9
Keine Lokalen Adminrechte für User - Suche zitierfähige Quellen
Hallo zusammen,
ich versuche gerade einen unserer Softwarehersteller davon zu überzeugen, dass es inakzektabel ist, dass seine Software (unter Windows) lokale Adminrechte benötigt. In diesem Fall ist das auch im entferntesten nicht nachvollziehbar, da es sich um einen Datenbankclient mit Bildbetrachter handelt.
Ich benötige dazu einigermaßen zitierfähige Quellen. Der abstrakte Verweis auf BSI-Grundschutz genügt mir da nicht. Hat jemand vielleicht einen Link für etwas Konkretes parat?
Danke im Voraus
lcer
PS: über die Erfolgsaussichten will ich nicht spekulieren - die Hoffnung stirbt zuletzt.
ich versuche gerade einen unserer Softwarehersteller davon zu überzeugen, dass es inakzektabel ist, dass seine Software (unter Windows) lokale Adminrechte benötigt. In diesem Fall ist das auch im entferntesten nicht nachvollziehbar, da es sich um einen Datenbankclient mit Bildbetrachter handelt.
Ich benötige dazu einigermaßen zitierfähige Quellen. Der abstrakte Verweis auf BSI-Grundschutz genügt mir da nicht. Hat jemand vielleicht einen Link für etwas Konkretes parat?
Danke im Voraus
lcer
PS: über die Erfolgsaussichten will ich nicht spekulieren - die Hoffnung stirbt zuletzt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 639639
Url: https://administrator.de/contentid/639639
Ausgedruckt am: 18.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
Servus,
Wenn das der Software Hersteller nicht versteht, ist es äußert fraglich, ob die Software überhaupt geeignet ist :D
Ich weiß...manchmal hat man keine Wahl.
Alternativ: Setzte doch für die benötigten Ordner den Zugriff für die User auf Vollzugriff.....oder möchte das Teil auch in die Registry schreiben usw.?
ich versuche gerade einen unserer Softwarehersteller davon zu überzeugen, dass es inakzektabel ist, dass seine Software (unter Windows) lokale Adminrechte benötigt. In diesem Fall ist das auch im entferntesten nicht nachvollziehbar, da es sich um einen Datenbankclient mit Bildbetrachter handelt.
Wenn das der Software Hersteller nicht versteht, ist es äußert fraglich, ob die Software überhaupt geeignet ist :D
Ich weiß...manchmal hat man keine Wahl.
Alternativ: Setzte doch für die benötigten Ordner den Zugriff für die User auf Vollzugriff.....oder möchte das Teil auch in die Registry schreiben usw.?
Moin.
Du meinst sowas:
https://www.security-insider.de/benutzer-ohne-admin-rechte-a-733845/
Ansonsten: Definiere "unseren" Softwarehersteller. Wenn es eine Auftragsarbeit für euch ist, soll er es gefälligst so machen wie ihr es ihm vorgebt, denn er bezahlt ja dafür.
Vielleicht gibt es ja auch Unternehmensrichtlinien bei euch (oder andere Anweisungen), die das festschreiben. Die könntest du ihm dann auch zeigen.
Es ist leider durchaus üblich das SW-Hersteller oft immer von Admin-Rechten sprechen weil damit alles läuft und sie sich keine Gedanken machen wollen woran es liegt. Ich hatte selbst mal den Fall (wie im Link beschrieben) wo ein SW-Hersteller meinte ich müsse jedem User auf einem Terminalserver Adminrechte geben. Ich habe mich geweigert, die Sache mit einem fähigen Mitarbeiter des Unternehmens besprochen und siehe da. Auf einmal ging es mit 2 via GPO verteilten Registry-Einträgen und schreibrechte in einem Programm-Ordner.
Lass die erklären wozu die Adminrechte gebraucht werden, im Detail für welche Funktion. Dann findet sich ein Weg es ohne Adminrechte zu erledigen.
Gruß
Doskias
Du meinst sowas:
https://www.security-insider.de/benutzer-ohne-admin-rechte-a-733845/
Ansonsten: Definiere "unseren" Softwarehersteller. Wenn es eine Auftragsarbeit für euch ist, soll er es gefälligst so machen wie ihr es ihm vorgebt, denn er bezahlt ja dafür.
Vielleicht gibt es ja auch Unternehmensrichtlinien bei euch (oder andere Anweisungen), die das festschreiben. Die könntest du ihm dann auch zeigen.
Es ist leider durchaus üblich das SW-Hersteller oft immer von Admin-Rechten sprechen weil damit alles läuft und sie sich keine Gedanken machen wollen woran es liegt. Ich hatte selbst mal den Fall (wie im Link beschrieben) wo ein SW-Hersteller meinte ich müsse jedem User auf einem Terminalserver Adminrechte geben. Ich habe mich geweigert, die Sache mit einem fähigen Mitarbeiter des Unternehmens besprochen und siehe da. Auf einmal ging es mit 2 via GPO verteilten Registry-Einträgen und schreibrechte in einem Programm-Ordner.
Lass die erklären wozu die Adminrechte gebraucht werden, im Detail für welche Funktion. Dann findet sich ein Weg es ohne Adminrechte zu erledigen.
Gruß
Doskias
Moin,
ich würde empfehlen, abzuschätzen ob es das Haupteinnahme-Tool ist. ZB Anwälte nutzen eine Software, deren Supporter genau das Gleiche machen.
Ein Tipp: Winke doch mal mit Haftungsübernahme bzgl Datenhoheit. Gerne schicke ich dir einen Text, sollte es nötig sein.
beste Grüße
carsqul
ich würde empfehlen, abzuschätzen ob es das Haupteinnahme-Tool ist. ZB Anwälte nutzen eine Software, deren Supporter genau das Gleiche machen.
Ein Tipp: Winke doch mal mit Haftungsübernahme bzgl Datenhoheit. Gerne schicke ich dir einen Text, sollte es nötig sein.
beste Grüße
carsqul
Ich habe leider keine Quelle für dich, aber ich denke, das sollte auch nicht nötig sein.
Wenn es für das Programm alternativen am Markt gibt.
In unserem Fall haben wir dem Hersteller eine Frist von 3 Monaten gegeben, dass er eine Lösung herbeizaubern soll, oder uns einen alternativen Termin nennen soll, ansonsten ersetzen wir seine Software.
Nach 3 Wochen wurde es umgestellt und die Nutzer haben nichtmal Adminrechte auf einzelne Ordner gebraucht.
Das Ganze wurde von unserem IT-Leiter weitergegeben und fertig.
Wenn es für das Programm alternativen am Markt gibt.
In unserem Fall haben wir dem Hersteller eine Frist von 3 Monaten gegeben, dass er eine Lösung herbeizaubern soll, oder uns einen alternativen Termin nennen soll, ansonsten ersetzen wir seine Software.
Nach 3 Wochen wurde es umgestellt und die Nutzer haben nichtmal Adminrechte auf einzelne Ordner gebraucht.
Das Ganze wurde von unserem IT-Leiter weitergegeben und fertig.
Zum Grundschutz: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
Seite 518:
Seite 518:
Wie währ's damit?
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
Ich werde zu dem Thema übrigens regelmäßig beim Audit vom Wirtschaftsprüfer befragt.
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
Ich werde zu dem Thema übrigens regelmäßig beim Audit vom Wirtschaftsprüfer befragt.
Hi,
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".
E.
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".
E.
Hallo,
danke für die Links.
Grüße
lcer
danke für die Links.
Zitat von @emeriks:
Hi,
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".
Na ja, die Software ist für unsere (ziemlich teuren) Geräte erforderlich und ohne kompletten Systemwechsel alternativlos. Und es gibt zwei nur Hersteller für so diesen Anwendungsfall.Hi,
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".
Grüße
lcer
Wenn du einen Linux-Server betreibst, wird auch immer empfohlen sich nie mit root anzumelden. Jeder Dienst sollte möglichst ohne root-Rechte betrieben werden. Das gleiche gilt dann für Windows auch - nie mehr Berechtigungen benutzen als eigentlich erforderlich. ALternativ ist: Lass dir mitteilen, wofür die Admin-Rechte benötigt werden. Habe das Gefühl, dass es ein Softwarehersteller ist, der keine Ahnung von Windows hat...
