Administratorsicheres Installationsverzeichnis
 

Moin,

ich habe für einen Kunden ein kleines Berechnungstool erstellt, nun möchte er es installieren. Sein Problem ist der offensichtlich völlig durchgeknallte Administrator (wer nur Mails < 3 MB zuläßt kann nicht gesund sein). [ProgramFilesFolder] fällt also völlig aus. Auf der Suche nach einem geeigneten Verzeichnis habe ich [CommonAppDataFolder] gewählt, geht bei mir unter XP im Gastmodus, nicht jedoch beim Kunden.
Gibt es ein Verzeichnis unter XP, was kein Administrator für den Installer sperren kann?
Bie Vista ist das besser, da kann ich im Installer festlegen, ob das Programm nur für den jeweiligen Benutzer installiert wird und das funzt auch.

Grüße, Messie

Re: Administratorsicheres Installationsverzeichnis
 

Nein, der Administrator kann jees Verzeichnis sperren.
In welchem Verhältnis steht der Administrator zum Kunden?

Re: Administratorsicheres Installationsverzeichnis
 

Wie wäre es mit dem "Eigene Dateien"-Verzeichnis?

MS geht auch mehr und mehr dazu über dort die Anwendungsdaten/Einstellungen zu hinterlege: Siehe SQL Enterprise Manager Vom MS SQL-Server 2005.

Aber sonst hat mkinzler recht. Der Admin kann alles Sperren oder Freigeben. Wenn ich mich erinnere hatten wir schon einen Kunden da war das "Eigene Dateien"-Verzeichis gesperrt (Scheinbare Idee: In einer Firma gibt es keine "eigenen" Dateien).

Re: Administratorsicheres Installationsverzeichnis
 

An das Benutzerprofil hab ich auch gedacht, hierbei gibt es aber 2 Probleme:
1. Totalle Sperrung: Selten aber bei einem Paranoiden schon möglic.
2. Quota

Re: Administratorsicheres Installationsverzeichnis
 

Ich denke nicht das der Admin "durchgeknallt" ist. Er muß die Sicherheitsvorgaben seines Chefs erfüllen.

Wenn Du also vom Chef der Firma den Auftrag bekommen hast dieses Programm zu schreiben kann/muss er auch dafür sorgen das dein Programm auf den Computern laufen kann. Es wäre also das einfachste sich mit dem Administrator in Verbindung zu setzen und gemeinsam eine Lösung zu finden.

Bei mir in der Firma darf auch niemand ausser dem Administrator (also mit ;-) ) etwas auf einem Rechner installieren. Dies ist mit dem Vorstand so abgestimmt und mögliche Sicherheits- und Fehlerquellen ausschliessen zu können. Immerhin bin ich für die reibungslaufen Funktion der EDV verantwortlich.

Auch hierfür kann es durchaus Gründe geben. Je nach Firma macht es keinen Sinn das ein Anwender E-Mails mit Anhängen bekommt. Aber das ist hier OT.

Re: Administratorsicheres Installationsverzeichnis
 

Das Verhältnis ist nicht wichtig. Das Tool soll zum freien Download bereitgestellt werden und damit natürlich möglichst überall installierbar sein. Insofern könnte Eigene Dateien dem am nächsten kommen.

Grüße, Messie

Re: Administratorsicheres Installationsverzeichnis
 

Wenn dr Kunde nicht Vorgesetzter des Administrator ist, sondern "nur" Mitarbeiter, dann sind die Beschränkugen des Admins ja rechtens. Als normaler Benutzer soll man ja auch nichts instalieren.

Re: Administratorsicheres Installationsverzeichnis
 

Das wird allgemein so gesehen dient aber nur der Macht- und Postensicherung der EDV-Abteilungen. Ein PlugIn, ein Viewer oder ein kleines Berechnungstool sollte igentlich von jedem installiert werden können. Es sei denn, es handelt sich um ein Terminal was ausschließlich für SAP etc. da ist.
Grüße, Messie

Re: Administratorsicheres Installationsverzeichnis
 

Das sehe ich als Administrator aber ganz anders. Der Administrator ist nämlich für das reibungslose Funktionieren der IT-Umgebung zuständig. Installieren Benutzer eigenmächtig Programme kann es zu beeinträchtigungen dieses Betriebes kommen. imm schlimmsten Fall werden Viren/Würmet/Trojaner u.ä. mitinstalliert.

Re: Administratorsicheres Installationsverzeichnis
 

Wenn der Nutzer nichts installieren kann dann könntest du doch dein programm auch einfach so bereitstellen das es ohne Installation lauffähig ist.

Re: Administratorsicheres Installationsverzeichnis
 

Hallo,

nach dem Motto Anarchie ist machbar Herr Nachbar - in der Praxis völlig untauglich und ein Grund zur Entlassung. Eine typische Folge aus der Praxis: ein Rechner meldet einen Fehler, der User lädt sich irgendein oskures Tool aus dem Netz und "repariert" die Platte, die damit aufgehört hat, noch sinnvolle Daten herauszurücken - da ist es dann schon egal, wenn auch noch ein Virus dabei war.

Gruss Reinhard

Re: Administratorsicheres Installationsverzeichnis
 

Hai Messie,

sei mir nicht böse. Aber hast Du überhaupt eine Ahnung von was Du da sprichst?

Es mag sein das es in kleinen Unternehmen einen externen "Administrator" gibt der versucht als "grosser Gott" zu erscheinen.
In einem normalem Unternehmen ist dies aber sicher nicht der Fall.

Informiere dich bitte einmal darüber welche Verantwortund ein EDV- / IT-Manager zu tragen hatt.

Zum beispiel bin ich für die Datensicherung verantwortlich. Die Verantwortung kann ich nicht einfach an einen Anwender übertragen. Es gibt Urteile von Gerichten die den IT Verantwortlichen zu Schadensersatzvorderungen gegenüber dem Arbeitgeber verurteilt haben wil dieser seiner Pflicht nicht nachgekommen ist..

Die Begründung ist: "Als EDV-Leiter / Administrator haben Sie eine Position inne in denen ihnen ihr Arbeitgeber vertraut. Wenn sie nicht in der Lage sind diesen über mögliche Risiken zu informieren ist das IHR fehler. Ihr Arbeitgeber kann sich zu recht daruf verlassen das sie ihn über mögliche Fehler / Probleme informieren".

Also. Bitte komme mir nicht mit "Macht- und Postensicherung". Solche Aussagen zeigen mir persönlich nur das Du nicht weisst wie die aktuelle Rechtslage ist und das Du denkst alle anderen wissen nicht wie sie ihren Job zu machen haben.

So, sorry. Aber das ich meine ganz persönliche Meinung!

Re: Administratorsicheres Installationsverzeichnis
 

Hallo,

um es kurz zu machen, es gibt so etwas wie ein IT-Grundschutz.

Das sollten auch Entwickler mal lesen.

Gruss

Re: Administratorsicheres Installationsverzeichnis
 

Jetzt aber mal bitte wieder back to topic.

Das einfachste wäre, einfach nur einen Ordner zu nehmen und den per .zip auszuliefern. Dann kann der Benutzer ihn dahin packen wo er ihn hin haben will und einfach ausführen.

Ansonsten stimmt schon was gesagt wurde:
Wenn das Dein Kunde kannst Du sagen: Ich gebe Euch die Software so wie sie ist, und wenn nur der Admin das installieren darf dann soll halt er es installieren oder lassen. Es ist ja nicht die Pflicht des Kunden die von Dir gelieferte Software auch zu installieren - solange er sie zahlt sollte Dir das eigentlich auch egal sein :)

Re: Administratorsicheres Installationsverzeichnis
 

Wenn ich soetwas lese, stellen sich mir alle Haare auf.
Wenn man Tage-/Wochenlang nach einem temporär auftretenden Problem gesucht hat, um dann feststellen zu müssen: der ach so harmlose Bildschirmschoner war Verursacher.
Spätestens dann wird man Freund von restriktiven BS-Installationen.

Entweder kommt eine Software ohne installation, Registry, usw. aus, oder der Systemadmin hat das sagen.
Heute hält sich jeder für einen EDV-Profi, der ohne Anleitung einen PC aus der Kiste holen und anschliessen kann.

IT ist aber ein bischen mehr und wesentlich komplexer.

Wenn bei mir daheim mal ein Prog absemmelt, was solls ?

Passiert's an der Arbeit, kann das schon Grund sein, mich ins Schwitzen zu bringen.

Re: Administratorsicheres Installationsverzeichnis
 

Moin Messie,

ich denke, dass Du die Suche nach einem geeigenten Verzeichnis abkürzen kannst, wenn Du Deinen Kunden beim Administrator nachfragen lässt, welche Verzeichnis für Fremdanwendungen in Frage kommen.

Ich selber habe ich mit einem Großkunden zutun, der die Laptops seiner Mitarbeiter äußerst restriktiv konfiguriert hat. Mit der Sicherung der Macht hat das wenig zutun, vielmehr mit der Tatsache, dass die IT-Abteilung auch für die IT-Sicherheit zuständig ist und für die Integrität der Systeme.


Spreche es mit dem Kunden ab oder lasse Dir selbst einen Kontakt mit dem Admin herstellen - diese Sicherheitskonzepte werden ja nicht ausgewürfelt und es wird klar beschrieben sein, wo Anwendungen wie zum Beispiel Deine installiert werden können.

Eines ist aber klar: Sofern der Admin sein Handwerk versteht, wirst Du ohne seine implizite oder explizite Genehmigung Deine Anwendung nicht auf den PC bringen. Entweder gibt es bereits Verzeichnisse, die für Drittanwendungen vorgesehen sind oder er muss Deine Anwendung separat berücksichtigen. Letzteres war bei uns der Fall - unsere Software-Produkte sind eben in die Software-Landschaft des Kunden aufgenommen worden.

Re: Administratorsicheres Installationsverzeichnis
 

Hallo,

ich wollte nochmal kurz berichten wie es ausgegangen ist: der Admin wurde zur Installation des Programms bestellt und hat das damit freigegeben wie Daniel es vorgeschlagen hatte. Den Vorschlag, Verzeichnisse für Software Dritter freizugeben werde ich mir merken, das ist eine gute Variante.
Auch wenn sich einige über meine Vorbehalte gegenüber EDV-Göttern geärgert haben: Es gibt, wie man an Daniels Vorschlägen sieht, durchaus die Möglichkeit das Thema Sicherheit vernünftig zu lösen. Zudem kann man sich mit etwas Arbeit Benutzergruppen mit unterschiedlichen Rechten bauen. Den Hut dafür hat sowieso nicht mehr nur der Admin auf, wenn man die IT-Sicherheitsrichtlinie nach ISO 17799 umsetzt. Wer die noch nicht eingeführt hat ist selbst schuld wenn er auf dem Ärger sitzenbleibt. Wenn das Firmennetz aber so eingerichtet ist, daß der Produktionsleiter genausowenig Rechte und Möglichkeiten hat wie ein Lagerarbeiter dann ist das aus meiner Sicht schlicht Arbeitsverweigerung.
Mein Beispiel was ich zu Beginn des Threads hatte: 3MB Postfach für alle, Anhänge wie zip etc. generell verboten, Mails aus dem Ausland werden automatisch geblockt (jetzt nicht mehr) undsoweiter. Der Entwicklungschef dieser weltweit arbeitenden Firma (1000 MA) ist ein international anerkannter Wissenschaftler, darf sich aber keine Berechnungstools und Excel-Plugins installieren. Der Marketingchef schickt seine Powerpoint-Präsentationen als CD zu den ausländischen Niederlassungen. So etwas ist ein schlechtes Konzept.

Für alle, die als Admins die IT-Sicherheitsrichtlinie noch nicht umgesetzt haben, hier ein Link: IT-Risikomanager . Laßt Euch nicht vom Werbegedröhn irritieren, die Site ist sehr marketinglastig.

Grüße, Messie

Re: Administratorsicheres Installationsverzeichnis
 

Moin Messie,

Ja und? Was hat die Position die jemand dort einnimmt denn damit zu tun, was jemand über EDV, speziell deren Risiken, weiss?

dass ein 3MB Attachment etwas arg mager ist, darüber brauchen wir nicht zu diskutieren, besonders wenn man weiss wie die 3MB sich errechnen. Aber ich habe auch schon erlebt, dass PowerPoint-Präsentationen mit schöner Regelmässigkeit im 3-stelligen MB-Bereich liegen, und so etwas kann man ja auch schlecht zulassen.
Warum müssen die eigentlich per Mail verschickt werden?
Zu den eigenen Niederlassungen würde ich da eher eine Netzwerkverbindung erwarten, so dass man die Daten in einem entsprechenden Verzeichnis ablegen kann.

Re: Administratorsicheres Installationsverzeichnis
 

Hallo Christian,

die Position hat ganz viel damit zu tun welche Möglichkeiten demjenigen zur Verfügung stehen müssen, deshalb das Beispiel mit dem Lagerarbeiter. Primäre Aufgabe einer Firma ist es, Geld zu verdienen, die EDV ist ein Hilfsmittel dabei. Also müssen jemandem, der viel mit Kunden, Lieferanten, externen Entwicklern und Produzenten etc. zu tun hat auch die Möglichkeiten zur Verfügung gestellt werden. Das benötigte Wissen um die Sicherheit muß er sich aneignen, dazu gibt es Audits.
Die besagte Firma stellt Isolationsmaterial her. Da schickt z.B. ein Architekturbüro eine Projektskizze per Mail, damit ein vorläufiges Angebot erstellt wird (Viele Zeichnungen, Pläne, Fotos). Diese Mail muß im Vertrieb ankommen egal ob sie 3, 5 oder 50 MB groß ist. Wenn der Interessierte seine Mail zurückbekommt, wird er sich nämlich beim nächsten Anbieter melden.

Grüße, Messie

Edit: vielleicht sollte das Thema mal Richtung Klatsch und Tratsch verschoben werden....

Re: Administratorsicheres Installationsverzeichnis
 

Also zunächstmal ist es OK , wenn der Admin gewisse hindernisse
gegen Missbrauch aufbaut. Aber die Größe von E-mail Anhängen festzulegen
halte ich schon mal für Sabotage. Das nur der Admin Selbst Installationen
vornehmen kann ist dann OK wenn dieser Admin auch immer zurverfügung steht
wenn jemand etwas installieren muss. Sprich der Admin hat Ersatz bei
Krankheit und irgend ein Admin ist immer abrufbar wenn ein Notfall vorliegt.

Beim Thema Sicherheit gibts nicht selten Admins die es soweit treiben das ein
Arbeiten fast nicht mehr möglich ist. Das sind dann auch die Admins die gerade
wenn ein Notfall auftritt im Urlaub/Krank/auf Schulung sind.
Ich Berufe mich da auf Erfahrungen mit vielen Kunden die zwar Viren aus dem Internet
laden können aber denen eine Fernwartung nicht möglich ist....(zum Glück gibt es NV der kommt durch alles durch!!!)

Re: Administratorsicheres Installationsverzeichnis
 

Dann wurdest du noch nie von MB-großen Testmails zugemüllt.
Normale Benutzer müssen normalerweise nichts installieren.
Das kommt natürlich auf den Fall an, aber 50 MB finde ich etwas heftig für ne Mail, da sollte man sich einen anderen Weg des Datenaustauschs einfallen lassen.

Re: Administratorsicheres Installationsverzeichnis
 

Moin Messie,

da ein Attachement von 50MB netto (auf dem Mailserver kann das, je nach Inhalt ja noch um einiges grösser sein, und danach wird die zugelassene Grösse ja berechnet) wohl so leicht bei niemandem durchgeht, wird er die dann auch zurückbekommen ;-)
Dass die Einstellungen so gewählt werden sollten, dass der Geschäftsbetrieb nicht darunter leidet ist klar, und bedarf von meiner Seite keiner weiteren Diskussion.

Ausserdem bezog sich das

ja nicht auf E-Mails, sondern auf die Möglichkeit sich selber etwas installieren zu können, und bezüglich der Einschränkung von Installationen ist das auch mit der, von Dir angesprochenen, ISO 17799 vereinbar.

was sich aber keinesfalls auf die Installation zusätzlicher Software beziehen sollte.

für so etwas haben gerade grössere Unternehmen dann ja auch Verteilmechanismen, zumal ja auch die Lizenzverwaltung eingehalten werden muss.

Re: Administratorsicheres Installationsverzeichnis
 

Hoppla, was ist denn für Dich ein normaler Nutzer?
Ich komme bei der Arbeit selten mal eine Woche aus, ohne etwas zu installieren. Ich denke, das geht fast jedem so, der im technischen Bereich arbeitet. Da gibt es tausende Treiber, Auswerteprogramme für Meßtechnik, Viewer etc. Und alles im Netz zum Datenaustausch. Mittlerweile muß man auch bei allen möglichen CD-Katalogen etwas installieren.
Also, wenn ich mal wieder für eine größere Firma arbeiten sollte muß ich dran denken, daß ich einen eigenen Firmenwagen und einen eigenen Administrator aushandle... :-D

Grüße, Messie