Die Gefahr durch mit Adminrechten ausgeführte Skripte

Bezüglich der Gefahr durch zu großzügig vergebene Zugriffsrechte auf Netzwerkfreigaben, wie es bei Branchensoftware gerne direkt vom Supporter des Softwareherstellers eingerichtet wird, habe ich bereits in diesem Artikel geschrieben. Im folgenden möchte ich eine Gefahr aufzeigen, die ebenfalls oftmals in diesem Zusammenhang geschaffen wird. Es geht sich um Skripte die beispielsweise einen Import von Daten oder dergleichen für diese Branchensoftware automatisieren.

Read more

Zugriffsrechte für Ordner-Freigaben für Branchensoftware einschränken

Wenn spezielle Branchensoftware zum Einsatz kommt, wird diese im Idealfall auf einem eigenen (virtuellen) Server, der nur für diese Software betrieben wird, installiert. Im Normalfall benötigt diese ab einem gewissen Punkt immer irgendwelche Ordnerfreigaben, damit andere Benutzer diese nutzen können oder für Schnittstellen mit anderen sauteuren Branchenlösungen, die manchmal so aussehen als ob ein Praktikant diese in seiner ersten Woche von Stackoverflow zusammenkopiert hat, damit diese dann irgendwelche XML-Dateien einlesen können. Bei den Kundenbetreuern steht bei der Installation nicht die Sicherheit des Netzwerks der Kunden im Fokus, sondern die Gesamtlösung zum Laufen zu bringen. Deshalb werden leider meistens sehr weitreichende Rechte vergeben. Was man stattdessen machen sollte, zeige ich in diesem Artikel.

Read more

WordPress: Etwas sicherer machen

Nachdem auch vor einiger Zeit mein Blog durch einen Bug im Plugin für die GDPR-Compliance zum Opfer ungewollter Benutzerregistrierungen (mit administrativen Rechten) geworden ist, habe ich ganz vergessen, eine einfache Methode zu zeigen, um dies zumindest etwas zu „entschärfen“. Beim letzten Mal ist zum Glück nichts passiert, aber in der Zukunft will man so etwas eher nicht noch einmal erleben.

Read more

Mitarbeiter bekommt ungewünschte Termin-Einladungen in Outlook

Wenn ein Mitarbeiter darüber klagt, dass er immer Einladungen zu Terminen in Outlook bekommt, die nicht an ihn adressiert sind, dann liegt dies an einer ganz einfachen Sache: Aus irgendeinem Grund hat wohl mal der Adressat die Rechte an seinem Kalender verändert und dem ungewollten Empfänger zur „Stellvertretung“ ernannt. Dadurch erhält auch die berechtigte Person die Informations-E-Mail über die Einladung!

Read more

Terminalserver: Benutzerprofildienst kann nicht geladen werden

Eine immer wieder schöne Meldung beim Anmeldeversuch eines neuen Benutzers am Terminalserver, in diesem Fall noch einem 2008 R2, ist die folgende: „Benutzerprofildienst kann nicht geladen werden“. Tja, standardmäßig hilft dann das Profil über die Systemsteuerung zu müllen und im Benutzer-Ordner sicher zu stellen, dass dort der Ordner weg ist. Wenn es dann noch immer nicht geht in der Registry unter „HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList“ mal nachschauen ob dort noch ein Eintrag für den Benutzer vorhanden ist. Das war dies mal leider nicht der Fall.

Read more

WordPress: Sicherheitslücke in GDPR-Compliance-Plugin

Wie auch von Heise berichtet wird, geht gerade ein Angriff mit Hilfe einer Sicherheitslücke in dem wahrscheinlich von sehr vielen Webseiten-Betreibern genutzten Plugin „WP GDPR Compliance“ auf Webseiten, los die auf WordPress setzen. Auch diesen Blog hat es erwischt, was sich dadurch äußerte, dass plötzlich neue Benutzerkonten angelegt wurden, die zum Schreck auch noch über Admin-Rechte verfügten:

Read more

Fehlgeschlagenes Update der Aldi-Steuer-Software

Heute wollte ich den Steuerbescheid mit der Aldi-Steuer-Software herunterladen. Diese Software entspricht mehr oder weniger der Software „tax“ von Buhl Data, allerdings kostet sie nur ein Viertel 😉 Allerdings funktioniert das automatische Update nicht so ganz. Nachdem Start der Software verkündete diese, dass ein Update verfügbar ist. Das Herunterladen funktionierte problemlos.

Read more