9 Replies Latest reply on Jul 9, 2015 7:06 AM by derniwi

    Sandbox

    SitzRieSe Expert
      Hallöchen,

      ich weiß zwar das die Frage vielleicht nicht ganz ins enteo Forum passt, aber ich dachte ich finde vielleicht jemand der schon mal soetwas ähnliches gesucht hat.

      Ich habe hier eine Anwendung (HP Sales Builder) die ohne Admin Rechten nicht zum laufen gebracht werden kann. Ich hatte eine Weile Erfolg in dem Ich Registry Berechtigungen und NTFS Berechtigungen für die entsprechende Pfade für die Anwendung angepasst habe.

      Allerdings ist nun nach einem Update einer völlig anderen Software (VMWare Horizon Client) plötzlich die Anwendung nicht mehr nutzbar. Sie friert beim starten ein. Das Problem ist auch nicht zu beseitigen in dem man wieder den alten Client installiert oder ihn völlig entfernt. Ich habe nun schon ziemlich viel Zeit investiert um nun die entsprechende Ursache dafür zu finden. Herausgefunden habe das die Anwendung plötzlich wieder startet wenn der User Admin ist.

      Langer Rede, kurzer Sinn.. Ich suche nun eine Art Sandbox Tool welches mir erlaubt die Anwendung mit erhöhten Rechten auszuführen. Dabei ist es unerheblich ob durch die Anwendung Änderungen am System durchgeführt werden können oder nicht. Es geht hierbei eher um die Funktion der Anwendung und den Erhalt der Benutzerrechte.

      Kennt jemand so eine Art Lösung? Ich konnte nur teure Shareware Lösungen finden. Vielleicht hat hier jemand noch eine andere Idee so ein Szenario zu lösen.

      PS: RunAsAdmin geht leider nicht, da die UAC abgeschaltet sein muss

      Grüße und Danke!

      Alex
        • 1. Re: Sandbox
          derniwi Master
          Hallo Alex,

          nochmal kurz:
          Die Anwendung "HP Sales Builder" läuft nicht mit aktivierter Benutzerkontensteuerung? Oder doch?

          Mir fällt hier nur ein, eine Anwendung über einen Task zu planen, welcher von den Benutzer direkt gestartet werden kann.

          Eine echte Sandbox für Windows-Anwendungen kenne ich nicht. Das wäre dann ja eine Art VM, welche keine Änderungen zuläßt.

          Alternativ: wieviele Benutzer brauchen die Software? Kann man dafür eine VM aufsetzen?

          Gruß
          Nils
          • 2. Re: Sandbox
            bretzeli Expert


            PS: RunAsAdmin geht leider nicht, da die UAC abgeschaltet sein muss



            > Sollte hoffentlich mit der 2015.1.3 behoben sein. 50% unserer Pakete haben derzeit einen Stillstand mit 2015.X da wir vieles mir RUNAS machen und UAC OFF haben.


            Support:

            das Problem hängt mit der deaktivierten UAC zusammen.
            Wir arbeiten hier momentan an einer Lösung.
            Als Workaround kann ich Ihnen anbieten UAC zu aktivieren.
            Dies würde ich Ihnen sowieso generell empfehlen, da vom Abschalten der UAC aus Sicherheitsaspekten stark abzuraten ist. Mit angeschaltener UAC kann ein Programm, ohne Bestätigung durch einen Benutzer, keine administrativen Rechte erlangen.
            Also auch komplett in Hintergrund verborgen vor dem Benutzer. Mit abgeschaltener UAC sieht das anders aus. Ein Programm das unter einem normalen Benutzeraccount läuft, kann unter Kenntnis eines
            Administrator Kontos (Benutzer,Passwort) ohne jegliche Nachfrage administrative Rechte erlangen. Vom Sicherheitsaspekt her entspricht das dem Stand von Windows XP.

            Wenn es darum geht, dass normale Benutzer den Dialog zur UAC gar nicht erst zu sehen bekommen sollen, dann kann mit der Group-Policy „User Account Control: Behavior of the elevation prompt for standard users“ gearbeitet werden und
            der Prompt immer abgelehnt werden. Auf technet findet sich ein guter Artikel der die Einstellungen beschreibt :
            https://technet.microsoft.com/en-us/library/dd835564%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

            Zusätzlich macht es auch Sinn zu prüfen, wie die Einstellung der „buildin“ Administratoren ist. Normalerweise ist für sie die UAC abgeschalten. Aus den gleichen Gründen stellt auch das ein Sicherheitsrisiko dar.
            Die Group-Policy hierfür ist: User Account Control: Admin Approval Mode for the built-in Administrator account
            • 3. Re: Sandbox
              SitzRieSe Expert

              Hallo Alex,

              nochmal kurz:
              Die Anwendung "HP Sales Builder" läuft nicht mit aktivierter Benutzerkontensteuerung? Oder doch?

              Mir fällt hier nur ein, eine Anwendung über einen Task zu planen, welcher von den Benutzer direkt gestartet werden kann.

              Eine echte Sandbox für Windows-Anwendungen kenne ich nicht. Das wäre dann ja eine Art VM, welche keine Änderungen zuläßt.

              Alternativ: wieviele Benutzer brauchen die Software? Kann man dafür eine VM aufsetzen?

              Gruß
              Nils



              Hi Nils,

              Danke für den Tip mit dem Task, das probier ich mal aus, allerdings scheitert das vermutlich dann an der abgeschalteten UAC.

              die UAC muss abgeschaltet sein! Sonst funktioniert die Software leider ebenfalls nicht

              Ich hab das Tool Sandboxie gefunden, das ist allerdings leider nur für Heimanwender frei und eine kommerzielle Version gibt es nur im Zusammenhang mit einer aufgeblähten (teuren) Management Lösung.

              Ich hab es mit Sandboxie aber td mal ausprobiert und es lief, dann auch mit Benutzerrechten und eingeschalteter UAC - Sehr cool! Ich suche nur so etwas in kostenlos für Alle :P

              http://sandboxie.com/

              PS: Bei uns nutzen das Programm ca 20-30 Leute. Leider ist diese Software der absolute Sch...
              Das Programm funktioniert ebenfalls ausschließlich unter dem User unter dem die Software installiert wurde. Unsere Security Policy erlaubt allerdings das Benutzen von allgemeinen Benutzeraccounts nicht! Sonst könnte ich das über unsere VMWare View Umgebung lösen. Allerdings streube ich mich auch etwas dafür noch weitere Windows Lizenzen zu verblasen.

              Gruß

              Alex
              • 4. Re: Sandbox
                derniwi Master
                Ja, die Probleme kenne ich.

                Eine andere Idee wäre, einen Windows-Rechner hinter einer Firewall zu betreiben und nur das durchlassen, was unbedingt notwendig ist. Dann wäre der erst mal vom Netzwerk abgeschottet. Das ist dann für die Benutzer etwas lästig, wenn man immer in ein bestimmtes Büro gehen muss, was leider auch dazu führt, dass bestimmte Aufgaben nur noch sehr halbherzig erledigt werden...

                Aber da wäre mir die VM mit nur dieser Software und den entsprechenden Einschränkungen doch lieber.
                • 5. Re: Sandbox
                  Klaus Salger Expert
                  Hallo Alex,

                  wenn ihr VMware Horizon habt, dann habt ihr womöglich auch ThinApp, oder?
                  Das würde ich mir für Deinen Anwendungsfall mal näher anschauen.

                  Ciao
                    Klaus
                  • 6. Re: Sandbox
                    siegfried.guertler Apprentice
                    Hallo Alex,

                    es gibt ein Problem bei der Deinstallation oder beim Update des Horizon Clients.
                    Wir hatten danach auch ein Problem mit dem HP Connection Manager wie von dir beschrieben.

                    Das Setup des Horizon Clients löscht zwei Regkeys.

                    hier beschrieben:
                    Launching applications requires elevated permissions after uninstalling or upgrading VMware Horizon View Client 3.1 or 3.2 (2105977)


                    Viele Grüße
                    Siegfried
                    • 7. Re: Sandbox
                      SitzRieSe Expert
                      Oha,

                      das ist ein guter Hinweis. Wie habt ihr das Problem gelöst?

                      genau das haben wir nämlich gemacht. Wir haben von 3.2 auf 3.4 aktualisiert.
                      • 8. Re: Sandbox
                        siegfried.guertler Apprentice
                        über ein DSM Paket stellen wir die Registry Werte wie im KB Artikel beschrieben wieder her.
                        http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2105977
                        • 9. Re: Sandbox
                          SitzRieSe Expert
                          Siegfried ich danke dir! Das hat mein Problem gelöst! Ich kann mir jetzt irgendeine Sandbox / VMWare Fuckel Lösung sparen.

                          Grüße