Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Gadget

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!

Empfohlene Beiträge

@Kohn

 

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!

 

Danke für diesen Hinweis. Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert. Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

 

Grüße, e2e4

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert.

 

Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.

Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du hast zwar vollkommen Recht, aber es handelt sich hierbei sogar um eine zig-Tausend-Euro teure Spezial-Simulations-Software (kein Office-PC im herkömmlichen Sinne) und da kümmert man sich um derartiges wenig, da hilft auch kein "Beschweren" - als Antwort kommt nur, "bei uns läuft das auch so" ... Alternativen sind also keine vorhanden.

 

Grüße, e2e4

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

 

Grüße, e2e4

 

Ein guter Ansatz sind da File und Regmon [boardsuche]. Beim Notes Client gilt es speziell dem User Schreibrechte auf die Notes.ini zu erteilen, denn ohne die geht nichts. Du kannst aber auch gleich das ganze Notes Programm Verzeichnis mit etwas höheren Rechten ausstatten. GPO und engeschränkte Gruppen/Dateisystem sind da die zu verwenden Lösungen.

 

 

Gruss

Velius

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Velius

 

Mit Deinen Hinweisen ist es mir gelungen LN auch mit DropMyRights zu starten. Danke! Ich habe mir jetzt dazu eine Lösung über cacls und machlink aus Batch gebastelt, um die Links auf dem Desktop/Schnellstartleiste zu verteilen.

 

Dabei habe ich noch zwei Seiten gefunden, die in diese Thematik passen und bisher noch nicht genannt worden:

 

xsudo für Windows -> http://www.lancode.de/

Arbeiten ohne Adminrechte -> http://www.noadmin.de/forum/index.php

 

Grüße, e2e4

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@e2e4

 

Schön! :)

Doch man sollte schon versuchen, die Rechte zu erteilen, die notwendig sind, und nicht erst Admin Rechte zuweisen und anschliessend die, die zuviel sind wieder entziehen....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Eine Nachfrage zu den Systemvoraussetzungen für DropMyRights habe ich dennoch. Während auf XP-Systemen alles einwandfrei arbeitet, habe ich bei Win2k Probleme. Hier erhalte ich immer die Fehlermeldung:

 

Der Prozedureinsprungspunkt "safercreatelevel" wurde in der dll "advapi32.dll" nicht gefunden

 

Installiert ist auf diesen Systemen .DOT-NET 2 BETA. Aus der Fehlermeldung bin ich bisher nicht schlau geworden und die Anforderungen zur Nutzung von DropMyRights konnte ich nirgends finden ...

 

Herausgefunden habe ich, dass Programme, die im Kontext von DMR gestartet wurden auch daraus resultierende Programme in diesem Kontext lassen. Also z.B. Mail-Client mit DMR gestartet und Link daraus "geklickt" öffnet den Browser ebenfalls mit DMR-Beschränkung.

 

Grüße, e2e4

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Microsoft hat dazu ein neues Whitepaper veröffentlicht:

 

Applying the Principle of Least Privilege to User Accounts on Windows XP

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/luawinxp.mspx

 

u. hier findet ihr noch einen Blog zum Topic:

 

The Microsoft Solutions for Security and Compliance (MSSC) team consists of subject matter experts, testers and editors who create security guidance solutions for the IT professional.

http://blogs.technet.com/secguide/

 

LG Gadget

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.

Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!

 

Full ACK, das Problem ist nur, wenn diese Software bereits vorhanden ist und mal richtig Asche gekostet hat. Versuch mal Deinem Chef zu erklären, dass diese Software Pfui ist.

OK, oft gibt's dann updates, die dies beheben. Die sind aber meist auch nicht umsonst. Ich kenne sogar einen konkreten Fall (zum Glück nicht in meinem Netz), da gibt es gar keinen Support mehr für diese Software, obwohl die noch gar nicht so alt ist. (Der Hersteller wurde aufgekauft.)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×