Welcome to MSDN Blogs Sign in | Join | Help

News


  • Dirk Primbs
    Developer Evangelist
    Microsoft Germany
    These postings are provided
    "AS IS" with no warranties,
    and confer no rights. Use of
    included code samples are
    subject to the terms
    specified at
    Microsoft - Information
    on Terms of Use



    Logout
    Login

    Add to Technorati Favorites

    Das Henne-Ei Problem oder "Die anderen sind Schuld!"

    Der eine oder andere mag es schon mitbekommen haben (TechTalk-Fans, die beim Viren,Würmer,Trojander Talk dabei waren z.B.): Ich bin ein Weichei. Echte Männer sind nämlich Administratoren, speziell wenn sie so männlichen Tätigkeiten wie dem Programmieren nachgehen. Schließlich will man seine Macht über den Rechner ja auskosten und außerdem weiß man ja was man tut und überhaupt...

    Obwohl ich mich den Tekkies zugehörig fühle und tatsächlich gerne Code schreibe, programmiere, debugge (ja, das geht!) und arbeite ich mit einem Standard-Benutzeraccount. Jetzt kann man sagen: "Dirk, Du hast es nicht verstanden. Wir programmieren Zeug, da brauchen wir gottgleiche Rechte auf dem System." oder wie ein Freund einmal meinte: "Non-Admin is for Wimps". Alles gut, auch das Lager derjenigen die sagen, es sei einfach umständlicher sich über Berechtigungen unter Windows Gedanken zu machen, haben sicherlich recht. Nur liegt bei genau dieser Meinung ein Grundübel...

    Ich kenne viele fähige Leute, die locker über die Fähigkeiten verfügen, mit den Widrigkeiten eines Non-Admin-Systems souverän fertig zu werden. Das sind aber auch genau diejenigen, die selbst bequem Administratoren bleiben, weil sie sich ja von ihren Fachkenntnissen geschützt glauben. Die Software, die so entwickelt wird, wurde unter Umständen sehr wenig auf ihre Verträglichkeit mit restriktiven Useraccounts getestet. Das wiederum merkt aber niemand, denn - seien wir ehrlich - auch die Benutzer sind alle als Admin unterwegs... Wenn sich aber niemand (oder nur ein einzelner, z.B. ich) beschwert - Warum sich dann überhaupt die Mühe machen?

    Ironisch finde ich dann die Argumentation mancher Programmierer, man könne gar nicht auf Admin-Rechte verzichten, schließlich wären viele Tools so schlecht programmiert, daß sie dann den Dienst versagten.... Wer jetzt eine rekursive Argumentationskette ohne Abbruchbedingung wittert, liegt richtig.

    Warum bin ich jetzt so frustriert, das Ganze ist doch nicht neu? Auslöser war eine Fachzeitschrift, die ich dieser Tage durchblätterte. Wie heutzutage üblich, war sie unter anderem gespickt mit Software-Tests, oft wurden die entsprechenden Tools auf der Heft-CD netterweise gleich mitgeliefert. Und so fand man neben einem Bericht über Hacking und wie unsicher doch der Internet Explorer sei wohlwollende Praxis-Tests über Software von der ich aus eigener Erfahrung weiß, daß sie nur als Administrator läuft. Blättert man eine Seite weiter, wird einem gar empfohlen, ein murrendes Computerspiel unter einem eigens eingerichteten Administrator-Account zu betreiben... Himmel hilf, warum sollte ich einem Spiel das Recht einräumen, meinen Rechner zu kontrollieren?!

    Ich finde, eine gute Computerzeitschrift sollte bei ihren Tests den Nonadmin-Test mit einbauen. Ein Programm, egal welcher Art, das ohne gute Begründung nur als Admin richtig betrieben werden kann, sollte genau dafür gegeißelt werden. Ein Hinweis im Fazit, ein Abzug in der Punktung... Und sei es nur, um zu beweisen, daß die momentan an allen Ecken zitierte Aussage, um Computersicherheit könne sich in der Branche niemand mehr herumdrücken, nicht nur leeres Geblubber ist.

    Mich würden Eure Erfahrungen dazu interessieren. Gibt es jemanden, der als Nicht-Admin unterwegs ist? Wo hakt es da?

    Ich habe jetzt eine Non-Admin-Rubrik in meinem Blog eröffnet und will anfangen, über meine Nichtadmin-Erfahrungen zu schreiben. Vielleicht fühlt sich ja der eine oder andere berufen, in meinen Club der anonymen Nicht-Administratoren einzutreten :-)

    Posted: Wednesday, November 17, 2004 3:55 PM by dirkpr

    Comments

    Chris O. said:

    Es stimmt leider, viele Programme wollen einfach nicht ohne Admin-Rechte laufen, was sich dann manchmal damit lösen lässt das man diesem Programm auf sein Programmverzeichnis Schreibrechte gibt.

    Allerdings das mit den Spielen ist wirklich ein guter Punkt. Spiele die mit einer ganz bestimmten Anti-Cheat-Software ausgestattet sind kann man sogar by Design nur als Admin (bzw. mit tiefergehenden Rechten) online Spielen.

    Ein anderes Beispiel ist ein Spiel welches um mit der Firewall in SP2 "kombatibel" zu sein die neue Firewall API verwenden will. Dummerweise schafft es dieses Spiel nur die Funktionen anzuwenden wenn es als Admin läuft.

    Aber das jetzt Computerzeitschriften anfangen zu propagieren als Admin zu spielen finde ich ziemlich erschreckend. Die Idee mit dem Punktabzug bzw. überhaupt einmal darauf zu testen finde ich wirklich sehr gut.

    Ich persönlich finde es sehr angenehm als "Eingeschränkter Benutzer" arbeiten zu können und möchte diese Möglichkeit wirklich nicht mehr missen.
    # November 17, 2004 5:09 PM

    Henry Böhlert said:

    Mein Masochismus geht soweit, dass ich auch noch 2K3 mit "IE Hardening" (was für ein Wort!) benutze und meine Trusted Sites akribisch verwalte. Ich komme als "virtueller Vegetarier" trotzdem ganz gut zurecht.

    Lästig sind aber vor allem Installer, die einem nach halbstündiger Ladezeit mit "The system administrator has prevented this action." mitteilen, das man wieder mal "Run As" vergessen hat.
    # November 17, 2004 5:16 PM

    thomas woelfer said:

    Dirk,

    arbeite seit einiger zeit als non-admin.

    probleme macht: die unglaublich umstaendliche art in der man an einige cpl anwendungen drankommt weil runas nicht tut.

    aerglich: doppelklick auf die windows-uhr. braucht man allen ernstes admin-rechte damit der beknackte datums-dialog angezeigt werden kann?

    ferner vc6: das geht _gar_nicht_ ohne admin-rechte, zumindest haben wirs hier nicht hinbekommen.

    vs.net hingegen geht ganz gut so lange man keine com-komponenten damit machen will.

    visual route: lass ich unter admin-rechten laufen, weil ich nicht rausbekommen habe wie das ohne gehen soll.

    wg. der spiele: dazu kann ich nichts sagen da ich keine haben, allerdings habe ich mir sagen lassen das spiele von microsoft auch zu denen gehoeren die notirisch auf admin-rechte fuer den eigenen betrieb beharren....

    WM_MY0.02$
    thomas woelfer
    # November 17, 2004 6:02 PM

    martin@hueser.name (Martin Hueser) said:

    Willkommen im Club :-) Ich arbeite schon lange ohne Admin-Rechte und entwickle Software damit (hauptsächlich C++, Windows Services, in letzter Zeit auch etwas C#). Das funktioniert ohne große Probleme. Falls man doch mal Admin-Rechte braucht, z.B. um Services oder COM Objekte zu registrieren, ist das hier praktisch: http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx. Es gibt noch ein paar mehr nette Tips in Aarons Blog. Lesen! :-)

    Stress machen meistens irgendwelche Programme, die ins Programmverzeichnis oder nach HKLM\HKCR schreiben wollen. Und das teilweise auch bei neuer Software, die nicht älter als ein Jahr ist. Aber auch VS.NET 2003 hat sich nicht gerade mit Ruhm bekleckert, was Debuggen ohne Admin-Rechte angeht. Das geht bekanntermassen nicht in allen Fällen. Michael Willers hat allerdings letztens auf dem MSDN Techtalk einen pfiffigen Workaround gezeigt.

    Einen Non-Admin Testcase bei Software-Tests sollte wirklich jede Zeitschrift mit einbauen. Aber wo keine Nachfrage ist...
    # November 18, 2004 11:02 AM

    JoKi said:

    Nun, die Thematik mit den Administratorrechten ist meines Erachtens neu zu überdenken. Denn auf Grund der Möglichkeiten von RunAs und korrekt sitzenden Verzeichnisrechten benötigt selbst ein Entwickler keine Administrationsrechte auf dem System.

    Ich arbeite selbst seit 5+ Jahren mit Visual FoxPro und lediglich bei der Kompilierung von COM Servern, die einen Schreibzugriff auf die Registry benötigen, gönne ich mir den Luxus mittels RunAs die IDE mit höheren Privilegien laufen zu lassen; jedoch immer noch nicht als Admin.

    Deiner Aussage bzgl. Spieletests und Punktabzug bei mangelhafter Sorgfalt kann ich nur zustimmen. Dass die Installation noch Adminrechte benötigt, kann man noch einigermaßen verstehen, aber die Ausführung... nee, sorry. Zum Glück verwende ich zum Gamen 'ne Konsole.

    Ansonsten, bleibt zu hoffen, dass endlich mal mehr Entwickler Security selbst ernster nehmen und nicht nur von Microsoft mehr fordern.

    So, nun aber Wochenende...


    Bis denne, JoKi
    # November 20, 2004 2:08 AM

    Dirks virtuelle Endlosschleife Das Henne Ei Problem oder Die anderen | Outdoor Ceiling Fans said:

    PingBack from http://outdoorceilingfansite.info/story.php?id=19748

    # May 31, 2009 6:38 AM

    Dirks virtuelle Endlosschleife Das Henne Ei Problem oder Die anderen | Outdoor Ceiling Fans said:

    PingBack from http://outdoorceilingfansite.info/story.php?id=2112

    # May 31, 2009 12:43 PM
    New Comments to this post are disabled
    Page view tracker