Wieso muss man beim installieren von Updates immer wieder administrative Daten eingeben?


Thomas Wölfer
Thomas Wölfer

22. August 2008


Heute kam bei einem Kundengespräch die Frage auf, wieso man beim installieren der Updates für die Baustatik, immer wieder den Namen und das Passwort eines administrativen Kontos eingeben muss - immerhin hätte man das ja einmal bei der Erstinstallation getan. Hätte man da nicht einfach diese Daten irgendwo speichern können, um sie dann bei späteren Installation zu verwenden? Das würde doch die Installation der Updates viel einfacher machen, weil man nicht jedesmal den Administrator zur Hilfe holen müsste.

Interessante Frage, und zwar eine aus der Kategorie, die man am besten mit einer Gegenfrage beantwortet. Die Gegenfrage ist bei Fragen dieser Kategorie immer die gleiche, und zwar wörtlich die gleich. Sie lautet.

Was würde denn passieren, wenn wir das täten?

Das Programm das nach den administativen Rechten fragen würde, wäre ja einfach die Baustatik, und die läuft nunmal (zumindest sollte man sie so betreiben) ohne administrative Rechte. Das tut sie darum, weil der Benutzer der das Programm gestartet hat, sich selbst mit Daten angemeldet hat, die eben keine administativen Rechte haben. Das ist ja der Grund dafür, weshalb nach solchen Daten gefragt werden muss.

Wir haben also ein Programm, das ohne administrative Rechte läuft - und dieses Programm würde nun die Daten eines administrativen Accounts speichern. Und wo würde es diese Daten speichern? Natürlich innerhalb eines Bereiches auf der Festplatte, auf den der Benutzer OHNE administrative Rechte Zugriff hat - denn ansonsten könnte das Programm ja "später", also bei der Installation der Updates, nicht mehr darauf zugreifen.

Effekt: Die Daten eines administrativen Accounts lägen nun plötzlich ungeschützt einfach so auf der Festplatte, und zwar an einer Stelle, auf die JEDES Programm zugreifen kann, das unter dem Account des angemeldeten Benutzers läuft.

Mit anderen Worten: Das administrative Konto wäre plötzlich völlig ungeschützt und kann dann von jeder Schadsoftware die unter dem Benutzeraccount ohne administrative Rechte läuft verwendet werden. Zum Beispiel, um irgendwelche Trojaner oder sonstigen Kram zu installieren - und zwar für ALLE Benutzer auf dem System. [Natürlich ist die Sache nicht ganz so einfach, vom Prinzip her ist das aber völlig korrekt.] 

Mit anderen Worten: Wenn die Baustatik sich die Daten des Administator-Kontos in einer Form merken würde die es erlaubt, spätere Updates ohne einen administrative Account zu installieren, würde das die komplette Sicherheit des Systems aushebeln.

Und das ist der Grund, wieso wir das nicht tun. Und sollte ein anderer Hersteller das tun, dann mag er das vielleicht als "einfachere Bedienbarkeit" verkaufen - in Wirklichkeit handelt es sich aber einfach nur um die Einführung einer massiven Sicherheitslücke.