Jump to content
Sign in to follow this  
mriess

Idee gesucht: Software installieren ohne permantente Adminrechte

Recommended Posts

Hallo zusammen,

als Sicherheitsbeauftragter bin ich gerade zunehmend in einer Zwickmühle:

 

In der Firma gibt es eine zunehmende Anzahl von Elektronikentwicklern, die CAN-Geräte (USB-Blaster, RS232-Konverter u.a.) an die USB-SS anschließen müssen und dazu auch Software installieren müssen. Das geht normalerweise ja nur mit Adminrechten.

 

Auf der anderen Seite sehe ich die Adminrechte natürlich als hohe Gefahrenquelle, da sich die Leute dadurch auch Software installieren können, wie z.B.

- Cracker für die Adminpassworte

- Netzwerkscanner

und was sonst noch alles Spaß macht.

 

>>> Wer hat Anregungen und Ideen, wie unser Supportteam z.B. nur kurzfristig solche Adminrechte erteilen könnte oder ganz andere Ideen, die Sicherheit und Arbeitsfähigkeit abwägen?

 

Unsere Umgebung:

Win XP

ADS 2003

Share this post


Link to post

Hallo,

 

wenn die Software-Installation über den Windows-Installer läuft, dann schau Dir doch mal die GPO-Einstellung unter

Computer-Konfig. -> Admin. Vorlagen -> Windows-Komponenten -> Windows Installer -> Immer mit erhöhten Rechten installieren

an.

 

Gruß Robert

Share this post


Link to post

Ein einfaches Befehlsskript kann Dir hier weiterhelfen.

 

Dieses Befehlsskript ausführen, es öffnet sich ein Fenster, solange das Fenster geöffnet bleibt bist Du als Admin mit den entsprechenden Rechten gemeldet , so wie Du das Fenster schließt bist Du wieder der normale Benutzer der nichts installieren darf.

 

Es ist in der Englischen Version im Netz zu finden , wobei Du dort allerdings die Bezeichnungen angleichen muss

Deutsch Hauptbenutzer = Englisch PowerUser usw.

 

Du solltest hier mal nach Make me Admin Googlen, denke das dürfte Dir weiterhelfen.

Die ZIP Datei enthält dann das Skript für Admin , Admin mit SmartCard nutzung und Hauptbenutzer.

Share this post


Link to post

Hallo,

 

mein vorschlag wäre:

Die Abteilung in eine Ou verschieben dann den leuten bescheid sagen das sie sich mit der Administration in verbindung setzen sollen wenn etwas installiert werde soll dann kurzfristig Adminrechte erteilen und nach ca einer halben stunde oder so ähnlich wieder entziehen, gleichzeitig würde ich mit der Geschäftsleitung oder deinem Vorgesetzen abklären das dass Ereignisprotokoll nicht gelöscht werden darf, sonst Abmahnung.

Dann kannst Du nachvollziehen was Installiert wurede und denjenigen die installieren ist klar das sie Überwacht werden.

Alternativ könntest Du auch eine Entsprechende Nutzungsordnung unterschreiben lassen.

 

MfG

Onewayticket

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...