Keine Lokalen Adminrechte für User - Suche zitierfähige Quellen

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

11.01.2021 um 09:39 Uhr, 1089 Aufrufe, 9 Kommentare

Hallo zusammen,

ich versuche gerade einen unserer Softwarehersteller davon zu überzeugen, dass es inakzektabel ist, dass seine Software (unter Windows) lokale Adminrechte benötigt. In diesem Fall ist das auch im entferntesten nicht nachvollziehbar, da es sich um einen Datenbankclient mit Bildbetrachter handelt.

Ich benötige dazu einigermaßen zitierfähige Quellen. Der abstrakte Verweis auf BSI-Grundschutz genügt mir da nicht. Hat jemand vielleicht einen Link für etwas Konkretes parat?

Danke im Voraus

lcer

PS: über die Erfolgsaussichten will ich nicht spekulieren - die Hoffnung stirbt zuletzt.
Mitglied: tech-flare
11.01.2021, aktualisiert um 09:41 Uhr
Zitat von lcer00:

Hallo zusammen,
Servus,

ich versuche gerade einen unserer Softwarehersteller davon zu überzeugen, dass es inakzektabel ist, dass seine Software (unter Windows) lokale Adminrechte benötigt. In diesem Fall ist das auch im entferntesten nicht nachvollziehbar, da es sich um einen Datenbankclient mit Bildbetrachter handelt.

Wenn das der Software Hersteller nicht versteht, ist es äußert fraglich, ob die Software überhaupt geeignet ist :D

Ich weiß...manchmal hat man keine Wahl.

Alternativ: Setzte doch für die benötigten Ordner den Zugriff für die User auf Vollzugriff.....oder möchte das Teil auch in die Registry schreiben usw.?
Bitte warten ..
Mitglied: Doskias
11.01.2021 um 09:46 Uhr
Moin.
Du meinst sowas:
https://www.security-insider.de/benutzer-ohne-admin-rechte-a-733845/

Ansonsten: Definiere "unseren" Softwarehersteller. Wenn es eine Auftragsarbeit für euch ist, soll er es gefälligst so machen wie ihr es ihm vorgebt, denn er bezahlt ja dafür.

Vielleicht gibt es ja auch Unternehmensrichtlinien bei euch (oder andere Anweisungen), die das festschreiben. Die könntest du ihm dann auch zeigen.

Es ist leider durchaus üblich das SW-Hersteller oft immer von Admin-Rechten sprechen weil damit alles läuft und sie sich keine Gedanken machen wollen woran es liegt. Ich hatte selbst mal den Fall (wie im Link beschrieben) wo ein SW-Hersteller meinte ich müsse jedem User auf einem Terminalserver Adminrechte geben. Ich habe mich geweigert, die Sache mit einem fähigen Mitarbeiter des Unternehmens besprochen und siehe da. Auf einmal ging es mit 2 via GPO verteilten Registry-Einträgen und schreibrechte in einem Programm-Ordner.

Lass die erklären wozu die Adminrechte gebraucht werden, im Detail für welche Funktion. Dann findet sich ein Weg es ohne Adminrechte zu erledigen.

Gruß
Doskias
Bitte warten ..
Mitglied: Carsqul
11.01.2021 um 09:59 Uhr
Moin,

ich würde empfehlen, abzuschätzen ob es das Haupteinnahme-Tool ist. ZB Anwälte nutzen eine Software, deren Supporter genau das Gleiche machen.

Ein Tipp: Winke doch mal mit Haftungsübernahme bzgl Datenhoheit. Gerne schicke ich dir einen Text, sollte es nötig sein.

beste Grüße
carsqul
Bitte warten ..
Mitglied: Milord
11.01.2021 um 10:00 Uhr
Ich habe leider keine Quelle für dich, aber ich denke, das sollte auch nicht nötig sein.
Wenn es für das Programm alternativen am Markt gibt.

In unserem Fall haben wir dem Hersteller eine Frist von 3 Monaten gegeben, dass er eine Lösung herbeizaubern soll, oder uns einen alternativen Termin nennen soll, ansonsten ersetzen wir seine Software.
Nach 3 Wochen wurde es umgestellt und die Nutzer haben nichtmal Adminrechte auf einzelne Ordner gebraucht.
Das Ganze wurde von unserem IT-Leiter weitergegeben und fertig.
Bitte warten ..
Mitglied: wiesi200
LÖSUNG 11.01.2021, aktualisiert um 10:49 Uhr
Wie währ's damit?
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...

Ich werde zu dem Thema übrigens regelmäßig beim Audit vom Wirtschaftsprüfer befragt.
Bitte warten ..
Mitglied: emeriks
11.01.2021 um 11:03 Uhr
Hi,
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".

E.
Bitte warten ..
Mitglied: lcer00
11.01.2021 um 12:54 Uhr
Hallo,

danke für die Links.

Zitat von emeriks:

Hi,
möglicherweise könntest Du auch einfach die Namen der Konkurrenzprodukte und -hersteller herausfinden und damit "winken".
Na ja, die Software ist für unsere (ziemlich teuren) Geräte erforderlich und ohne kompletten Systemwechsel alternativlos. Und es gibt zwei nur Hersteller für so diesen Anwendungsfall.

Grüße

lcer
Bitte warten ..
Mitglied: Daemmerung
11.01.2021 um 19:56 Uhr
Wenn du einen Linux-Server betreibst, wird auch immer empfohlen sich nie mit root anzumelden. Jeder Dienst sollte möglichst ohne root-Rechte betrieben werden. Das gleiche gilt dann für Windows auch - nie mehr Berechtigungen benutzen als eigentlich erforderlich. ALternativ ist: Lass dir mitteilen, wofür die Admin-Rechte benötigt werden. Habe das Gefühl, dass es ein Softwarehersteller ist, der keine Ahnung von Windows hat...
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 14 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 17 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Hardware
Cisco C9300 - zwei Kabel und nur 1 verbindet?
gelöst PeterGygerVor 1 TagFrageHardware14 Kommentare

Hallo Wir haben gestern ein paar C9300 im Lab aufgestellt. Spasseshalber haben wir mit 2 seriellen Kabeln über Win 10 / Putty uns mit ...