offizielle Empfehlung für geschützte Verzeichnisse

Discussion:

(zu alt für eine Antwort)

Markus Müller

2010-05-21 09:38:30 UTC

Moin!

Gibt es von Microsoft eine offizielle Empfehlung, dass Programme (ausser
bei der Installation) nicht in das Verzeichnis "Program Files" schreiben
sollten?

Hintergrund: wir haben viel Geld für ein Softwarepaket bezahlen, und
sollen noch mehr bezahlen. Teil unserer Kaufanforderungen ist jedoch,
dass das Programm den allgemeinen Regeln zur Softwareentwicklung
entsprechen sollte.

Laut Hersteller sei es "absolut normal und auch üblich", dass Benutzer
mit "Standard-Benutzerrechten" für die Programme zur Laufzeit die Rechte
zum Schreiben/Ändern/Löschen benötigen, und zwar ganz konkret auch für
die Programmverzeichnisse und auch dann, wenn die Programme im von
Windows dafür vorgesehenen Verzeichnis "program files" installiert werden.
Die Software sei angeblich sogar extra für Windows durch Microsoft
zertifiziert und zwar sowohl für XP, als auch für Vista und Windows 7.

Jeder von uns WEISS wohl, dass das Unsinn ist. Leider kann ich das aber
im Moment nicht nachweisen. Nach stundenlangem BINGen und GOOGLEn habe
ich gerade mal eine Richtlinie für das Windows 7 Logo gefunden.

Ich möchte den Hersteller gern zu Nachbesserungen verpflichten, kann das
aber nicht, solange ich meine Behauptung dies sei schon seit XP,
spätestens jedoch heute, ein Mangel.

Danke für jeden Link zu einer offiziellen MS-Seite zu dem Thema.

Ottmar Freudenberger

2010-05-21 10:58:01 UTC

Permalink

Post by Markus MÃ¼ller
Gibt es von Microsoft eine offizielle Empfehlung, dass Programme (ausser
bei der Installation) nicht in das Verzeichnis "Program Files" schreiben
sollten?

http://www.microsoft.com/downloads/details.aspx?FamilyID=209e3d65-f0be-4eef-8602-73bb9bc29d54&displaylang=en
#3.2

Bye,
Freudi

Markus Müller

2010-05-25 15:10:06 UTC

Permalink

Post by Ottmar Freudenberger
http://www.microsoft.com/downloads/details.aspx?FamilyID=209e3d65-f0be-4eef-8602-73bb9bc29d54&displaylang=en
#3.2

Danke! Das hatte ich bei meinen Recherchen nicht gefunden.

Winfried Sonntag [MVP]

2010-05-21 11:08:53 UTC

Permalink

Post by Markus MÃ¼ller
Gibt es von Microsoft eine offizielle Empfehlung, dass Programme (ausser
bei der Installation) nicht in das Verzeichnis "Program Files" schreiben
sollten?

Eine Empfehlung weiß ich nicht, aber es genügend Orte im Dateisystem,
die von Benutzern beschrieben werden dürfen. %PROGRAMFILES% zählt
nicht dazu.

Post by Markus MÃ¼ller
Hintergrund: wir haben viel Geld für ein Softwarepaket bezahlen, und
sollen noch mehr bezahlen. Teil unserer Kaufanforderungen ist jedoch,
dass das Programm den allgemeinen Regeln zur Softwareentwicklung
entsprechen sollte.
Laut Hersteller sei es "absolut normal und auch üblich", dass Benutzer
mit "Standard-Benutzerrechten" für die Programme zur Laufzeit die Rechte
zum Schreiben/Ändern/Löschen benötigen, und zwar ganz konkret auch für
die Programmverzeichnisse und auch dann, wenn die Programme im von
Windows dafür vorgesehenen Verzeichnis "program files" installiert werden.

Die Aussage ist schlichtweg Unfug und zeugt nur von der Unfähigkeit
der Programmierer. Schreiben die dann auch in HKEY_LOCAL_MACHINE? Wenn
nein, weshalb nicht? Wenn ja, auch da hat nach einem Setup kein
Benutzer NTFS-Berechtigungen. Dafür gibts ja HKEY_CURRENT_USER.

Post by Markus MÃ¼ller
Die Software sei angeblich sogar extra für Windows durch Microsoft
zertifiziert und zwar sowohl für XP, als auch für Vista und Windows 7.

Das eine hat mit dem anderen nichts zu tun.

Post by Markus MÃ¼ller
Jeder von uns WEISS wohl, dass das Unsinn ist. Leider kann ich das aber
im Moment nicht nachweisen. Nach stundenlangem BINGen und GOOGLEn habe
ich gerade mal eine Richtlinie für das Windows 7 Logo gefunden.

Wenn Du die Standard NTFS-Berechtigungen für %PROGRAMFILES% ändern
mußt, ist das Murks und der Hersteller muß nachbessern. Auf die ganz
schnelle Suche konnte ich nur das hier finden:
http://technet.microsoft.com/en-us/library/cc962613.aspx
http://msdn.microsoft.com/en-us/library/bb756896.aspx Schau dir auch
mal die berechtigte Aktion von Mark Heitbrink dazu an:
http://www.gruppenrichtlinien.de/Tools/trost_preis.htm

Post by Markus MÃ¼ller
Ich möchte den Hersteller gern zu Nachbesserungen verpflichten, kann das
aber nicht, solange ich meine Behauptung dies sei schon seit XP,
spätestens jedoch heute, ein Mangel.

Seit NT4 ist das ein Mangel.

Post by Markus MÃ¼ller
Danke für jeden Link zu einer offiziellen MS-Seite zu dem Thema.

Viel Erfolg beim begründen. ;)

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Markus Müller

2010-05-25 15:12:49 UTC

Permalink

Post by Winfried Sonntag [MVP]
Wenn Du die Standard NTFS-Berechtigungen für %PROGRAMFILES% ändern
mußt, ist das Murks und der Hersteller muß nachbessern. Auf die ganz
http://technet.microsoft.com/en-us/library/cc962613.aspx
http://msdn.microsoft.com/en-us/library/bb756896.aspx Schau dir auch
http://www.gruppenrichtlinien.de/Tools/trost_preis.htm

Vielen Dank!
Der erste Link hat mich nicht weitergebracht. Der zweite dafür umso
mehr. Und die Seite von Mark Heitbrink kannte ich noch gar nicht. Habe
das Paket (im übrigen von einer relativ grossen Software AG) mal direkt
dort gemeldet.

Mario Schulz

2010-05-26 07:58:11 UTC

Permalink

Hallo Markus,

vieleicht habe ich die Sache etwas falsch verstanden. Aber wenn du das
Programm auf C:\program files installierst, dann braucht das Programm
mit Sicherheit dort auch Schreib- und Leserechte. Um was gehst dir dabei
als "Mangel" ganz genau?

bye,
Mario

Winfried Sonntag [MVP]

2010-05-26 08:36:48 UTC

Permalink

Post by Mario Schulz
vieleicht habe ich die Sache etwas falsch verstanden.

Ja, hast Du.

Post by Mario Schulz
Aber wenn du das Programm auf C:\program files installierst, dann
braucht das Programm mit Sicherheit dort auch Schreib- und
Leserechte.

Aber nur während der Installation. Anschließend hat ein "normaler
Benutzer" keine Schreibrechte mehr. Nur noch Leserechte.

Post by Mario Schulz
Um was gehst dir dabei als "Mangel" ganz genau?

Lies den kompletten Thread und die Links, die gepostet wurden.

Servus
Winfried

--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Markus Müller

2010-05-27 12:20:58 UTC

Permalink

Post by Mario Schulz
Hallo Markus,
vieleicht habe ich die Sache etwas falsch verstanden. Aber wenn du das
Programm auf C:\program files installierst, dann braucht das Programm
mit Sicherheit dort auch Schreib- und Leserechte. Um was gehst dir dabei
als "Mangel" ganz genau?

Wie Winfried schon geschrieben hat. Man sollte wirklich jedes Programm
ohne Admin-Rechte ausführen können (NACH der Installation) und als
Standard-Nutzer sollte man da definitiv keine Schreib- und
Änderungsrechte haben.