Kann ich ein Admin-Privileg nur für eine Anwendung erstellen?
27204
Ivo Flipse
Eine Universität versucht, unsere Software auszuführen, aber ihre Benutzer haben keine Administratorrechte.
Für die Ausführung unserer Software sind jedoch Administratorrechte erforderlich.
Gibt es eine Möglichkeit, dass der Systemadministrator ein Privileg nur für unsere Software erstellt, oder würde dies eine (große) Sicherheitslücke für das System verursachen?
Andere (sinnvolle) Problemumgehungen sind ebenfalls willkommen, aber das Ändern unserer Software steht (leider) nicht zur Debatte. Dieses Problem tritt bei Windows XP und Vista auf.
Was macht Ihre App, die Admin erfordert?
Simon P Stevens vor 15 Jahren
4
Eine ähnliche Frage (später gestellt) enthält weitere Informationen dazu [UAC für bestimmte Programme unter Windows 7 gezielt deaktivieren] (https://superuser.com/questions/99286/selective-disabling-uac-for-specific-program-on-on-windows -7), und hier ist noch einer: [Können Sie die Benutzerkontensteuerung für eine einzelne App deaktivieren?] (Http://superuser.com/q/2699/391675)
Wolf vor 8 Jahren
0
Ja, das verursacht eine große Sicherheitslücke. Wenn Sie Fehler haben, die die Ausführung von willkürlichem Code oder das Auftauchen neuer Prozesse ermöglichen, haben Sie dem Benutzer grundsätzlich die vollständigen Administratorrechte für das System erteilt.
Ich weiß, dass Sie gesagt haben, dass Sie Ihre Software nicht ändern können, aber wenn es zwischen diesem und einem verlorenen Verkauf liegt, würde ich es ernsthaft in Erwägung ziehen, es ist wirklich nicht so schwer, keine Administratorrechte zu benötigen.
Was erfordert insbesondere die Rechte? Müssen Sie auf bestimmte Teile der Festplatte schreiben? Benötigen Sie rohen Zugriff auf ein Gerät? Dies würde helfen zu klären.
Genau. Ihre Anwendung sollte nicht admin erfordern, es sei denn, sie ist sehr spezialisiert.
Simon P Stevens vor 15 Jahren
2
Das Problem trat erst in letzter Zeit auf, während die Änderungen, die Administratorrechte benötigten, vor über einem Jahr vorgenommen wurden. Sie haben recht, dass es nicht schwer ist. Wir hoffen jedoch, dass wir in einigen Monaten eine neue Version veröffentlichen können. Daher ist es "unerwünscht", unsere "alte" Software ändern zu müssen.
Ivo Flipse vor 15 Jahren
0
Was ändert sich und welche Admin-Rechte haben Sie? Sicher ist es unerwünscht, aber Sie haben gefragt, ob es eine Sicherheitslücke ist, und es ist daher unverantwortlich, einen Angriffsvektor an der Universität einzuführen, ohne sie darüber zu informieren.
Mike McQuaid vor 15 Jahren
0
Sie sagten auch nicht, was die Rechte verlangte. Sie können einzelne Probleme umgehen, aber der Anwendung vollständige Administratorrechte zu geben, ist einfach dumme und schreckliche Softwareentwicklung. Sie würden gelyncht werden, wenn Sie dies auf stackoverflow posten (was Sie hätten tun sollen)
Mike McQuaid vor 15 Jahren
2
Sie haben unsere Software dahingehend geändert, dass sie unter Vista funktioniert, wo Probleme mit der Registrierung aufgetreten sind und wie Vista lokale Datenbanken für jeden Benutzer erstellt. Sie sollten jedoch wissen, dass wir über eine spezialisierte Software verfügen (<3000 Benutzer) und die Entwicklung wird in Labview durchgeführt, was die Dinge nicht verbessert. Aber ich habe die Software nicht geschrieben, ich versuche nur eine Problemumgehung zu finden. Wenn dies zu SO gestellt wird, würde die Frage lauten, warum wir Administratorrechte brauchen, keine mögliche Lösung
Ivo Flipse vor 15 Jahren
0
Wenn unsere Software jedoch eine Sicherheitslücke ist, sollte die Universität entweder über einen dedizierten Computer verfügen oder das Produkt nicht verwenden.
Ivo Flipse vor 15 Jahren
0
Vista erstellt lokale Datenbanken für jeden Benutzer, um diese Sicherheitslücke zu vermeiden. Wenn Sie global auf Datenbanken zugreifen möchten, müssen Sie sie in einem global beschreibbaren Verzeichnis speichern. Ihre Anwendung erfordert KEINE Administratorrechte.
Mike McQuaid vor 15 Jahren
0
Aber weil es programmiert ist, scheiße, tut es ;-) Ich versuche nicht, anstößig zu sein, aber ich muss einfach mit der Tatsache leben, dass unsere aktuelle Software scheiße ist.
Ivo Flipse vor 15 Jahren
0
Du musst nicht damit leben. Meine Firma könnte diesen Fehler an einem Nachmittag fast sicher für Sie beheben, wenn auch nur das. Sie sollten Ihren Managern sagen, was die Leute hier gesagt haben.
Mike McQuaid vor 15 Jahren
0
Sie sagen mir, es lohnt sich nicht, Zeit und Geld für den Austausch der aktuellen Software auszugeben ... Angesichts der wenigen betroffenen Personen kann ich ihnen nicht die Schuld geben.
Ivo Flipse vor 15 Jahren
0
Aber wie viel würde dieser verlorene Verkauf kosten, verglichen mit dem Aufwand, das Problem zu beheben?
Rowland Shaw vor 15 Jahren
0
Und wie hoch ist das Risiko, wenn Ihre Anwendung einen Sicherheitsfehler verursacht, für den Sie einer Ihrer Kunden verklagt?
Mike McQuaid vor 15 Jahren
0
3
Bruce McLeod
Der beste Weg wäre, einen runas-Ersatz zu verwenden, der verschlüsselte Passwörter speichert. So etwas wie Supercrypt .
Dies scheint in die richtige Richtung zu gehen, neugierig, ob die Leute andere Vorschläge wie diese haben.
Ivo Flipse vor 15 Jahren
0
2
shufler
Wenn die Benutzer Teil einer Domäne sind, können Sie ein Gruppenrichtlinienobjekt verwenden, um eine Richtlinie für Softwareeinschränkungen zu definieren , die nur die Ausführung Ihrer Anwendung zulässt. Erstellen Sie Konten für die Benutzer, und weisen Sie ihnen lokale Administratorrechte für die Maschinen zu (vorzugsweise mit demselben GPO).
+1 - Ein benutzerdefiniertes Gruppenrichtlinienobjekt mit Administratorberechtigungen ist das beste Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit in einem großen Netzwerk.
EvilChookie vor 15 Jahren
1
0
Simon P Stevens
Schauen Sie sich Sudo für Fenster an . Sie können normale Benutzer zu Administratoren für den Anwendungsbereich einer einzelnen Anwendung machen.
Ich bin mir nicht sicher, ob es für Sie funktionieren wird, aber wenn Sie dem Benutzer sudo die Berechtigung erteilen. Es könnte sich aber lohnen, es sich anzusehen.
Entweder auf den Computern des Benutzers oder auf einem Server.
Dies macht es nicht einfacher zu installieren oder zu verwenden, aber es kostet Sie etwas Zeit, bis Ihre Software geändert wird.
Ich frage mich, wie Sandboxing mit der Datenbank umgehen würde. Ich werde es einfach versuchen ;-)
Ivo Flipse vor 15 Jahren
0
0
Ich denke, dass PrivilegeGuard von Avecto genau das tun soll, wonach Sie suchen ... Es ermöglicht Ihnen, die Rechte für eine bestimmte Windows-App zu erhöhen, ohne den Benutzern vollständige Administratorrechte zu geben. Dies alles kann für XP, Vista und Win 7 durchgeführt werden.
Ich gehe davon aus, dass Sie nach einer kostengünstigen Lösung suchen, aber wenn Sie nichts Passendes finden, können Sie Universal Shield ausprobieren . Es beschränkt den Zugriff pro Anwendung und nicht pro Benutzer. In Sachen Sicherheit ist es genau das, was Sie brauchen.
Ich bin nicht sicher, wie gut es für ein Arbeitsumfeld geeignet ist. Aber zu Hause funktioniert das gut für eine kleine Anzahl von Verwaltungsprogrammen, die ich regelmäßig verwende.