Jump to content

Wieso die tägliche Arbeit unter Administratorrechten keine gute Idee ist!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@Kohn

 

heute ist auf Heise.de eine wichtiges Security Advisory herausgegeben worden, dass den Einsatz von Dropmyrights und Runas (Wenn Runas verwendet wird um Prozesse mit geringeren Rechten zu starten) in Frage stellt!

 

Danke für diesen Hinweis. Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert. Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

 

Grüße, e2e4

Link zu diesem Kommentar
Leider kann ich den Verzicht von lokalen Admin-Konten in unserer Umgebung nicht durchsetzen, da gewisse Spezial-Software lokale Admin-Rechte fordert.

 

Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.

Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!

Link zu diesem Kommentar

Du hast zwar vollkommen Recht, aber es handelt sich hierbei sogar um eine zig-Tausend-Euro teure Spezial-Simulations-Software (kein Office-PC im herkömmlichen Sinne) und da kümmert man sich um derartiges wenig, da hilft auch kein "Beschweren" - als Antwort kommt nur, "bei uns läuft das auch so" ... Alternativen sind also keine vorhanden.

 

Grüße, e2e4

Link zu diesem Kommentar
Der Einsatz von DropMyRights ist von Interesse, doch gelingt es mir nicht mittels DropMyRights Lotus Notes-Clients zu starten. Gibt es hierfür Möglichkeiten herauszufinden woran dies liegt?

 

Grüße, e2e4

 

Ein guter Ansatz sind da File und Regmon [boardsuche]. Beim Notes Client gilt es speziell dem User Schreibrechte auf die Notes.ini zu erteilen, denn ohne die geht nichts. Du kannst aber auch gleich das ganze Notes Programm Verzeichnis mit etwas höheren Rechten ausstatten. GPO und engeschränkte Gruppen/Dateisystem sind da die zu verwenden Lösungen.

 

 

Gruss

Velius

Link zu diesem Kommentar

@Velius

 

Mit Deinen Hinweisen ist es mir gelungen LN auch mit DropMyRights zu starten. Danke! Ich habe mir jetzt dazu eine Lösung über cacls und machlink aus Batch gebastelt, um die Links auf dem Desktop/Schnellstartleiste zu verteilen.

 

Dabei habe ich noch zwei Seiten gefunden, die in diese Thematik passen und bisher noch nicht genannt worden:

 

xsudo für Windows -> http://www.lancode.de/

Arbeiten ohne Adminrechte -> http://www.noadmin.de/forum/index.php

 

Grüße, e2e4

Link zu diesem Kommentar

Eine Nachfrage zu den Systemvoraussetzungen für DropMyRights habe ich dennoch. Während auf XP-Systemen alles einwandfrei arbeitet, habe ich bei Win2k Probleme. Hier erhalte ich immer die Fehlermeldung:

 

Der Prozedureinsprungspunkt "safercreatelevel" wurde in der dll "advapi32.dll" nicht gefunden

 

Installiert ist auf diesen Systemen .DOT-NET 2 BETA. Aus der Fehlermeldung bin ich bisher nicht schlau geworden und die Anforderungen zur Nutzung von DropMyRights konnte ich nirgends finden ...

 

Herausgefunden habe ich, dass Programme, die im Kontext von DMR gestartet wurden auch daraus resultierende Programme in diesem Kontext lassen. Also z.B. Mail-Client mit DMR gestartet und Link daraus "geklickt" öffnet den Browser ebenfalls mit DMR-Beschränkung.

 

Grüße, e2e4

Link zu diesem Kommentar
  • 2 Wochen später...
  • 4 Wochen später...
  • 2 Monate später...

Microsoft hat dazu ein neues Whitepaper veröffentlicht:

 

Applying the Principle of Least Privilege to User Accounts on Windows XP

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/luawinxp.mspx

 

u. hier findet ihr noch einen Blog zum Topic:

 

The Microsoft Solutions for Security and Compliance (MSSC) team consists of subject matter experts, testers and editors who create security guidance solutions for the IT professional.

http://blogs.technet.com/secguide/

 

LG Gadget

Link zu diesem Kommentar
  • 2 Wochen später...
Dan würde ich mal schnell mit dem Hersteller der Software reden dass dies Geändert wird oder mich um Alternativen umsehen. In meinen Augen ist es ein zu hohes Sicherheitsrisiko User mit lokalen Adminrechten arbeiten zu lassen.

Der Ansatz "wir haben aber Software die dies erfordert" ist der falsche. Richtig wäre "wir setzen unter keinen Umstaänden Software ein die lokale Adminrechte erfordert"!

 

Full ACK, das Problem ist nur, wenn diese Software bereits vorhanden ist und mal richtig Asche gekostet hat. Versuch mal Deinem Chef zu erklären, dass diese Software Pfui ist.

OK, oft gibt's dann updates, die dies beheben. Die sind aber meist auch nicht umsonst. Ich kenne sogar einen konkreten Fall (zum Glück nicht in meinem Netz), da gibt es gar keinen Support mehr für diese Software, obwohl die noch gar nicht so alt ist. (Der Hersteller wurde aufgekauft.)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...