Softwarerichtlinien und SFIRM 3.x
Verfasst: Do., 25. Feb 2016 13:08
Hallo alle zusammen, da ich hier im Forum keine Rubrik S-FIRM gefunden habe schreibe ich hier da ich denke, daß die Fehlerursache auch das Produkt Starmoney betreffen dürfte. Bitte diesen Beitrag ggf. in das richtige Thema verschieben wenn ich falsch liegen sollte.
Zum Problem:
Ein Kunde setzt die Netzwerkversion von S-Firm 3.x mit mehren Benutzern, die gemeinsam auf ein Netzwerklaufwerk mit den Daten zugreifen. Als wir im Januar die neue Version 3 der Software installierten konnten mehrere Fehler beobachtet werden, die offensichtlich mit gewöhnlichen Windows Softwarerichtlinen in Konflikt stehen.
Zunächst kurze Info was Softwarerichtlinien sind: Feste Vorgaben für ein Windows Unternehmensnetzwerk, die bestimmen, aus welchen Ordnern ausführbare Dateien (EXE, COM, VBS etc.) gestartet werden dürfen. In der Regel dürfen nur instalierte Programme aus den Programm Ordner (C:/Programme zzgl. Programme x86 bei 64 Bit) gestartet werden. Bei neueren Windows Versioen wacht die UAE über diese Ordner, so daß kein unpriviligierter Benutzer (ohne Adminrechte) da etwas hinlegen können.
Ein über Email oder Internet eingefangener und von Virenscannern nicht erkannter Schädling, wie jüngst die ganzen Cryptowall und Locky Derivate, werden so erfolgreich abgewehrt da diese i.d.Regel aus den TEMP oder AppData Ordnern heraus Ihr Unwesen beginnen. Ein Anwender erhält dann folgende Meldung:
Das ist eigentlich das kleine 1x1 eines Netzwerkadmins und mich wundert es (und macht auch ein Stück Sorge), daß so viele - einschliesslich dem Support Kontakt bei der ortsansässigen Sparkasse - davon nichts wissen und am Telefon sichtlich "am schwimmen" waren. Der Support-Kontakt konnte mir noch nicht einmal sagen, welche Server ich in einer Firewall als Ausnahme eintragen kann, wenn nach Updates gesucht wird. Offenbar wird hier angenommen, daß ein Benutzer freien Zugriff ins Internet hat. Dass selbst in kleineren Netzwerken längst Content-Filter Firewalls Einzug gefunden haben (Squid, Squidguard) scheint da noch nicht bekannt zu sein.
Nach der erfolgreichen Installation von S-FIRM (als Administrator) kann ein normaler User ohne Privilegien die Software starten und normal arbeiten. Folgende "Flaws" konnten aber beobachtet werden:
Da ein Aufweichen der Software Policy in Anbetracht der jüngsten Entwicklungen (Cryprowall, Locky etc.) geradezu fahrlässig ist und Starfinanz bzw. die Sparkassen offenbar ein anderes Sicherheitsbewusstsein pflegen wenn davon ausgegangen wird, daß ein Benutzer mit vollen Adminrechten arbeiten muß, schildere ich das Problem hier im Forum (bei SFIRM gibt es keines!) in der Hoffnung, dass Sie als Hersteller dieses durch ein künftiges Update beheben können.
Mein Kunde behilft sich derzeit damit, daß für anstehende Updates kurzfristig für die Benutzer "die Hose heruntergelassen wird". Ein Update wird mit vollen Adminrechten und ohne Softwarerichtlinien installiert und anschliessend nach der Installation wieder entzogen bzw. die Softwarerichtlinen wieder angewendet.
Dieses Procedere kann doch nicht im Sinne einer sicheren Banking-Software-Lösung der Sparkassen und StarFinanz sein!
Zum Problem:
Ein Kunde setzt die Netzwerkversion von S-Firm 3.x mit mehren Benutzern, die gemeinsam auf ein Netzwerklaufwerk mit den Daten zugreifen. Als wir im Januar die neue Version 3 der Software installierten konnten mehrere Fehler beobachtet werden, die offensichtlich mit gewöhnlichen Windows Softwarerichtlinen in Konflikt stehen.
Zunächst kurze Info was Softwarerichtlinien sind: Feste Vorgaben für ein Windows Unternehmensnetzwerk, die bestimmen, aus welchen Ordnern ausführbare Dateien (EXE, COM, VBS etc.) gestartet werden dürfen. In der Regel dürfen nur instalierte Programme aus den Programm Ordner (C:/Programme zzgl. Programme x86 bei 64 Bit) gestartet werden. Bei neueren Windows Versioen wacht die UAE über diese Ordner, so daß kein unpriviligierter Benutzer (ohne Adminrechte) da etwas hinlegen können.
Ein über Email oder Internet eingefangener und von Virenscannern nicht erkannter Schädling, wie jüngst die ganzen Cryptowall und Locky Derivate, werden so erfolgreich abgewehrt da diese i.d.Regel aus den TEMP oder AppData Ordnern heraus Ihr Unwesen beginnen. Ein Anwender erhält dann folgende Meldung:
Das ist eigentlich das kleine 1x1 eines Netzwerkadmins und mich wundert es (und macht auch ein Stück Sorge), daß so viele - einschliesslich dem Support Kontakt bei der ortsansässigen Sparkasse - davon nichts wissen und am Telefon sichtlich "am schwimmen" waren. Der Support-Kontakt konnte mir noch nicht einmal sagen, welche Server ich in einer Firewall als Ausnahme eintragen kann, wenn nach Updates gesucht wird. Offenbar wird hier angenommen, daß ein Benutzer freien Zugriff ins Internet hat. Dass selbst in kleineren Netzwerken längst Content-Filter Firewalls Einzug gefunden haben (Squid, Squidguard) scheint da noch nicht bekannt zu sein.
Nach der erfolgreichen Installation von S-FIRM (als Administrator) kann ein normaler User ohne Privilegien die Software starten und normal arbeiten. Folgende "Flaws" konnten aber beobachtet werden:
- das automatische Update aus dem Startbildschirm heraus funktioniert nicht
- Im Fenster Info wird der Patchlevel mit "unbekannt" angegeben
- Ein von der S-Firm Website heruntergeladenes Update lässt sich trotz richtiger Programmzuordnung nicht öffnen
- Es erscheint aber auch keine Windows Policy Meldung, dass etwas geblockt wurde (siehe Screenshot oben)
Da ein Aufweichen der Software Policy in Anbetracht der jüngsten Entwicklungen (Cryprowall, Locky etc.) geradezu fahrlässig ist und Starfinanz bzw. die Sparkassen offenbar ein anderes Sicherheitsbewusstsein pflegen wenn davon ausgegangen wird, daß ein Benutzer mit vollen Adminrechten arbeiten muß, schildere ich das Problem hier im Forum (bei SFIRM gibt es keines!) in der Hoffnung, dass Sie als Hersteller dieses durch ein künftiges Update beheben können.
Mein Kunde behilft sich derzeit damit, daß für anstehende Updates kurzfristig für die Benutzer "die Hose heruntergelassen wird". Ein Update wird mit vollen Adminrechten und ohne Softwarerichtlinien installiert und anschliessend nach der Installation wieder entzogen bzw. die Softwarerichtlinen wieder angewendet.
Dieses Procedere kann doch nicht im Sinne einer sicheren Banking-Software-Lösung der Sparkassen und StarFinanz sein!