Vergleich mit denen eines Admins, der Admingruppe?

 

Moin

 

Ich finde auf meinem Beitrag keine Reaktion.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×