senior-ding-dong
Goto Top

Windows 7 Benutzerkontosteuerung mit Administratorrechten

Hallo Community,

habe eine Frage zur Clientoptimierung. Ich verwende "derzeit" noch WinServer2003 als Domain Controler, habe aber schon vermehrt Windows 7 Clients in der Domäne. Beim Beschäftigen mit der Benutzerkontosteuerung bin ich auf folgende Unklarheiten getoßen.

Unsere Clients haben leider so manche "Steinzeitanwendung" (zumeist Access udgl.) die unbedingt Administratorrechte erfordern. Grundsätzlich habe ich da auch kein Problem damit. Aber - um die Clients ein wenig einzuschränken gäbe es unter Windows 7 ja schon die eine oder andere Möglichkeit. AppLocker ist nicht dass was ich suche, daher würde ich mich für die Benutzersteureung interessieren. Wenn der Client Admin Rechte hat kann er sich ja alles selbst einstellen, auch die UAC. Kennt jemand eine Möglichkeit wie man das unterbinden kann? Also Dateizugriff - JA und Beispielsweise IP ändern, Programme installieren - NEIN. Hoffe es kennt sich jemand mit meinen unübersichtlichen Ausführungen aus face-smile

Bin auch für ganz andere Lösungsansätze dankbar, vielleicht denke ich auch wiedermal zu umständlich!

Danke und ein schönes Wochenende

Marvin

Content-ID: 165396

Url: https://administrator.de/contentid/165396

Ausgedruckt am: 23.11.2024 um 07:11 Uhr

DerWoWusste
DerWoWusste 29.04.2011 um 14:56:54 Uhr
Goto Top
Hi.

Vorweg: es ist ein Thema, das nie enden will: arbeiten als eingeschränkter Nutzer.
Mit eingeschalteter UAC macht Vista/Win7 schon einen Fortschritt: Anwendungen, die in bestimmte Bereiche schreiben wollen, die nur Nutzer mit Adminrechten beschreiben können, werden umgeleitet in virtuelle Verzeichnisse, in denen die Nutzer Schreibrechte haben. Klappt oftmals, manchmal jedoch nicht.

Ich würde zunächst sehen, was Deine Programme denn genau machen, bevor Du Adminrechte vergibst. Monitoren kannst Du das mit procmon, filtere dabei nach access denied. Fehlende Datei- oder Registryschreibrechte kann man anpassen, auch domänenweit per GPO.

Das Vorhaben, Adminrechte zu vergeben und die Admins dann einzuschränken ist schwierig bis unmöglich, da die Admins Kontroll- und Beschränkungsmaßnahmen außer Kraft setzen können.
DerWoWusste
DerWoWusste 29.04.2011 um 15:00:05 Uhr
Goto Top
Ein weiterer Ansatz: Vergib Adminrechte (was auf Vista/Win7 eben gerade durch die UAC nicht mehr so dramatisch ist), verbiete aber, diese außer zu den vorgesehenen Zwecken zu nutzen - so machen wir es in begründeten Ausnahmefällen. Außerdem kann man einige Überwachungen einschalten, die dann per Mail bei Zuwiderhandlung informieren, Stichwort NTFS-Überwachnung.
Coreknabe
Coreknabe 29.04.2011 um 15:47:03 Uhr
Goto Top
Hi Marvin,

kennst Du das hier?
http://kay-bruns.de/wp/software/surun/
DerWoWusste
DerWoWusste 29.04.2011 um 17:09:37 Uhr
Goto Top
Na... da hat wieder einer (der Surun-Author) die Weisheit mit Löffeln gefressen...
Spricht von Vista und Co., hat aber keine Ahnung. Beispiel gefällig?
Warum keine Windows Bordmittel?

Der Windows Explorer hat einen “Ausführen als…”? Befehl. Der ist allerdings nicht praktikabel! Schadsoftware kann sich damit nämlich mit einfachsten Mitteln ein Administratoren-Kennwort besorgen. Als Demonstration dafür kann man einfach AutoHotkey benutzen. AutoHotkey loggt alle Tastendrücke mit und man kann sich das Passwort im LOG ansehen.

Quatsch. Seit Vista gibt es für die Credentialeingabe den SecureDesktop - der läuft in einer eigenen Sitzung und kann nicht abgefangen werden, hab ich spaßeshalber getestet.
Edit: Es geht auch mit deaktiviertem SecureDesktop nicht - scheint also eher an der Isolation des Prozesses consent.exe zu liegen - der läuft nämlich unter dem Konto System und kann von seinem user-mode-keylogger nicht abgefangen werden.

Ob es abgesehen davon eine gute Idee ist, surun zu verwenden, bezweifle ich hart. Ich werde es nochmal austesten und Bescheid sagen. Ich schätze, es lässt wie jedes andere Tool dieser Art eine Vererbung der hohen Rechte an Kindprozesse zu - Sicherheit ade.

Edit: Naja, er schreibt immerhin:
Das Microsoft dieses Thema so nachlässig behandelt hat, ist mir unverständlich. Schon in Windows NT 3.1 hätte man das Sicherheitsloch stopfen können. An der Rechteverwaltung hat sich bis einschließlich Windows XP nichts geändert

Was evtl. bedeutet, dass er weiß, dass dies mit Vista nicht mehr so ist.
DerWoWusste
DerWoWusste 29.04.2011 um 19:02:25 Uhr
Goto Top
Hab's mir angesehen (@win7 x64). Abgesehen von diversen Systeminstabilitäten, die in den ersten 5 Minuten bereits zu Tage kamen (keine Abmeldung mehr möglich, diverse Prozesse, inklusive explorer.exe stürzten ab), bestätigte sich meine Vermutung. Der "Schutz", den surun bietet, indem es eine Liste von erlaubten Anwendungen führt, die der schwache Nutzer als Admin starten darf, lässt sich auf einfachste Weise aushebeln.

Von der Stabilität (kann Zufall gewesen sein) mal abgesehen, kann es also ein super Tool sein, nur dann nicht, wenn man es mit der Sicherheit ernst nimmt.
DerWoWusste
DerWoWusste 29.04.2011 um 21:09:46 Uhr
Goto Top
Und nochmal ich.

Ich wollte mich schon länger mal mit folgender Software befassen: http://www.beyondtrust.com/pbwd-eval/
Hab ich nun getan: Freie Trial installiert (snapin und Client auf dem selben PC), gpedit.msc gestartet und losgelegt.

Und ich bin begeistert! Die erste Software, die das kann (es scheint zumindest nach meinen Tests und den Reviews, die ich gelesen habe so), was alle, auch Du suchen: eine sichere Implementation von Rechtedelegation. Das böse Schlupfloch, was die ganzen Softwares wie surun offenlassen, (Vererbung der starken Rechte an Kindprozesse) ist zu. Sehr geil.

Das Beste: für einzelne Rechner (und nicht domänenweit) angewendet, ist die Software kostenlos! Man kann damit also tatsächlich seine Pappenheimer zufriedenstellen, wenn es denn nicht zu viele werden, ohne einen Cent zu zahlen.