12
Temporäre Adminrechte
Folgender Fall:
Etliche Mitarbeiter unserer Firma sind bundesweit unterwegs. Jetzt kommt es natürlich mal vor, dass die ein oder andere Software aktualisert werden muss bzw. komplett neu installiert werden soll.
Die Mitarbeiter haben auf den Notebooks zwei lokale Benutzer, einen beschränkten und einen mit Adminrechten.
Ich suche nun eine Möglichkeit, den Mitarbeitern die Adminrechte zu entziehen, ihnen aber trotzdem die Möglichkeit für Installationen zu geben.
Wir haben zwar eine Online-Verbindung zu den Mitarbeitern, aber aufgrund der teilweise recht niedrigen Geschwindigkeit ist es nicht möglich, Installationen per Fernwartung durchzuführen.
Gibt es Möglichkeiten oder Tools, die es erlauben, den Mitarbeitern für eine bestimmte Aktion Admin-Rechte zu geben?
Ich stelle mir sowas wie einen zeitlich beschränkt gültigen Key oder ähnliches vor.
Danke für eure Hilfe.
Etliche Mitarbeiter unserer Firma sind bundesweit unterwegs. Jetzt kommt es natürlich mal vor, dass die ein oder andere Software aktualisert werden muss bzw. komplett neu installiert werden soll.
Die Mitarbeiter haben auf den Notebooks zwei lokale Benutzer, einen beschränkten und einen mit Adminrechten.
Ich suche nun eine Möglichkeit, den Mitarbeitern die Adminrechte zu entziehen, ihnen aber trotzdem die Möglichkeit für Installationen zu geben.
Wir haben zwar eine Online-Verbindung zu den Mitarbeitern, aber aufgrund der teilweise recht niedrigen Geschwindigkeit ist es nicht möglich, Installationen per Fernwartung durchzuführen.
Gibt es Möglichkeiten oder Tools, die es erlauben, den Mitarbeitern für eine bestimmte Aktion Admin-Rechte zu geben?
Ich stelle mir sowas wie einen zeitlich beschränkt gültigen Key oder ähnliches vor.
Danke für eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125183
Url: https://administrator.de/contentid/125183
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Hi !
Mit der Suchfunktion des Forums, hättest Du diesen Tipp gefunden. Dort verweise ich auf das Tool "SURUN", mit dem Du sowas im Handumdrehen realisieren kannst. Man kann "SURUN" den persönlichen Wünschen anpassen, dass z.B. nur die "UPDATE.EXE" einer Anwendung mit Adminrechten gestartet wird und nicht die Anwendung selbst oder man kann "SURUN" vor dem Benutzer verstecken, so dass dieser sich die Adminrechte nicht einfach so holen kann, sondern nur von Administrator vorgegebene Anwendungen mit Adminrechten gestartet werden können.
Auf der Homepage des Entwicklers gibt es eine Beschreibung und ein Forum, in dem der Entwickler des Tools persönlich erreichbar ist.
Edit:
Wenn Du ohne solche Tools arbeiten willst, solltest Du dich mit "runas" auf der Windows Console beschäftigen. Der grosse Nachteil, den "runas" und das unten genannte Tool haben, man muss dem normalen User das Administrator Passwort aushändigen, was das ganze Sicherheitskonzept quasi komplett aufhebt.
mrtux
Mit der Suchfunktion des Forums, hättest Du diesen Tipp gefunden. Dort verweise ich auf das Tool "SURUN", mit dem Du sowas im Handumdrehen realisieren kannst. Man kann "SURUN" den persönlichen Wünschen anpassen, dass z.B. nur die "UPDATE.EXE" einer Anwendung mit Adminrechten gestartet wird und nicht die Anwendung selbst oder man kann "SURUN" vor dem Benutzer verstecken, so dass dieser sich die Adminrechte nicht einfach so holen kann, sondern nur von Administrator vorgegebene Anwendungen mit Adminrechten gestartet werden können.
Auf der Homepage des Entwicklers gibt es eine Beschreibung und ein Forum, in dem der Entwickler des Tools persönlich erreichbar ist.
Edit:
Wenn Du ohne solche Tools arbeiten willst, solltest Du dich mit "runas" auf der Windows Console beschäftigen. Der grosse Nachteil, den "runas" und das unten genannte Tool haben, man muss dem normalen User das Administrator Passwort aushändigen, was das ganze Sicherheitskonzept quasi komplett aufhebt.
mrtux
unter UNIX gibt es dafuer z.B. den sudo Befehl
inzwischen wurde dieser auch auch Windows portiert
kannst ja mal gucken ob das was fuer dich ist
http://www.pcwelt.de/start/sicherheit/archiv/43776/sudo_fuer_windows/
inzwischen wurde dieser auch auch Windows portiert
kannst ja mal gucken ob das was fuer dich ist
http://www.pcwelt.de/start/sicherheit/archiv/43776/sudo_fuer_windows/
Die Tools, die ihr mir hier zeigt, haben aber zur Folge, dass der Anwender sich Admin-Rechte verschaffen kann, wann er möchte.
Sprich, wenn er ein Programm installiern will, startet er es eben über eines dieser Tools und hat die benötigte Berechtigung.
Selbst, wenn ich eine Konfiguration erstellen kann, die nur das Starten eines bestimmten Programmes vorsieht, kann ich damit nicht flexibel reagieren.
Ich suche eher etwas in der Art, dass mich der Mitarbeiter kontaktiert, weil er eben Programm X installieren muss. Daraufhin nenne ich ihm einen Key (auch per Mail) die es ihm erlaubt, genau dieses eine Programm zu installieren.
Gibt man den Benutzern einmal das Kennwort für einen Admin-Account auf dem Notebook, werden sie diesen immer wieder nutzen, um private Programme usw. zu installieren. Dies möchte ich verhindern.
Dafür muss es doch eine Lösung geben.
Oder wie lösen das andere Firmen? Muss der Mitarbeiter beim Admin antraben, oder wirklich per Fernwartung?
Sprich, wenn er ein Programm installiern will, startet er es eben über eines dieser Tools und hat die benötigte Berechtigung.
Selbst, wenn ich eine Konfiguration erstellen kann, die nur das Starten eines bestimmten Programmes vorsieht, kann ich damit nicht flexibel reagieren.
Ich suche eher etwas in der Art, dass mich der Mitarbeiter kontaktiert, weil er eben Programm X installieren muss. Daraufhin nenne ich ihm einen Key (auch per Mail) die es ihm erlaubt, genau dieses eine Programm zu installieren.
Gibt man den Benutzern einmal das Kennwort für einen Admin-Account auf dem Notebook, werden sie diesen immer wieder nutzen, um private Programme usw. zu installieren. Dies möchte ich verhindern.
Dafür muss es doch eine Lösung geben.
Oder wie lösen das andere Firmen? Muss der Mitarbeiter beim Admin antraben, oder wirklich per Fernwartung?
Hast du Zugriff auf die Notebooks wenn die Kollegen unterwegs sind?
Du könntest den User einfach in die Administratorengruppe packen, er melde sich an und macht sein Ding. Meldet er sich dann wieder ab, werden ihm automatisch die Rechte entzogen.
Du könntest den User einfach in die Administratorengruppe packen, er melde sich an und macht sein Ding. Meldet er sich dann wieder ab, werden ihm automatisch die Rechte entzogen.
Hi !
Dann müsstest Du ihm aber gut über die Schulter bzw. den Desktop schauen, denn wenn er Adminrechte bzw. Installationsrechte hat kann er quasi ALLES tun/installieren, wo nach im der Sinn steht. Das ist also auch keine sichere Lösung!
Wenn den Mitarbeitern in dieser Hinsicht nicht über den Weg zu trauen ist, gibt es nur eine Lösung: Keine Adminrechte zuteilen! Nur die bewahrt ein System vor den "vorgelagerten" Problemen!
Es bleibt also nur die Möglichkeit der "konservativen Administration", wie die geht brauche ich (hoffentlich) nicht zu erklären, einem Administrator sollte die bekannt sein und ausserdem wurde das hier im Forum schon zigfach gefragt, kommentiert und lässt sich mit der Suchfunktion bewältigen.
Edit...oder von DWW erklären lassen.
mrtux
Zitat von @-Giraffe-:
Hast du Zugriff auf die Notebooks wenn die Kollegen unterwegs sind?
Du könntest den User einfach in die Administratorengruppe
packen, er melde sich an und macht sein Ding. Meldet er sich dann
wieder ab, werden ihm automatisch die Rechte entzogen.
Hast du Zugriff auf die Notebooks wenn die Kollegen unterwegs sind?
Du könntest den User einfach in die Administratorengruppe
packen, er melde sich an und macht sein Ding. Meldet er sich dann
wieder ab, werden ihm automatisch die Rechte entzogen.
Dann müsstest Du ihm aber gut über die Schulter bzw. den Desktop schauen, denn wenn er Adminrechte bzw. Installationsrechte hat kann er quasi ALLES tun/installieren, wo nach im der Sinn steht. Das ist also auch keine sichere Lösung!
Wenn den Mitarbeitern in dieser Hinsicht nicht über den Weg zu trauen ist, gibt es nur eine Lösung: Keine Adminrechte zuteilen! Nur die bewahrt ein System vor den "vorgelagerten" Problemen!
Es bleibt also nur die Möglichkeit der "konservativen Administration", wie die geht brauche ich (hoffentlich) nicht zu erklären, einem Administrator sollte die bekannt sein und ausserdem wurde das hier im Forum schon zigfach gefragt, kommentiert und lässt sich mit der Suchfunktion bewältigen.
Edit...oder von DWW erklären lassen.
mrtux
Hallo lionking.
Schreib doch noch etwas mehr zum besseren Verständnis. Wie macht Ihr denn die Setups zugänglich? Oder besorgt der Benutzer sich diese selber?
Meiner Erfahrung nach ist alles aus dem Bereich surun, runasspc, runas /savecred /... ein Sicherheitsrisiko, sobald die Anwendungen, die damit gestartet werden, für den User sichtbar ablaufen. [Edit: Streich das "meiner Erfahrung nach", es ist ein Sicherheitsrisiko und benötigt noch nicht einmal einen sonderlich gewieften Anwender]
Eine Möglichkeit, Software zur Installation zu authorisieren ist das "Deployment through assignment", das Benutzergebundene Zuweisen von Anwendungen per GPO. Allerdings braucht das evtl. mehr Bandbreite, als vorhanden, da die Setups nicht lokal liegen.
Schreib doch noch etwas mehr zum besseren Verständnis. Wie macht Ihr denn die Setups zugänglich? Oder besorgt der Benutzer sich diese selber?
Meiner Erfahrung nach ist alles aus dem Bereich surun, runasspc, runas /savecred /... ein Sicherheitsrisiko, sobald die Anwendungen, die damit gestartet werden, für den User sichtbar ablaufen. [Edit: Streich das "meiner Erfahrung nach", es ist ein Sicherheitsrisiko und benötigt noch nicht einmal einen sonderlich gewieften Anwender]
Eine Möglichkeit, Software zur Installation zu authorisieren ist das "Deployment through assignment", das Benutzergebundene Zuweisen von Anwendungen per GPO. Allerdings braucht das evtl. mehr Bandbreite, als vorhanden, da die Setups nicht lokal liegen.
Hi,
eine Möglichkeit, für gezielt eine Anwendung (und nur für die) Administratorrechte zu setzen, ohne dass der Anwender an das Passwort kommt, bietet
pcwRunAs. Damit kann eine Verknüpfung für ein bestimmtest Programm erstellt verwerden, in der die Berechtigungsinformationen und ein Hash-Wert für das Programm verschlüsselt abgelegt sind.
eine Möglichkeit, für gezielt eine Anwendung (und nur für die) Administratorrechte zu setzen, ohne dass der Anwender an das Passwort kommt, bietet
pcwRunAs. Damit kann eine Verknüpfung für ein bestimmtest Programm erstellt verwerden, in der die Berechtigungsinformationen und ein Hash-Wert für das Programm verschlüsselt abgelegt sind.
Vom Prinzip her wäre die Idee schon nicht schlecht. Eine so erzeugte Berechtigung wäre schnell per Mail verschickt.
Allerdings hat das eine Schwachstelle (habs grad probiert): Damit kann ich jedes beliebige Programm ausführen, in dem ich es einfach umbenenne.
Allerdings hat das eine Schwachstelle (habs grad probiert): Damit kann ich jedes beliebige Programm ausführen, in dem ich es einfach umbenenne.
Die benötigte Software kommt auf unterschiedlichen Wegen zu den Mitarbeitern. Mal werden Programme von uns verteilt, mal liegen sie den Geräten bei, die benutzt werden, oder auch mal ein Download usw.
GPO haben wir hier nicht im Einsatz. Es ist aber fast unmöglich, die Setups online zu verteilen, da die Bandbreiten zu niedrig sind (teils nur GPRS verfügbar)
Daher war meine Idee ja auch, dass ich vom Mitarbeiter X die Info bekomme, was er installieren muss und ich ihm dann die entsprechende Berechtigung für diese eine Aktion gebe.
GPO haben wir hier nicht im Einsatz. Es ist aber fast unmöglich, die Setups online zu verteilen, da die Bandbreiten zu niedrig sind (teils nur GPRS verfügbar)
Daher war meine Idee ja auch, dass ich vom Mitarbeiter X die Info bekomme, was er installieren muss und ich ihm dann die entsprechende Berechtigung für diese eine Aktion gebe.
Nein, so einfach ist es nicht, es geht ja um Hashes, wie Du lesen konntest und nicht um Namen. Jedoch kann man mit einem sichtbaren Prozess mit hohen Rechten nun ausbrechen und alles andere mit hohen Rechten starten, worauf man Lust hat, das ist das Problem. Ich hab mich mal mit dem Aufspüren solcher Schlupflöcher beschäftigt - das ist alles andere als kompliziert. Als rudimentärer Schutz ist dieser Ansatz aber der beste.
Tja, da hat der Entwickler mit seiner Version 0.3 offenbar Mist gebaut und das auch in die 0.4 übernommen. Mit der Vorversion 0.2 klappt das aber nicht:
Umbenennen? Denkste, da läuft nichts.
http://www.myria.org/download/copy_of_product.2006-03-04.3138670228/rel ...
Edit: Ob die damit erstellte Verknüpfung allerdings nur auf dem Rechner lauffähig ist, auf dem sie erstellt wurde, kann ich nicht versichern, das musst du ausprobieren.
Umbenennen? Denkste, da läuft nichts.
http://www.myria.org/download/copy_of_product.2006-03-04.3138670228/rel ...
Edit: Ob die damit erstellte Verknüpfung allerdings nur auf dem Rechner lauffähig ist, auf dem sie erstellt wurde, kann ich nicht versichern, das musst du ausprobieren.
Daher war meine Idee ja auch, dass ich vom Mitarbeiter X die Info bekomme, was er installieren muss und ich ihm dann die entsprechende Berechtigung für diese eine Aktion gebe
Gut, dann musst Du Dir mal das Prinzip Session Isolation anlesen. Es dürfte unmöglich sein, Deinen Wunsch sicher zu bewerkstelligen.Zum anderen kann man die Schwierigkeit am Taskplaner verdeutlichen. Der kann benutzt werden, um dem Benutzer das Recht zu geben, Tasks (Batches/Programme) über Konten mit hohen Rechten auszuführen, ohne das Kennwort zu kennen. Jedoch sind diese Tasks per se nie interaktiv, denn sonst wären sie unsicher.
Gesetz dem Fall, man könnte dies Setup ohne Interaktion ausführen, z.B. über eine angesteuerte Batch mit setup /silent, dann kommt der nächste Haken - man kann zwar diese Batch ansteuern und der Task ist auch read only, meinetwegen sogar die Batch - aber wie willst Du das Setup, welches angesteuert werden soll, kontrollieren, wenn Du es nicht einmal selbst stellst?
