Zugriffsrechte Archive - Devil At Work

Die Gefahr durch mit Adminrechten ausgeführte Skripte

veröffentlicht am 5. August 2019 von Tobias Langner | Keine Kommentare

Bezüglich der Gefahr durch zu großzügig vergebene Zugriffsrechte auf Netzwerkfreigaben, wie es bei Branchensoftware gerne direkt vom Supporter des Softwareherstellers eingerichtet wird, habe ich bereits in diesem Artikel geschrieben. Im folgenden möchte ich eine Gefahr aufzeigen, die ebenfalls oftmals in diesem Zusammenhang geschaffen wird. Es geht sich um Skripte die beispielsweise einen Import von Daten oder dergleichen für diese Branchensoftware automatisieren.

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Zugriffsrechte für Ordner-Freigaben für Branchensoftware einschränken

veröffentlicht am 14. Juli 2019 von Tobias Langner | Keine Kommentare

Wenn spezielle Branchensoftware zum Einsatz kommt, wird diese im Idealfall auf einem eigenen (virtuellen) Server, der nur für diese Software betrieben wird, installiert. Im Normalfall benötigt diese ab einem gewissen Punkt immer irgendwelche Ordnerfreigaben, damit andere Benutzer diese nutzen können oder für Schnittstellen mit anderen sauteuren Branchenlösungen, die manchmal so aussehen als ob ein Praktikant diese in seiner ersten Woche von Stackoverflow zusammenkopiert hat, damit diese dann irgendwelche XML-Dateien einlesen können. Bei den Kundenbetreuern steht bei der Installation nicht die Sicherheit des Netzwerks der Kunden im Fokus, sondern die Gesamtlösung zum Laufen zu bringen. Deshalb werden leider meistens sehr weitreichende Rechte vergeben. Was man stattdessen machen sollte, zeige ich in diesem Artikel.

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

WordPress: Etwas sicherer machen

veröffentlicht am 24. März 2019 von Tobias Langner | Keine Kommentare

Nachdem auch vor einiger Zeit mein Blog durch einen Bug im Plugin für die GDPR-Compliance zum Opfer ungewollter Benutzerregistrierungen (mit administrativen Rechten) geworden ist, habe ich ganz vergessen, eine einfache Methode zu zeigen, um dies zumindest etwas zu „entschärfen“. Beim letzten Mal ist zum Glück nichts passiert, aber in der Zukunft will man so etwas eher nicht noch einmal erleben.

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Mitarbeiter bekommt ungewünschte Termin-Einladungen in Outlook

veröffentlicht am 4. Februar 2019 von Tobias Langner | Keine Kommentare

Wenn ein Mitarbeiter darüber klagt, dass er immer Einladungen zu Terminen in Outlook bekommt, die nicht an ihn adressiert sind, dann liegt dies an einer ganz einfachen Sache: Aus irgendeinem Grund hat wohl mal der Adressat die Rechte an seinem Kalender verändert und dem ungewollten Empfänger zur „Stellvertretung“ ernannt. Dadurch erhält auch die berechtigte Person die Informations-E-Mail über die Einladung!

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Terminalserver: Benutzerprofildienst kann nicht geladen werden

veröffentlicht am 22. Januar 2019 von Tobias Langner | Keine Kommentare

Eine immer wieder schöne Meldung beim Anmeldeversuch eines neuen Benutzers am Terminalserver, in diesem Fall noch einem 2008 R2, ist die folgende: „Benutzerprofildienst kann nicht geladen werden“. Tja, standardmäßig hilft dann das Profil über die Systemsteuerung zu müllen und im Benutzer-Ordner sicher zu stellen, dass dort der Ordner weg ist. Wenn es dann noch immer nicht geht in der Registry unter „HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList“ mal nachschauen ob dort noch ein Eintrag für den Benutzer vorhanden ist. Das war dies mal leider nicht der Fall.

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

WordPress: Sicherheitslücke in GDPR-Compliance-Plugin

veröffentlicht am 13. November 2018 von Tobias Langner | Keine Kommentare

Wie auch von Heise berichtet wird, geht gerade ein Angriff mit Hilfe einer Sicherheitslücke in dem wahrscheinlich von sehr vielen Webseiten-Betreibern genutzten Plugin „WP GDPR Compliance“ auf Webseiten, los die auf WordPress setzen. Auch diesen Blog hat es erwischt, was sich dadurch äußerte, dass plötzlich neue Benutzerkonten angelegt wurden, die zum Schreck auch noch über Admin-Rechte verfügten:

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Fehlgeschlagenes Update der Aldi-Steuer-Software

veröffentlicht am 2. Juli 2018 von Tobias Langner | Keine Kommentare

Heute wollte ich den Steuerbescheid mit der Aldi-Steuer-Software herunterladen. Diese Software entspricht mehr oder weniger der Software „tax“ von Buhl Data, allerdings kostet sie nur ein Viertel 😉 Allerdings funktioniert das automatische Update nicht so ganz. Nachdem Start der Software verkündete diese, dass ein Update verfügbar ist. Das Herunterladen funktionierte problemlos.

Tobias Langner

Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!