14
Installation auf Offline Rechner durch User ohne Adminrechte
Hallo zusammen,
ich habe ein Problem bei der Installation von Programmen auf Rechnern ohne Netzwerkanbindung.
Hintergrund:
- es sind Notebooks mit Windows 10 Betriebssystem, die zu Diagnosezwecken eingesetzt werden (kein E-Mail oder Internet)
- es darf keine Netzwerkverbindung hergestellt werden
- die Rechner sind im Aussendienst eingesetzt und nicht für mich zugänglich
- die User haben keine Adminrechte
Jetzt muss eine Installation/Update mit Adminrechten durchgeführt werden.
Die User haben einen zweiten Rechner, mit dem sie Internetzugang haben.
Ich kann also ein Datenpaket auf den Internetrechner schicken, welches dann mit einem gesicherten USB-Stick auf den Diagnoserechner übertragen wird.
Mein Vorstellung ist jetzt ein Script oder Programm welches mit integrierten Administratorrechten die Installation durchführt.
Anfangs hatte ich an Runas gedacht, funktioniert aber mit der Übergabe der Admin-Rechte und Passwörter nicht. Powershell scheint auf den Rechner auch nicht freigegeben zu sein.
Habt ihr eine Idee wie die Installation aus der Ferne ohne Adminrechte bzw. mit übergebenen Adminrechten erfolgen kann?
ich habe ein Problem bei der Installation von Programmen auf Rechnern ohne Netzwerkanbindung.
Hintergrund:
- es sind Notebooks mit Windows 10 Betriebssystem, die zu Diagnosezwecken eingesetzt werden (kein E-Mail oder Internet)
- es darf keine Netzwerkverbindung hergestellt werden
- die Rechner sind im Aussendienst eingesetzt und nicht für mich zugänglich
- die User haben keine Adminrechte
Jetzt muss eine Installation/Update mit Adminrechten durchgeführt werden.
Die User haben einen zweiten Rechner, mit dem sie Internetzugang haben.
Ich kann also ein Datenpaket auf den Internetrechner schicken, welches dann mit einem gesicherten USB-Stick auf den Diagnoserechner übertragen wird.
Mein Vorstellung ist jetzt ein Script oder Programm welches mit integrierten Administratorrechten die Installation durchführt.
Anfangs hatte ich an Runas gedacht, funktioniert aber mit der Übergabe der Admin-Rechte und Passwörter nicht. Powershell scheint auf den Rechner auch nicht freigegeben zu sein.
Habt ihr eine Idee wie die Installation aus der Ferne ohne Adminrechte bzw. mit übergebenen Adminrechten erfolgen kann?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1413202858
Url: https://administrator.de/contentid/1413202858
Printed on: April 19, 2024 at 10:04 o'clock
14 Comments
Latest comment
Moin Moin
https://www.runasrob.com/
Funktioniert genial.
Hatten wir in einem früheren Unternehmen im Einsatz wo ein Tool ums verrecken nicht an Adminrechten vorbeikommt.
Es muss "nur" der lokale Admin samt PW bekannt sein und dann kann man entsprechende Pakete erstellen.
Klar, ist nicht selbstlaufend.
Außer man macht generelle Auslieferung, ala c:\temp\setup.exe mit Admin Rechten starten..
Aber wenn dann einer denken kann packt der eine gleichlautende setup.exe samt Rest in c:\temp und kann die dann mit Adminrechten so starten.
Aber was Ich mir vorstellen könnte:
Mit runasRob eine Start Datei erstellen die den Admin Zugriff inkludiert hat.
Auf die SW Bla1.
Dann mit Winrar ein Komplett Paket als exe erstellen, mit dem kompletten Bla1 Paket und der runasRob Starter, und als automatischer Start die runasRob Start-Datei aufführen, die auf Bla1.exe hinweist.
Und die Winrar-exe natürlich PW verschlüsseln.
Das erstellt man pro SW einmal und kann, bei identischen Admin Daten, dies entsprechend verteilen.
Man kann es mit Hausmitteln sogar noch etwas mehr "sichern":
Man erstellt eine CMD die nach einem statischen PW fragt.
Wenn das PW eingegeben wird, geht die CMD weiter.
Wenn nicht, nicht.
Ist natürlich kein BruteForce Schutz !
Wenn das PW korrekt eingegeben wurde, wird die runasRob Starter Datei ausgeführt.
In Winrar dann die CMD als exe-Starter wählen.
Dann können zwar eingeweihte die das PW haben die SW starten, aber andere nicht so schnell.
Wie gesagt, Brute-Force..
Aber wenn man das PW bei jedem SW Paket ändert und entsprechend zusammen ausgibt ist es etwas sicherer.
Mein Senf
https://www.runasrob.com/
Funktioniert genial.
Hatten wir in einem früheren Unternehmen im Einsatz wo ein Tool ums verrecken nicht an Adminrechten vorbeikommt.
Es muss "nur" der lokale Admin samt PW bekannt sein und dann kann man entsprechende Pakete erstellen.
Klar, ist nicht selbstlaufend.
Außer man macht generelle Auslieferung, ala c:\temp\setup.exe mit Admin Rechten starten..
Aber wenn dann einer denken kann packt der eine gleichlautende setup.exe samt Rest in c:\temp und kann die dann mit Adminrechten so starten.
Aber was Ich mir vorstellen könnte:
Mit runasRob eine Start Datei erstellen die den Admin Zugriff inkludiert hat.
Auf die SW Bla1.
Dann mit Winrar ein Komplett Paket als exe erstellen, mit dem kompletten Bla1 Paket und der runasRob Starter, und als automatischer Start die runasRob Start-Datei aufführen, die auf Bla1.exe hinweist.
Und die Winrar-exe natürlich PW verschlüsseln.
Das erstellt man pro SW einmal und kann, bei identischen Admin Daten, dies entsprechend verteilen.
Man kann es mit Hausmitteln sogar noch etwas mehr "sichern":
Man erstellt eine CMD die nach einem statischen PW fragt.
Wenn das PW eingegeben wird, geht die CMD weiter.
Wenn nicht, nicht.
Ist natürlich kein BruteForce Schutz !
Wenn das PW korrekt eingegeben wurde, wird die runasRob Starter Datei ausgeführt.
In Winrar dann die CMD als exe-Starter wählen.
Dann können zwar eingeweihte die das PW haben die SW starten, aber andere nicht so schnell.
Wie gesagt, Brute-Force..
Aber wenn man das PW bei jedem SW Paket ändert und entsprechend zusammen ausgibt ist es etwas sicherer.
Mein Senf
Zitat von @Pinuter:
Habt ihr eine Idee wie die Installation aus der Ferne ohne Adminrechte bzw. mit übergebenen Adminrechten erfolgen kann?
Habt ihr eine Idee wie die Installation aus der Ferne ohne Adminrechte bzw. mit übergebenen Adminrechten erfolgen kann?
Naja,
Das ist eine typische "Wasch mich, aber mach mich nicht naß!"-Situation.
Egal wie Du es anstellst. An irgendeinem Punkt mußt Du die credentials von einem Admin eingeben. Und auch die Lösung von tomTomBon ist nciht das gebe vom Ei. Denn irgendwie müssen auch da die Adminrechte zum User kommen. Und wenn das automatisiert wird, reißt das ein ganz großes Sicherheitsloch.
Also: Entweder ihr überdenkt Eure Sicheheitskonzepte und erlaubt den Usern lokale Adminrechte (mit einem zweiten Account o.ä.) oder der Admin muß entweder zu den Usern fahren oder die geräte einsammeln, um die Software zu installieren.
lks
Und was soll das bringen? Der TO fragt ausdrücklich nach einer Möglichkeit OHNE Administratorrechte.
Und ein Tool, welches den lokalen Administrator verwendet… naja, wo wird nochmal die Gruppe der Domain-Administratoren bei einem Domain-Join hinzugefügt? Da kann man auch gleich den lokalen Administrator für die Installation verwenden.
Und ein Tool, welches den lokalen Administrator verwendet… naja, wo wird nochmal die Gruppe der Domain-Administratoren bei einem Domain-Join hinzugefügt? Da kann man auch gleich den lokalen Administrator für die Installation verwenden.
Danke für die Rückmeldungen, das Runasrob werde ich mal ausprobieren.
Du weißt aber schon, daß dann der User sich Adminrechte holen kann?
lks
runasrob und Konsorten sind allesamt unsicher und sollten nur eingesetzt werden, wenn dem Nutzer nicht zugetraut wird, das zu missbrauchen.
Was Du machen könntest (was sicher ist):
Erstelle einen geplanten Task, der mit Adminrechten läuft, welcher in einem Ordner alle x Minuten nach einem Setup guckt und es prüft. Ist es von Dir signiert (Signaturprüfung einbauen), führt er das Setup aus.
Das Setup muss natürlich unattended ablaufen können.
Du siehst: möglich, aber nicht einfach.
Was Du machen könntest (was sicher ist):
Erstelle einen geplanten Task, der mit Adminrechten läuft, welcher in einem Ordner alle x Minuten nach einem Setup guckt und es prüft. Ist es von Dir signiert (Signaturprüfung einbauen), führt er das Setup aus.
Das Setup muss natürlich unattended ablaufen können.
Du siehst: möglich, aber nicht einfach.
Moin
Wer ahnung hat kann das ausnutzen.
Ja.
Ich weiß zwar nicht wie genau, aber man kann alles ausnutzen was andere nutzen.
DWW´s Version ist definitiv besser.
Aber auch das Ausnutzbar.
Aber @lks
runasRob funktioniert so das man in runasRob eine Datei erstellt die die Zugangsdaten für einen lokalen Admin hat.
Diese Datei ist verschlüsselt.
Der lokale Anwender kann nur diese Datei nutzen und das was damit ausgeführt wird.
Kann man dies erfolgreich tauschen...
Ja.
Aber dem entgegne Ich ja indem Ich die Installation PW verschlüsselt ausführe.
Und durch den PW Schutz von WinRAR dies auch nicht austauschbar sein sollte.
Ist bei Winrar ein schlechtes PW genommen worden...
Oder die Version knackbar.
Klar.
Aber dann kommt man schon auch anders ins System da dann ein lokaler Account zur Verfügung steht
Wer ahnung hat kann das ausnutzen.
Ja.
Ich weiß zwar nicht wie genau, aber man kann alles ausnutzen was andere nutzen.
DWW´s Version ist definitiv besser.
Aber auch das Ausnutzbar.
Aber @lks
runasRob funktioniert so das man in runasRob eine Datei erstellt die die Zugangsdaten für einen lokalen Admin hat.
Diese Datei ist verschlüsselt.
Der lokale Anwender kann nur diese Datei nutzen und das was damit ausgeführt wird.
Kann man dies erfolgreich tauschen...
Ja.
Aber dem entgegne Ich ja indem Ich die Installation PW verschlüsselt ausführe.
Und durch den PW Schutz von WinRAR dies auch nicht austauschbar sein sollte.
Ist bei Winrar ein schlechtes PW genommen worden...
Oder die Version knackbar.
Klar.
Aber dann kommt man schon auch anders ins System da dann ein lokaler Account zur Verfügung steht
DWW´s Version ist definitiv besser.
Aber auch das Ausnutzbar.
Erzähl mal. Willst Du ein Zertifikat fälschen? Wohl kaum.Aber auch das Ausnutzbar.
Nein.
Aber das Level das der TO bisher zeigt läßt nicht vermuten das er dies korrekt implementiert.
Ich kratze ja selbst bei Zertifikaten nur an der Oberfläche
Aber den Kontext dabei habe Ich, denke Ich..., verstanden
Aber das Level das der TO bisher zeigt läßt nicht vermuten das er dies korrekt implementiert.
Ich kratze ja selbst bei Zertifikaten nur an der Oberfläche
Aber den Kontext dabei habe Ich, denke Ich..., verstanden
Zitat von @DerWoWusste:
DWW´s Version ist definitiv besser.
Aber auch das Ausnutzbar.
Erzähl mal. Willst Du ein Zertifikat fälschen? Wohl kaum.Aber auch das Ausnutzbar.
Über Taskmanager eine Setup.exe ausführen ist unsicher weil der Benutzer über die Setup, die dann ja im Adminkontext läuft, Administratorrechte erhalten kann.
Stichwort Code Injection oder noch einfacher wenn die Setup einen Datei öffnen Dialog irgendwo eingebaut hat.
Generell ist keine Software sicher oder unsicher, sondern immer nur das Sicherheitskonzept als ganzes betrachtet, und das dann auch nur immer auf einem bestimmtes Level.
Du hast nicht verstanden, was unattended bedeutet. Der Nutzer kann da nicht eingreifen.
Moin DWW,
von einem unattended Setup war Ich ausgegangen, ja.
Mein Ansatz war ja das der Admin Account verschlüsselt (runasRob) mit dem SW Paket als verschlüsseltes Gesamtpaket (WinRAR) übergeben wird.
Damit nicht jeder der dieses Paket hat es sofort starten kann, noch die CMD mit Schlüssel.
Das ist NICHT Brute-Force oder anderes geschützt, klar.
Wenn man Angst DAVOR hat muss man Geld in die Hand nehmen.
Dies ist nur gedacht das die Anwender nicht irgendwas in der ComputerBild lesen und mit adminrechten ausführen können.
von einem unattended Setup war Ich ausgegangen, ja.
Mein Ansatz war ja das der Admin Account verschlüsselt (runasRob) mit dem SW Paket als verschlüsseltes Gesamtpaket (WinRAR) übergeben wird.
Damit nicht jeder der dieses Paket hat es sofort starten kann, noch die CMD mit Schlüssel.
Das ist NICHT Brute-Force oder anderes geschützt, klar.
Wenn man Angst DAVOR hat muss man Geld in die Hand nehmen.
Dies ist nur gedacht das die Anwender nicht irgendwas in der ComputerBild lesen und mit adminrechten ausführen können.
Heisst das Blättle nicht ComputerBlöd ? 🤣
1
Naja,
mein Lehrer sagte mir damals:
"Abonniert euch die ComputerBild!!
Dann wisst Ihr wenigstens was manche Anwender versuchen werden!
"
mein Lehrer sagte mir damals:
"Abonniert euch die ComputerBild!!
Dann wisst Ihr wenigstens was manche Anwender versuchen werden!
"
