Bestimmten Anwendungen Adminrechte geben, ohne dass der startende Benutzer Adminrechte hat
Hallo zusammen,
ich habe vor ein Tool zu schreiben, welches u.a. ausgewählten User auf dem PC ermöglicht, Software zu installieren, ohne das der User dabei die Admin Berechtigung hat.
Mein Ansatz war folgender:
Ich schreibe einen Win Dienst, der als lokaler Admin ausgeführt wird.
Über das Tool lässt sich dann eine EXE auswählen, die durch das Tool gestartet wird.
Logischerweise läuft das Tool dann auch als lokaler Admin.
Somit könnte ich durch das Tool den Admin benachrichtigen, dass eine Software als ADmin gestartet wurde.
Ich habe jetzt nur folgendes Problem:
Der User kann ja über das Tool jegliche Exe aufrufen.
Somit ist nicht sichergestellt, ob er nicht möglicherweise die MMC.exe öffnet und sich dadurch selber Admin Rechte gibt.
Das sollte / müsste ich unterbinden. Dabei geht es aber nicht nur um die MMC sondern mehrere Programme ( z.B. cmd.exe ...)
Mein Ansatz wäre es, zu prüfen, ob der Windows Installer gestartet wurde, (er soll ja Software Installieren können). Falls ja, kann das Programm wieterhin ausgeführt werden, falls nicht kill ich den Prozess.
Funktioniert das? Macht es überhaupt Sinn, es so zu lösen oder gibt es eventuell eine elegantere Lösung dafür?
Fragen über Fragen 😃
Bin für jeden Tip dankbar.
Gruß
Funktioniert das?
Nö.
Macht es überhaupt Sinn, es so zu lösen
Nö.
oder gibt es eventuell eine elegantere Lösung dafür?
Rechteverwaltung - z. B. die Gruppe Hauptbenutzer, Gruppenrichtlinien
Für mich stellt sich eher die Frage warum man das machen möchte? Wenn der jeweilige Benutzer keine Rechte hat Software zu installieren dann soll er das auch nicht tun. Wozu gibt es die Rechteverwaltung?
Hallo o.ozer,
natürlich kannst du z.B. die MD5-Summe der EXE-Datei berechnen und die EXE nur starten, wenn die MD5 Summe mit einer der vorher festgelegten erlaubten MD5-Summen übereinstimmt. Wenn die erlaubten MD5-Summen an einer Stelle abgelegt sind, an der nur der Admin Zugriff hat, sollte dadurch keine (größere) Sicherheitslücke entstehen, es sei den unter den erlaubten MD5-Summen ist auch eine für einen Texteditor o.ä.
Allerdings werden bei dem Ansatz mit dem MD5-Summen die erlaubten Programme exakt spezifiziert. Ist auf einem Rechner eine neuere Version eines an sich erlaubten Programms installiert (also z.B. ein neuerer Windows-Installer) und ist dessen MD5-Summe nicht bekannt oder zumindest nicht eingetragen, dann kann das Programm nicht gestartet werden. Nun zu versuchen stattdessen mittels einer verhaltensbasierten Analyse festzustellen, ob ein Programm ein Installationsprogramm ist, wäre allerdings ein erheblicher, um nicht zu sagen unrealistischer Aufwand.
Hallo ujr, hallo Timur Zanagar,
ich finde schon, dass es Sinn machen kann, einzelnen Anwendungen mehr Rechte zu geben, als der Benutzer eigentlich hat.
herbivore
Hallo,
Ich kann mir ehrlich gesagt im Moment kein Szenario vorstellen, in dem die genannte Idee sinnvoll ist. Wenn ich als Benutzer keine Rechte habe, ein Programm zu installieren, dann doch in der Regel in sehr bestimmten Umgebungen: Firmen, Schulen, Unis, Internetkaffees usw. Es hat in der Regel sehr gute Gründe, warum man in einem solchen Fall nichts selbst installieren darf. Warum sollte ich als Admin es dem Benutzer erlauben, ausgewählte Software zu installieren, statt sie einfach direkt selber zu installieren, nötigenfalls on-the-fly?
Grüße,
Andre
Anwendungen mehr Rechte geben macht ja Sinn aber irgendwelche Installer mehr Rechte zu geben damit der normale User finde ich sehr seltsam. Ich kann mir auch kein Szenario vorstellen und mir ist auch nich keine derartige Anfrage oder Situation aufgetreten. Ich würde wirklich gerne das Szenario erfahren um mir ein Bild machen zu können. Auch finde ich die MD5 Geschichte nicht geschickt wenn es in einem Netzwerk eingesetzt wird. Der Administrator kann auch die Applikationen zur Installation über das Active Directory freigeben. Damit hat er auch die Datei angefasst und mit Bordmitteln das Problem gelost. Also - welches Szenario? 😉
Hallo,
vielen Dank für die Antworten.
Zu dem Szenario:
Wir haben Mitarbeiter, die oft im Ausland unterwegs sind.
Wir möchten als Administratoren einen gewissen Grad an Kontrolle, damit im System keine Softwareüberwucherung stattfindet, ohne dabei den Mitarbeiter in seiner Arbeitsweise einzuschränken.
Zu den normalen Bürozeiten, installieren wir natürlich alles "on the fly" aber wenn der User im AUsland ist, und dringend einen Drucker installieren muss (als Beispiel), haben wir ehrlich gesagt auch keine Lust, dies um 2-3 Uhr morgens machen zu müssen.
Wenn wir das ganze aber über die Software erledigen können, kann ich beispielweise auch sofort eine Email über das Tool an das Admin Team versenden, in der dann alle Details der installierten Software stehen.
Somit haben wir immer ein Überblick über die installierte SOftware 😃
Wenn er dann natürlich z.B. den Editor über das Tool öffnet, bekomme ich auch eine Benachrichtigung, und kann mal nachfragen warum er das gemacht hat.
Aber schöner wäre es, wenn das komplett einschränkbar ist.
Gruß
Hallo,
welchen Grund kann es denn bei Euch geben, Software installieren zu müssen, von der der Mitarbeiter vorher nichts weiß?
Drucker, um bei dem Beispiel zu bleiben, werden evtl. auch aus der Windows-eigenen Treiberdatenbank installiert. Da nützt das Tool eher weniger.
Wenn wir das ganze aber über die Software erledigen können, kann ich beispielweise auch sofort eine Email über das Tool an das Admin Team versenden, in der dann alle Details der installierten Software stehen.
Was heißt denn "alle Details"? Woher willst Du "alle Details" ermitteln?
Wenn er dann natürlich z.B. den Editor über das Tool öffnet, bekomme ich auch eine Benachrichtigung, und kann mal nachfragen warum er das gemacht hat.
Und was ist, wenn er irgendeinen, portablen, Editor nimmt und den einfach "setup.exe" nennt? Oder wenn er sich ein "eigenes" Setup macht/machen lässt?
Man müsste also, wie herbivore schreibt, eine Einschränkung anhand der Programme vornehmen können. Wie sinnvoll ist das aber, wenn z. B. eine neue Version herausgekommen ist? Und wenn die alte Version auch nicht mehr erhältlich ist oder gravierende Bugs enthält? Oder wenn der Mitarbeiter tatsächlich ein Programm braucht, an das keiner gedacht hat und das nicht in der Datenbank steht?
Hallo,
Der User kann ja über das Tool jegliche Exe aufrufen.
Somit ist nicht sichergestellt, ob er nicht möglicherweise die MMC.exe öffnet und sich dadurch selber Admin Rechte gibt.
und
Mein Ansatz wäre es, zu prüfen, ob der Windows Installer gestartet wurde, (er soll ja Software Installieren können)
Was soll das bringen? Man kann doch in nullkommanix einen angepasstes Setup.msi erstellen, das einem ebenfalls Adminreche geben könnte...
Das ganze Konzept geht also nicht auf... ausser vielleicht dem MD5-Ansatz von herbivore, bei dem die erlaubten Programme explizit dem Dienst bekannt sind.
Gruß, MarsStein
Non quia difficilia sunt, non audemus, sed quia non audemus, difficilia sunt! - Seneca