DE112010003971T5 - Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung - Google Patents

Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung Download PDF

Info

Publication number
DE112010003971T5
DE112010003971T5 DE112010003971T DE112010003971T DE112010003971T5 DE 112010003971 T5 DE112010003971 T5 DE 112010003971T5 DE 112010003971 T DE112010003971 T DE 112010003971T DE 112010003971 T DE112010003971 T DE 112010003971T DE 112010003971 T5 DE112010003971 T5 DE 112010003971T5
Authority
DE
Germany
Prior art keywords
computing system
privileges
code patch
user identifier
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112010003971T
Other languages
English (en)
Other versions
DE112010003971B4 (de
Inventor
Thomas Keith Clark
John Jason Auvenshine
Bernhard Julius Klingenberg
Neeta Garimella
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112010003971T5 publication Critical patent/DE112010003971T5/de
Application granted granted Critical
Publication of DE112010003971B4 publication Critical patent/DE112010003971B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Abstract

Eine Kennung eines bevorzugten Benutzers für das Rechensystem wird gesperrt. Danach und infolge der Feststellung, dass es ein Problem mit dem Rechensystem gibt, dessen Lösung angestammte Vorrechte erfordert, wird von einem Dritten ein Code-Patch zur Installation auf dem Rechensystem empfangen. Der Code-Patch wird auf dem Rechensystem installiert, woraufhin eine Benutzerkennung vorübergehend die angestammten Vorrechte für das Rechensystem besitzt. Die Benutzerkennung unterscheidet sich von der Kennung eines bevorzugten Benutzers. Dem Dritten wird ein Passwort für die Benutzerkennung bereitgestellt, damit der Dritte in der Lage ist, das Problem mit dem Rechensystem unter Verwendung der angestammten Vorrechte mit Hilfe der vorübergehend die angestammten Vorrechte besitzenden Kennung zu lösen. Bei dem Code-Patch handelt es sich um auf dem Rechensystem installierbaren Rechencode.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft allgemein den Zugriff auf ein Rechensystem unter Verwendung höherer Vorrechte, die normalerweise einer ersten Benutzerkennung des Rechensystems zugehören, und insbesondere die vorübergehende Bereitstellung derartiger höherer Vorrechte für eine zweite Benutzerkennung des Rechensystems, bei der es sich nicht um die erste Benutzerkennung handelt.
  • HINTERGRUND DER ERFINDUNG
  • Viele Unternehmen, zum Beispiel kommerzielle Organisationen wie Kapitalgesellschaften, sind darauf angewiesen, dass Rechensysteme für die erfolgreiche Führung der Unternehmen wichtige Daten speichern, die aber auch zur Überprüfung durch außenstehende Dritte wie Regierungsorganisationen aufbewahrt werden. Finanzdaten einer Kapitalgesellschaft müssen zum Beispiel so aufbewahrt werden, dass historische Informationen nach dem Faktum nicht verändert werden, damit eine Regierungsorganisation wie die Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) die Finanzdaten gegebenenfalls zu einem späteren Zeitpunkt überprüfen kann. Deshalb ist es Benutzern der Kapitalgesellschaft untersagt, in einer Weise auf ihre Rechensysteme zuzugreifen, dass sie derartige historische Daten potenziell ändern könnten.
  • Benutzern eines Unternehmens kann es auch aus einer Vielzahl von anderen Gründen untersagt sein, in einer Weise auf ihre Rechensysteme zuzugreifen, dass sie derartige historische Daten potenziell ändern könnten. Des Weiteren kann es Benutzern eines Unternehmens auch untersagt sein, auf verschiedene Arten und Weisen und/oder aus anderen Gründen auf ihre Rechensysteme zuzugreifen. Zu derartigen anderen Arten und Weisen und/oder anderen Gründen gehören neben anderen Arten und Weisen und anderen Gründen sogar das Verhindern des Lesezugriffs auf bestimmte Daten, das Verhindern von Verzögerungen bei der Übertragung bestimmter Daten, selbst wenn derartige Daten unverändert sind, und das Verhindern des Verschiebens bestimmter Daten von einem durch einen Rechner lesbaren Speichermedium auf ein anderes.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Ein Verfahren einer Ausführungsform der Erfindung sperrt eine erste Benutzerkennung eines Rechensystems, wobei die erste Benutzerkennung erste Vorrechte für das Rechensystem besitzt. Nach dem Sperren der ersten Benutzerkennung des Rechensystems und infolge der Feststellung, dass die Lösung eines Problems mit dem Rechensystem die ersten Vorrechte für das Rechensystem erfordert, führt das Verfahren die folgenden Schritte durch. Das Verfahren empfängt von einem Dritten einen Code-Patch zum Aufspielen auf das Rechensystem. Bei dem Code-Patch handelt es sich um auf dem Rechensystem installierbaren Rechencode. Der Code-Patch hat die Aufgabe, einer zweiten Benutzerkennung des Rechensystems, bei der es sich nicht um die erste Benutzerkennung handelt, vorübergehend zumindest eine Teilmenge der ersten Vorrechte bereitzustellen, wobei die zweite Benutzerkennung normalerweise zweite Vorrechte für das Rechensystem besitzt, die geringer sind als die ersten Vorrechte. Das Verfahren installiert den Code-Patch auf dem Rechensystem, woraufhin die zweite Benutzerkennung vorübergehend zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  • Ein Rechnerprogrammprodukt einer Ausführungsform der Erfindung enthält ein auf einem Rechner lesbares Speichermedium, auf dem durch einen Rechner lesbarer Programmcode enthalten ist. Der durch einen Rechner lesbare Programmcode enthält durch einen Rechner lesbaren Programmcode zum Sperren der Kennung eines bevorzugten Benutzers (root user identifier) eines Rechnersystems. Der durch einen Rechner lesbare Programmcode enthält ferner durch einen Rechner lesbaren Programmcode zum Aufspielen eines Code-Patch auf das Rechensystem infolge einer Feststellung, dass die Lösung eines Problems mit dem Rechensystem angestammte Vorrechte (root privileges) für das Rechensystem erfordert. Bei dem Code-Patch handelt es sich um auf dem Rechensystem installierbaren Rechencode. Der Code-Patch hat die Aufgabe, einer vorbestimmten Benutzerkennung des Rechensystems, bei der es sich nicht um die Kennung eines bevorzugten Benutzers handelt, vorübergehend die angestammten Vorrechte bereitzustellen. Der Code-Patch wird durch einen Dritten bereitgestellt und kann nicht von einem Unternehmen bereitgestellt werden, für welches das Rechensystem bereitgestellt wird. Ein Benutzer, der Kenntnis über das Passwort für die vorbestimmte Benutzerkennung hat, kann keine angestammten Vorrechte für das Rechensystem besitzen, wenn der Code-Patch nicht auf dem Rechensystem installiert ist.
  • Vorzugsweise weist der Code-Patch einen Ablaufzeitpunkt auf, so dass der Code-Patch bei Erreichen des Ablaufzeitpunkts automatisch von dem Rechensystem deinstalliert wird, woraufhin die Benutzerkennung keine angestammten Vorrechte mehr für das Rechensystem besitzt. Noch mehr vorzuziehen ist es, wenn der Rechnerprogrammcode in der Lage ist, die Kennung eines bevorzugten Benutzers des Rechensystems zu sperren, und die Kennung eines bevorzugten Benutzers dadurch sperrt, dass er für die Kennung eines bevorzugten Benutzers ein Passwort festlegt, das aus einer Vielzahl von unbekannten zufälligen Zeichen besteht. Ferner ist es noch mehr vorzuziehen, wenn der Rechnerprogrammcode in der Lage ist, den Code-Patch auf dem Rechensystem zu installieren, und den Code-Patch nur dann auf dem Rechensystem installiert, wenn: eine Kennung des Code-Patch mit einer Kennung des Rechensystems übereinstimmt; eine digitale Signatur des Code-Patch gültig ist; und ein Datum des Code-Patch gültig ist, wobei nur der Dritte und nicht das Unternehmen, für welches das Rechensystem bereitgestellt wird, Kenntnis über die digitale Signatur hat, mit welcher der Code-Patch zu signieren ist, damit der Code-Patch auf dem Rechensystem installiert werden kann. Ferner ist es noch mehr vorzuziehen, wenn der Rechnerprogrammcode der Benutzerkennung des Rechensystems vorübergehend die angestammten Vorrechte bereitstellt, indem er die Vorrechte der Benutzerkennung durch Ausführung eines Pseudorechnerprogramms vorübergehend auf Vorrechte erhöht, die den Vorrechten der Kennung eines bevorzugten Benutzers gleichbedeutend sind.
  • Ein Rechensystem einer Ausführungsform der Erfindung enthält Hardware, auf der Hardware laufende Software und eine Sicherheitskomponente. Der Zugriff auf die Software wird durch eine Kennung eines bevorzugten Benutzers mit angestammten Vorrechten und durch eine vorbestimmte Benutzerkennung ohne angestammte Vorrechte gesteuert. Die vorbestimmte Benutzerkennung ist eine andere Benutzerkennung als die Kennung eines bevorzugten Benutzers. Die Sicherheitskomponente hat die Aufgabe, die Kennung eines bevorzugten Benutzers zu sperren und danach infolge einer Feststellung, dass die Lösung eines Problems mit der Software angestammte Vorrechte erfordert, einen Code-Patch zu installieren. Bei dem Code-Patch handelt es sich um auf dem Rechensystem installierbaren Rechencode. Der Code-Patch hat die Aufgabe, der vorbestimmten Benutzerkennung vorübergehend die angestammten Vorrechte bereitzustellen, und er wird durch einen Dritten bereitgestellt und kann nicht von einem Unternehmen bereitgestellt werden, für welches das Rechensystem bereitgestellt wird. Ein Benutzer, der Kenntnis über das Passwort für die vorbestimmte Benutzerkennung hat, kann keine angestammten Vorrechte besitzen, wenn der Code-Patch nicht auf dem Rechensystem installiert ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Zeichnungen, auf die hierin Bezug genommen wird, stellen einen Teil der Beschreibung dar. In der Zeichnung gezeigte Eigenschaften sollen lediglich einige Ausführungsformen der Erfindung und nicht alle Ausführungsformen der Erfindung veranschaulichen, außer es wird ausdrücklich anderweitig angegeben, und es dürfen keine gegenteiligen Folgerungen gezogen werden.
  • 1 ist ein Ablaufplan eines Verfahrens gemäß einer Ausführungsform der Erfindung.
  • 2 ist ein Schaubild eines Rechensystems gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 3 ist ein detailliertes Schaubild eines Teils des Rechensystems aus 2 gemäß einer Ausführungsform der Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • In der folgenden ausführlichen Beschreibung beispielhafter Ausführungsformen der Erfindung wird Bezug genommen auf die beigefügten Zeichnungen, die einen Teil hiervon bilden und in denen veranschaulichend spezielle beispielhafte Ausführungsformen, in denen die Erfindung angewendet werden kann, als Beispiel gezeigt sind. Diese Ausführungsformen werden ausführlich genug beschrieben, damit Fachleute die Erfindung anwenden können. Es können auch andere Ausführungsformen genutzt sowie logische, mechanische und andere Änderungen vorgenommen werden, ohne von dem Umfang der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist daher nicht als beschränkend zu sehen, und der Umfang der vorliegenden Erfindung wird nur durch die beigefügten Ansprüche festgelegt.
  • Wie in den Grundlagen bemerkt, müssen Unternehmen gegebenenfalls Daten derart aufbewahren, dass die Daten nach dem Faktum nicht mehr verändert werden können, so dass es Benutzern in den Unternehmen untersagt ist, auf ihre Rechensysteme derart zuzugreifen, dass sie diese historischen Daten möglicherweise ändern können. Normalerweise können ein oder mehrere Benutzer eines Unternehmens bevorzugte Benutzer (root user) des Rechensystems des Unternehmens sein. Ein bevorzugter Benutzer hat vollständigen Gesamtzugriff auf ein Rechensystem und ist in der Lage, alle beliebigen auf dem Rechensystem gespeicherten Daten zu ändern. Deshalb wird es keinem Benutzer gestattet, dauerhaft bevorzugter Benutzer zu sein, wenn es den Benutzern eines Unternehmens untersagt ist, derart auf das Rechensystem zuzugreifen, dass sie die auf dem Rechensystem gespeicherten Daten möglicherweise ändern können. Dies kann jedoch problematisch sein, da manchmal zur Lösung von Problemen mit der Funktion eines Rechensystems angestammte Vorrechte für das Rechensystem benötigt werden.
  • Ausführungsformen der Erfindung stellen einer vorbestimmten Benutzerkennung eines Rechensystems vorübergehend angestammte Vorrechte bereit, damit derartige Probleme mit dem Rechensystem gelöst werden können, allerdings so, dass das Risiko minimiert wird, dass der dieser vorbestimmten Benutzerkennung zugehörige Benutzer ungehindert Zugriff auf das System erhält. Die vorbestimmte Benutzerkennung besitzt normalerweise keine angestammten Vorrechte für das Rechensystem, und die Kennung eines bevorzugten Benutzers für das System ist dauerhaft gesperrt. Wenn ein Problem mit einem Rechensystem erkannt wird, dessen Lösung derartige angestammte Vorrechte erfordert, stellt jedoch ein Dritter einen Code-Patch bereit, welcher der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereitstellt, wenn er auf dem System installiert ist. Der Dritte stellt den Code-Patch so bereit, dass sich der Benutzer mit der vorbestimmten Benutzerkennung angestammte Vorrechte nicht selbst bereitstellen kann. Der Code-Patch ist Teil eines Rechnercodes – d. h. Rechnersoftware – der ausdrücklich dazu auf dem System installiert ist, der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereitzustellen. Der dieser vorbestimmten Benutzerkennung zugehörige Benutzer stellt dann dem Dritten sein Passwort bereit, damit der Dritte das Problem lösen kann. Sobald das Problem gelöst wurde, wird der Code-Patch von dem Rechensystem deinstalliert, damit die Benutzerkennung keine angestammten Vorrechte mehr besitzt, und der Benutzer ändert sein Passwort, damit der Dritte keine Kenntnis mehr davon hat.
  • Somit stellen Ausführungsformen der vorliegenden Erfindung sicher, dass ein Benutzer mit einer vorbestimmten Benutzerkennung nicht selbst die der Kennung zugehörigen Vorrechte auf angestammte Vorrechte erhöhen kann. Stattdessen wird der Code-Patch benötigt, der nur durch den Dritten bereitgestellt werden kann. Des Weiteren kann sich der Dritte nicht selbst Zugriff auf das Rechensystem mit angestammten Vorrechten bereitstellen; ohne das von dem Benutzer bereitgestellte Passwort hat der Dritte keinen Zugriff auf das Rechensystem. Deshalb werden die Einwilligungen sowohl des Benutzers als auch des Dritten benötigt, um Zugriff auf das Rechensystem mit angestammten Vorrechten zu erhalten. Des Weiteren ist ein derartiger Zugriff mit angestammten Vorrechten von kurzer Dauer: der Code-Patch wird automatisch oder manuell von dem Rechensystem deinstalliert, sobald das Problem mit dem System gelöst wurde, woraufhin die vorbestimmte Benutzerkennung keine angestammten Vorrechte mehr besitzt.
  • In dieser Hinsicht sei bemerkt, dass sich der erfindungsgemäße Ansatz vorteilhaft von Lösungen dieses Problems nach dem Stand der Technik unterscheidet. Ein Ansatz nach dem Stand der Technik sperrt nicht dauerhaft die Kennung eines bevorzugten Benutzers eines Rechensystems, sondern hinterlegt das Passwort für die Kennung eines bevorzugten Benutzers stattdessen bei einem Dritten. Wenn angestammte Vorrechte benötigt werden, kann das Passwort für die Kennung eines bevorzugten Benutzers nur dann freigegeben werden, wenn eine Reihe von vorbestimmten Bedingungen erfüllt sind, so zum Beispiel, dass sowohl ein Benutzer in dem Unternehmen als auch der Dritte eine derartige Freigabe genehmigen. Die Hinterlegung eines Passworts bei einem Dritten ist jedoch problematisch, da dies einen zentralen Aufbewahrungsort für sensible Passwörter erfordert, welcher naturgemäß Hacker und andere Personen mit schlechten Absichten, die gerne Zugriff auf die Rechensysteme eines Unternehmens hätten, wie ein Magnet anzieht.
  • Eine andere Lösung nach dem Stand der Technik fügt dem Rechensystem eines Unternehmens eine Reihe von Software- bzw. Hardware-Sicherheitskontrollschichten sowie Anmeldefunktionen hinzu, um sicherzustellen, dass die Kennung eines bevorzugten Benutzers nur in genehmigten Situationen eingesetzt wird. Derartige einem Rechensystem hinzugefügte zusätzliche Schichten erhöhen jedoch die Komplexität und den Verwaltungsaufwand in dem System. Als Folge kann die Leistung des Rechensystems nachteilig beeinflusst werden, und im schlimmsten Fall können auf Grund dieser zusätzlichen Schichten Probleme in dem Rechensystem verursacht werden. Der erfindungsgemäße Ansatz unterscheidet sich von diesen beiden Lösungen nach dem Stand der Technik dadurch, dass der erfindungsgemäße Ansatz keine Passwörter bei Dritten hinterlegt und einem Rechensystem keine zusätzlichen Software- bzw. Hardware-Sicherheitskontrollschichten sowie Anmeldefunktionen hinzufügt.
  • In den nachfolgend beschriebenen beispielhaften Ausführungsformen werden einer Benutzerkennung, bei der es sich nicht um eine Kennung eines bevorzugten Benutzers handelt, vorübergehend angestammte Vorrechte für ein Rechensystem bereitgestellt, in dem die Kennung eines bevorzugten Benutzers gesperrt wurde. Allgemeiner werden jedoch einer zweiten Benutzerkennung, bei der es sich nicht um eine erste Benutzerkennung handelt, zumindest eine Teilmenge von ersten Vorrechten für ein Rechensystem bereitgestellt, die normalerweise der ersten Benutzerkennung zugewiesen werden, wobei die erste Benutzerkennung gesperrt wurde. Die zweite Benutzerkennung hat normalerweise zweite Vorrechte für das Rechensystem, die geringer sind als zumindest die Teilmenge der ersten Vorrechte der ersten Benutzerkennung. Als solches betreffen die Ausführungsformen der vorliegenden Erfindung allgemeiner die vorübergehende Bereitstellung von höheren (ersten) Vorrechten (z. B. zumindest eine Teilmenge dieser höheren, ersten Vorrechte), die normalerweise einer anderen (ersten) gesperrten Benutzerkennung zugewiesen sind, für eine (zweite) Benutzerkennung eines Rechensystems.
  • 1 zeigt ein Verfahren 100 gemäß einer Ausführungsform der Erfindung. Die Teile des Verfahrens 100 in der linken Spalte werden durch oder in einem für ein Unternehmen bereitgestelltes Rechensystem durchgeführt. Bei dem Unternehmen kann es sich zum Beispiel um eine Kapitalgesellschaft oder eine andere kommerzielle Organisation bzw. andere Organisation handeln. Das Rechensystem wird dem Unternehmen so bereitgestellt, dass das Unternehmen das Rechensystem steuern kann, das Rechensystem in dem Unternehmen installiert sein kann und/oder die Hauptbenutzer des Rechensystems Aufgaben für die erfolgreiche Führung des Unternehmens durchführen können. Die Teile des Verfahrens 100 in der rechten Spalte werden durch oder bei einem Dritten, bei dem es sich nicht um das Unternehmen handelt, durchgeführt. Bei dem Dritten kann es sich zum Beispiel um eine Support-Firma handeln, mit der das Unternehmen die Wartung des Rechensystems vertraglich vereinbart hat, oder um die Organisation, die das Rechensystem hergestellt bzw. für das Unternehmen bereitgestellt hat.
  • Die Kennung eines bevorzugten Benutzers für das Rechensystem wird gesperrt (102). Die Kennung eines bevorzugten Benutzers für das Rechensystem gestattet vollständigen und ungehinderten Zugriff auf das Rechensystem. Ein Benutzer mit der Kennung eines bevorzugten Benutzers besitzt alle Vorrechte und Genehmigungen für sämtliche gespeicherte Daten und alle auf dem Rechensystem ausgeführte Rechnerprogramme. Ein derartiger Benutzer kann Vieles tun, was andere Benutzer ohne die Kennung eines bevorzugten Benutzers nicht tun können, wie zum Beispiel das Ändern von Eigentumsrechten an Dateien und das Einbinden von Netzwerkanschlüssen, die eine niedrigere Nummer als 1024 aufweisen. Die Funktionalität, die ein Benutzer mit einer Kennung eines bevorzugten Benutzers ausführen kann, wird hierin angestammte Vorrechte genannt.
  • Die Kennung eines bevorzugten Benutzers ist der Name, der einem solchen bevorzugten Benutzer (super user) in den meisten UNIX®-Betriebssystemen (UNIX ist ein eingetragenes Warenzeichen von The Open Group in den USA und anderen Ländern) bzw. UNIX®-basierten Betriebssystemen zugehört, darunter das Betriebssystem LINUX® (Linux ist ein eingetragenes Warenzeichen von Linus Torwalds in den USA und/oder anderen Ländern). Andere Benutzerkennungen, die der Kennung eines bevorzugten Benutzers gleichwertig sind und von dieser Terminologie hierin erfasst werden, schliefen die Administrator-Benutzerkennung in Versionen des Betriebssystems MICROSOFT® WINDOWS® ein (Microsoft, Windows, Windows NT sowie das Windows-Logo sind Warenzeichen von Microsoft Corporation in den USA und/oder anderen Ländern). Zu anderen Benutzerkennungen, die der Kennung eines bevorzugten Benutzers gleichwertig sind und von dieser Terminologie hierin erfasst werden, gehören auch die Benutzerkennung ”baron” in Versionen des BEOS®-Betriebssystems ein, die Benutzerkennung ”avatar” in einigen UNIX®-Betriebssystemen sowie die Benutzerkennung ”toar” in dem Betriebssystem BSD®, bei dem es sich um eine Version des Betriebssystems UNIX® handelt.
  • In einer Ausführungsform wird die Kennung eines bevorzugten Benutzers für das Rechensystem gesperrt, indem das Passwort für die Kennung eines bevorzugten Benutzers auf eine lange Folge von unbekannten zufälligen Zeichen festgesetzt wird. Die Zeichen können zufällig durch eine Maschine ausgewählt werden und sind nicht bekannt, da sie keinem Benutzer bekanntgegeben werden. Je länger die Folge der unbekannten zufälligen Zeichen ist, desto unwahrscheinlicher ist es, dass das Passwort von Benutzern mit schlechten Absichten geknackt werden kann. Das Passwort kann zum Beispiel auf 63 oder mehr unbekannte zufällige Zeichen festgesetzt werden, wodurch es höchst unwahrscheinlich ist, dass es innerhalb einer angemessenen Zeitspanne geknackt werden kann. Es sei jedoch bemerkt, dass die Kennung eines bevorzugten Benutzers auch anders gesperrt werden kann als durch das Festlegen ihres Passworts auf eine lange Folge unbekannter zufälliger Zeichen.
  • An einem gewissen Punkt, nachdem die Kennung eines bevorzugten Benutzers gesperrt wurde, wird festgestellt, dass es ein Problem mit dem Rechensystem gibt, dessen Lösung dennoch angestammte Vorrechte erfordert (104). Es sei bemerkt, dass in Betracht gezogen wird, dass in manchen Situationen zwischen der Durchführung von Schritt 102 und der Durchführung von Schritt 104 eine erhebliche Zeitspanne wie Monate oder Jahre liegen kann. Der Kennung eines bevorzugten Benutzers sind von vornherein angestammte Vorrechte zugewiesen, aber, wie später in der ausführlichen Beschreibung dargelegt wird, es können auch anderen Benutzerkennungen vorübergehend angestammte Vorrechte zugewiesen werden, so dass Benutzer mit diesen Benutzerkennungen derart Zugriff auf das Rechensystem haben, als ob sie Kennungen eines bevorzugten Benutzers hätten. Es sei bemerkt, dass die Erfinder damit rechnen, dass die meisten Probleme mit dem Rechensystem wie zum Beispiel, dass die Software des Rechensystems nicht wie beabsichtigt funktioniert, wahrscheinlich gelöst werden können, ohne dass angestammte Vorrechte für das Rechensystem benötigt werden. Trotzdem kann man nicht garantieren, dass alle Probleme mit dem Rechensystem ohne angestammte Vorrechte gelöst werden können. Es kann jedoch davon ausgegangen werden, dass man nur selten auf derartige Probleme trifft.
  • Infolge der Feststellung, dass es ein Problem mit dem Rechensystem gibt, dessen Lösung angestammte Vorrechte erfordert, wird der Dritte benachrichtigt, der daraufhin einen Code-Patch bereitstellt (106). Der Code-Patch stellt einer vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereit. Ein bestimmter Benutzer des Unternehmens, für welches das Rechensystem bereitgestellt wurde, kann zum Beispiel dafür verantwortlich sein, mit dem Dritten an der Lösung des Problems zusammenzuarbeiten. Deshalb stellt der Code-Patch der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereit, wobei sich diese vorbestimmte Benutzerkennung von der Kennung eines bevorzugten Benutzers unterscheidet. Der Code-Patch wird empfangen und auf dem Rechensystem installiert (108), woraufhin diese vorbestimmte Benutzerkennung angestammte Vorrechte für das Rechensystem besitzt.
  • In einer Ausführungsform wird dem Dritten die vorbestimmte Benutzerkennung bereitgestellt, bevor der Dritte den Code-Patch entwickelt, so dass der Code-Patch so entwickelt bzw. geschrieben wird, dass er spezifisch der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereitstellt. Wie oben erwähnt handelt es sich bei dem Code-Patch um einen Rechnercode – d. h. Rechnersoftware – der auf dem Rechensystem installiert wird. Des Weiteren entwickelt der Dritte den Code-Patch so, dass Benutzer des Unternehmens selbst ihre Vorrechte nicht selbständig erhöhen können. In einer anderen Ausführungsform wird dem Dritten die vorbestimmte Benutzerkennung erst bereitgestellt, wenn der Dritte den Code-Patch entwickelt, so dass der Code-Patch nicht so entwickelt bzw. geschrieben wird, dass er spezifisch der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereitstellt. Stattdessen kann der Code-Patch nach Installation des Code-Patch auf dem Rechensystem einen Benutzer nach einer Benutzerkennung fragen, welcher vorübergehend angestammte Vorrechte bereitgestellt werden soll. Daraufhin gibt der Benutzer zu diesem Zeitpunkt die vorbestimmte Benutzerkennung ein.
  • In einer Ausführungsform der Erfindung schließt der Code-Patch Folgendes ganz oder teilweise ein. Erstens kann der Code-Patch eine Kennung aufweisen, die dem Rechensystem entspricht, auf dem er installiert werden soll. Deshalb ist eine Installation des Code-Patch während des Prozesses der Installation des Code-Patch auf dem Rechensystem nur dann gestattet, wenn diese Kennung mit der Kennung des Rechensystems übereinstimmt. Bei der Kennung kann es sich zum Beispiel um eine eindeutige Seriennummer einer bestimmten Recheneinheit des Rechensystems handeln.
  • Zweitens kann der Code-Patch eine digitale Signatur aufweisen, die lediglich dem Dritten bekannt ist. Während des Installationsprozesses des Code-Patch auf dem Rechensystem wird eine Installation des Code-Patch auch lediglich dann zugelassen, wenn die Gültigkeit dieser digitalen Signatur bestätigt wurde. Das Rechensystem kann zum Beispiel Zugang zu einem öffentlichen Schlüssel haben, und der Dritte kann Zugang zu einem entsprechenden privaten Schlüssel haben. Nur wenn der private Schlüssel, mit dem der Code-Patch durch den Dritten signiert wurde, mit dem öffentlichen Schlüssel, mit dem das Rechensystem signiert wurde, übereinstimmt, wird eine Installation des Code-Patch auf dem Rechensystem zugelassen. Nur der Dritte, und nicht das Unternehmen, hat Zugang zu dem privaten Schlüssel; Benutzer des Unternehmens haben zum Beispiel keinen Zugang zu dem privaten Schlüssel.
  • Drittens kann der Code-Patch ein Datum wie ein Startdatum und ein Enddatum aufweisen. Während des Installationsprozesses des Code-Patch auf dem Rechensystem wird eine Installation des Code-Patch auch lediglich dann zugelassen, wenn die Gültigkeit dieses Datums bestätigt wurde. Das aktuelle Datum und die aktuelle Zeit müssen zum Beispiel zwischen dem dem Code-Patch hinzugefügten Start- und Enddatum liegen, damit die Installation des Code-Patch zugelassen wird.
  • Diese Sicherheitsaspekte des Code-Patch stellen sicher, dass lediglich der Dritte einen derartigen Code-Patch zur Installation auf dem Rechensystem bereitstellen kann, so dass andere Parteien wie das Unternehmen sowie die Benutzer des Unternehmens einen derartigen Code-Patch nicht bereitstellen können. Da der Code-Patch die der vorbestimmten Benutzerkennung zugewiesenen Vorrechte vorübergehend auf angestammte Vorrechte erhöht, gestattet der Code-Patch in Verbindung mit dem Passwort für diese Kennung letztendlich ungehinderten Zugriff auf das Rechensystem unter Verwendung der vorbestimmten Benutzerkennung und deren Passwort. Folglich stellen die Kennung, die digitale Signatur und das Datum sicher, dass nur der Dritte den Code-Patch bereitstellen kann. Es hat zum Beispiel nur der Dritte, und nicht das Unternehmen, Kenntnis über die digitale Signatur, mit welcher der Code-Patch zu signieren ist, damit der Code-Patch auf dem Rechensystem installiert werden kann.
  • Es sei ferner bemerkt, dass der Code-Patch entweder lediglich einen dieser Sicherheitsaspekte, lediglich zwei dieser Sicherheitsaspekte oder alle drei dieser Sicherheitsaspekte aufweisen kann, um sicherzustellen, dass lediglich der Dritte einen Code-Patch zur Installation auf dem Rechensystem bereitstellen kann. Es können auch andere Arten von Sicherheitsaspekten in Bezug auf den Code-Patch realisiert werden, um sicherzustellen, dass lediglich der Dritte einen Code-Patch zur Installation in dem Unternehmen bereitstellen kann. Die anderen Arten von Sicherheitsaspekten können zusätzlich oder an Stelle einer oder mehrerer der oben genannten Sicherheitsaspekte des Code-Patch eingesetzt werden.
  • Der Code-Patch enthält einen durch einen Rechner lesbaren Programmcode, der bei Installation (d. h. Ausführung) auf dem Rechensystem der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereitstellt, zum Beispiel durch das vorübergehende Erhöhen von Vorrechten der vorbestimmten Benutzerkennung auf Vorrechte, die den Vorrechten der Kennung eines bevorzugten Benutzers gleichwertig sind. In einer Ausführungsform erreicht das dieser durch einen Rechner lesbare Programmcode durch Ausführung eines Sudo-Rechnerprogramms in Bezug auf die vorbestimmte Benutzerkennung, die sich von der Kennung eines bevorzugten Benutzers unterscheidet. Bei dem Sudo-Rechnerprogramm handelt es sich um ein in den meisten UNIX®- und UNIX®-artigen Betriebssystemen enthaltenes Befehlszeilenprogramm, darunter das Betriebssystem LINUX®, das es gestattet, Programme gemäß Benutzerkennungen auszuführen, jedoch mit den Vorrechten anderer Benutzerkennungen wie der Kennung eines bevorzugten Benutzers.
  • Sobald der Code-Patch installiert wurde, besitzt die vorbestimmte Benutzerkennung somit angestammte Vorrechte auf das Rechensystem. Deshalb wird das Passwort für diese vorbestimmte Benutzerkennung in einer Ausführungsform dem Dritten (110) bereitgestellt. Der Dritte empfängt das Passwort für die vorbestimmte Benutzerkennung und nutzt mit Hilfe dieser vorübergehend angestammte Vorrechte besitzenden Kennung und des bereitgestellten Passworts die angestammten Vorrechte, um das erkannte Problem mit dem Rechensystem zu lösen (112). Somit kann der Dritte das Problem lösen, ohne mit Hilfe der gesperrten Kennung eines bevorzugten Benutzers selbst auf das Rechensystem zugreifen zu müssen und ohne auf das über einen Passwort-Hinterlegungsdienst für den vorbestimmten Benutzer identifizierte Passwort zugreifen zu müssen, wie nach dem Stand der Technik.
  • Es sei bemerkt, dass ein Benutzer, der Kenntnis über das Passwort für die vorbestimmte Benutzerkennung hat – wie zum Beispiel der dieser Kennung zugehörige Benutzer – keine angestammten Vorrechte für das Rechensystem besitzt und diese auch nicht erwerben kann, wenn der Code-Patch nicht auf dem Rechensystem installiert ist. Dies liegt daran, dass es sich bei der vorbestimmten Benutzerkennung normalerweise nicht um die Kennung eines bevorzugten Benutzers handelt. Da ein derartiger Benutzer den Code-Patch nicht ohne Unterstützung durch den Dritten entwickeln und installieren kann, bedeutet dies, dass der Benutzer normalerweise daran gehindert wird, angestammte Vorrechte für das Rechensystem besitzen zu können.
  • Ebenso sei bemerkt, dass der den Code-Patch bereitstellende Dritte keine angestammten Vorrechte für das Rechensystem besitzt und diese auch nicht erwerben kann, wenn dem Dritten das Passwort für die vorbestimmte Benutzerkennung nicht bereitgestellt wird. Dies liegt daran, dass der Dritte das Passwort für die vorbestimmte Benutzerkennung normalerweise nicht besitzt. Da der Dritte dieses Passwort normalerweise nicht besitzt, bedeutet dies, dass der Dritte normalerweise auch daran gehindert wird, angestammte Vorrechte für das Rechensystem besitzen zu können.
  • Sobald der Dritte das Problem erfolgreich gelöst hat, werden der Code-Patch deinstalliert (114) und das Passwort für die vorbestimmte Benutzerkennung geändert (116). Die Deinstallation des Code-Patch führt dazu, dass die vorbestimmte Benutzerkennung keine angestammten Vorrechte mehr für das Rechensystem besitzt, so dass der Benutzer des Unternehmens, dem diese Kennung zugehört, keinen ungehinderten Zugang mehr zu dem Rechensystem hat. Des Weiteren führt die Änderung des Passworts für die vorbestimmte Benutzerkennung durch den Benutzer des Unternehmens, dem diese Kennung zugehört, dazu, dass der Dritte das Passwort für die vorbestimmte Benutzerkennung nicht mehr kennt. Somit kann sich der Dritte unter Verwendung dieser vorbestimmten Benutzerkennung ohne Kenntnis und Unterstützung durch den Benutzer, dem die vorbestimmte Benutzerkennung zugehört, später nicht selbst angestammte Vorrechte auf das Rechensystem bereitstellen.
  • Der Code-Patch kann manuell deinstalliert werden, sobald der Dritte das Problem mit dem Rechensystem erfolgreich gelöst hat. Der Dritte kann den Code-Patch zum Beispiel nach Lösung des Problems mit dem Rechensystem manuell deinstallieren, oder ein Benutzer des Unternehmens, wie zum Beispiel der Benutzer, dem die vorbestimmte Benutzerkennung zugehört, kann den Code-Patch manuell deinstallieren. Des Weiteren kann der Code-Patch ein Ablaufdatum aufweisen. Nach Ablauf des Ablaufdatums wird der Code-Patch ohne Eingriff durch einen Benutzer der Einheit bzw. den Dritten automatisch von dem Rechensystem deinstalliert. Ein optimales Verfahren kann die Durchführung einer manuellen Deinstallation unmittelbar nach der Lösung des Problems mit dem Rechensystem sein, wobei innerhalb des Code-Patch trotzdem ein Ablaufdatum bereitgestellt wird, so dass der Code-Patch letztendlich auch dann von dem Rechensystem deinstalliert wird, wenn eine derartige manuelle Deinstallation nicht durchgeführt wird.
  • In der oben beschriebenen Ausführungsform der Erfindung wird dem Dritten das Passwort für die vorbestimmte Benutzerkennung nach Installation des Code-Patch auf dem Rechensystem bereitgestellt, damit der Dritte das Problem mit dem Rechensystem lösen kann. In einer anderen Ausführungsform wird dem Dritten jedoch das Passwort für die vorbestimmte Benutzerkennung nach Installation des Code-Patch auf dem Rechensystem nicht bereitgestellt. In einer derartigen Ausführungsform kann der Dritte stattdessen einem Benutzer in dem Unternehmen zum Beispiel Anweisungen bereitstellen, wie das Problem gelöst werden kann, so dass das Problem gelöst werden kann, ohne dass dem Dritten das Passwort für die vorbestimmte Benutzerkennung bereitgestellt wird.
  • 2 zeigt ein Rechensystem 200 gemäß einer Ausführungsform der vorliegenden Erfindung. Das Rechensystem 200 enthält eine Recheneinheit 202 des Unternehmens bzw. für das Unternehmen, die als Unternehmensrecheneinheit 202 bezeichnet wird. Das Rechensystem 200 enthält ferner eine Recheneinheit 204 des Dritten bzw. für den Dritten, die als Recheneinheit Dritter 204 bezeichnet wird. Die Recheneinheiten 202 und 204 sind für den Datenaustausch über ein Netzwerk 206 miteinander verbunden.
  • Bei der Unternehmensrecheneinheit 202 handelt es sich um die Recheneinheit, in der ein Problem aufgetreten ist, dessen Lösung angestammte Vorrechte erfordert. Der Code-Patch kann in der Recheneinheit Dritter 204 entwickelt werden. Der Code-Patch wird von der Recheneinheit Dritter 204 an die Unternehmensrecheneinheit 202 übertragen und auf der Unternehmensrecheneinheit 202 installiert. Der Dritte kann von der Recheneinheit Dritter 204 über das Netzwerk auf die Unternehmensrecheneinheit 202 zugreifen, indem er das von dem Unternehmen für die vorbestimmte, auf Grund der Installation des Code-Patch angestammte Vorrechte besitzende Benutzerkennung bereitgestellte Passwort verwendet. Der Dritte löst das Problem mit der Unternehmensrecheneinheit 202 über einen derartigen Zugriff auf die Unternehmensrecheneinheit 202, woraufhin der Code-Patch von der Einheit 202 deinstalliert und das Passwort für die vorbestimmte Benutzerkennung geändert werden.
  • 3 zeigt die Unternehmensrecheneinheit 202 gemäß einer Ausführungsform der vorliegenden Erfindung ausführlicher. Die Unternehmensrecheneinheit 202 enthält Hardware 302 und Software 304. Die Hardware 302 kann einen oder mehrere Prozessoren, flüchtigen Speicher, nichtflüchtige Speichereinheiten sowie andere Arten von Hardware beinhalten. Die Software 304 kann ein oder mehrere Betriebssysteme, ein oder mehrere Anwendungsrechnerprogramme sowie andere Arten von Software beinhalten. Die Software 304 wird durch die Hardware 302 ausgeführt und läuft darauf. Der Zugriff auf die Software 304 wird durch die Kennung eines bevorzugten Benutzers mit angestammten Vorrechten und durch mindestens eine vorbestimmte Benutzerkennung gesteuert, die normalerweise keine angestammten Vorrechte besitzt. Die vorbestimmte Benutzerkennung unterscheidet sich von der Kennung eines bevorzugten Benutzers.
  • Die Unternehmensrecheneinheit 202 enthält ebenfalls ein durch einen Rechner lesbares Speichermedium 306, das Teil der Hardware 302 sein kann. Das durch einen Rechner lesbare Speichermedium 306 speichert durch einen Rechner lesbaren Programmcode 308, der Teil der Software 304 sein kann. Der durch einen Rechner lesbare Programmcode 308 führt eine Sicherheitskomponente 310 aus. Die Sicherheitskomponente 310 sperrt die Kennung eines bevorzugten Benutzers. Danach installiert die Sicherheitskomponente 310 einen Code-Patch infolge einer Feststellung, dass die Lösung eines Problems mit der Software 304 angestammte Vorrechte erfordert.
  • Wie beschrieben stellt der Code-Patch der vorbestimmten Benutzerkennung vorübergehend angestammte Vorrechte bereit. Der Code-Patch wird durch einen Dritten bereitgestellt und kann nicht von dem fraglichen Unternehmen bereitgestellt werden. Ein Benutzer, der Kenntnis über das Passwort für die vorbestimmte Benutzerkennung hat, besitzt keine angestammten Vorrechte und kann diese auch nicht besitzen, wenn der Code-Patch nicht installiert ist. Der Dritte greift auf die Software 304 zu, um das Problem zu lösen, nachdem ihm das Passwort für die vorbestimmte Benutzerkennung bereitgestellt wurde, so dass der Dritte durch den Code-Patch und dieses Passwort angestammte Vorrechte besitzt. Der den Code-Patch bereitstellende Dritte besitzt keine angestammten Vorrechte und kann diese auch nicht besitzen, wenn ihm dieses Passwort nicht bereitgestellt wird. Andere Aspekte des Code-Patch, die in Bezug auf das Verfahren aus 1 beschrieben wurden, sind auch für eine Umsetzung in Bezug auf das System aus 2 sowie die Recheneinheit aus 3 geeignet.
  • Aspekte der vorliegenden Erfindung wurden oben unter Bezugnahme auf Ablaufpläne und/oder Schaubilder von Verfahren, Vorrichtungen (Systemen) und Rechnerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Schaubildern durch Rechnerprogrammanweisungen ausgeführt werden können. Diese Rechnerprogrammanweisungen können dem Prozessor eines Universalrechners, eines Spezialrechners oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Rechners bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken des Ablaufplans und/oder der Schaubilder festgelegten Funktionen/Schritte erzeugt.
  • Diese Rechnerprogrammanweisungen können auch auf einem durch einen Rechner lesbaren Medium gespeichert sein, das einen Rechner oder eine andere programmierbare Datenverarbeitungsvorrichtung bzw. andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass die auf dem durch einen Rechner lesbaren Medium gespeicherten Anweisungen ein Herstellungsprodukt herstellen, darunter Anweisungen, welche die in dem Block bzw. den Blöcken des Ablaufplans und/oder der Schaubilder festgelegten Funktion/den Schritt umsetzen.
  • Die Rechnerprogrammanweisungen können auch auf einen Rechner oder eine andere programmierbare Datenverarbeitungsvorrichtung bzw. andere Einheiten geladen werden, um die Ausführung einer Reihe von Prozessschritten auf dem Rechner, der anderen programmierbaren Vorrichtung bzw. der anderen Einheiten zu verursachen, um einen auf einem Rechner ausgeführten Prozess zu erzeugen, so dass die auf dem Rechner oder einer anderen programmierbaren Vorrichtung ausgeführten Anweisungen Verfahren zur Umsetzung der in dem Block bzw. den Blöcken des Ablaufplans und/oder der Schaubilder festgelegten Funktionen/Schritte erzeugen.
  • Der Ablaufplan und die Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen der Systeme, Verfahren und Rechnerprogrammprodukte gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in dem Ablaufplan bzw. den Schaubildern ein Modul, ein Segment oder einen Teil eines Codes darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) umfassen.
  • Es sei auch bemerkt, dass in einigen alternativen Ausführungen die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden können. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner zu bemerken, dass jeder Block der Schaubilder und/oder des Ablaufplans sowie Kombinationen aus Blöcken in den Schaubildern und/oder dem Ablaufplan in speziellen auf Hardware beruhenden Systemen umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder durch Kombinationen aus Spezial-Hardware and Rechneranweisungen.
  • Zuletzt sei bemerkt, dass, obwohl hierin spezifische Ausführungsformen veranschaulicht und beschrieben wurden, Fachleute verstehen werden, dass jede beliebige zum Erreichen desselben Zwecks berechnete Anordnung die spezifischen gezeigten Ausführungsformen ersetzen kann. Diese Anmeldung soll daher jegliche Anpassungen bzw. Abwandlungen der Ausführungsformen der vorliegenden Erfindung abdecken. Als solches und deshalb ist es offenkundig beabsichtigt, dass diese Erfindung lediglich durch die Ansprüche und deren Entsprechungen beschränkt wird.

Claims (25)

  1. Verfahren zur Bereitstellung von Vorrechten, das Folgendes umfasst: Sperren einer ersten Benutzerkennung eines Rechensystem, wobei die erste Benutzerkennung erste Vorrechte für das Rechensystem besitzt; nach dem Sperren der ersten Benutzerkennung des Rechensystems und infolge der Feststellung, dass die Lösung eines Problems mit dem Rechensystem die ersten Vorrechte für das Rechensystem erfordert, Empfangen eines Code-Patch zur Installation auf dem Rechensystem von einem Dritten, wobei der Code-Patch einer zweiten Benutzerkennung des Rechensystems, bei der es sich nicht um die erste Benutzerkennung handelt, vorübergehend zumindest eine Teilmenge der ersten Vorrechte bereitstellt, wobei die zweite Benutzerkennung normalerweise zweite Vorrechte für das Rechensystem besitzt, die geringer sind als die ersten Vorrechte für das Rechensystem, wobei der Code-Patch auf dem Rechensystem installierbaren Rechnercode umfasst; und Installieren des Code-Patch auf dem Rechensystem, so dass die zweite Benutzerkennung vorübergehend zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  2. Verfahren nach Anspruch 1, das ferner umfasst, dass dem Dritten nach Installation des Code-Patch auf dem Rechensystem ein Passwort für die zweite Benutzerkennung bereitgestellt wird, damit der Dritte in der Lage ist, das Problem mit dem Rechensystem unter Verwendung zumindest der Teilmenge der ersten Vorrechte für das Rechensystem gemäß der zweiten Benutzerkennung zu lösen, die vorübergehend zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  3. Verfahren nach Anspruch 2, das nach der Lösung des Problems mit dem Rechensystem durch den Dritten unter Verwendung zumindest der Teilmenge der ersten Vorrechte für das Rechensystem gemäß der zweiten, vorübergehend erste höhere Vorrechte für das Rechensystem besitzenden Benutzerkennung ferner Folgendes umfasst: Deinstallieren des Code-Patch von dem Rechensystem, woraufhin die zweite Benutzerkennung nicht mehr zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt; und Ändern des Passworts für die zweite Benutzerkennung, so dass der Dritte keine Kenntnis mehr über das Passwort für die zweite Benutzerkennung hat.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Code-Patch ein Ablaufdatum aufweist, so dass der Code-Patch nach Ablauf des Ablaufdatums des Code-Patch automatisch von dem Rechensystem deinstalliert wird, woraufhin die zweite Benutzerkennung nicht mehr zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Sperren der ersten Benutzerkennung eines Rechensystem das Festlegen eines Passworts für die erste Benutzerkennung auf eine Vielzahl von unbekannten zufälligen Zeichen umfasst.
  6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Installieren des Code-Patch auf dem Rechensystem zumindest einen der folgenden Schritte umfasst: Vergleichen einer Kennung des Code-Patch mit einer Kennung des Rechensystems durch das Rechensystem, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn die Kennung des Code-Patch mit der Kennung des Rechensystems übereinstimmt; Überprüfen einer digitalen Signatur des Code-Patch durch das Rechensystem, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn die digitale Signatur des Code-Patch gültig ist; und Überprüfen eines Datums des Code-Patch durch das Rechensystem, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn das Datum des Code-Patch gültig ist.
  7. Verfahren nach Anspruch 6, bei dem der Dritte, und nicht das Unternehmen, für welches das Rechensystem bereitgestellt wird, Kenntnis über die digitale Signatur hat, mit welcher der Code-Patch zu signieren ist, damit der Code-Patch auf dem Rechensystem installiert werden kann.
  8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Code-Patch der zweiten Benutzerkennung des Rechensystems vorübergehend zumindest die Teilmenge der ersten Vorrechte bereitstellt, indem er Vorrechte der zweiten Benutzerkennung durch Ausführen eines Pseudorechnerprogramms vorübergehend auf Vorrechte erhöht, die zumindest der Teilmenge der ersten Vorrechte entsprechen.
  9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Dritte in die Lage versetzt wird, das Problem mit dem Rechensystem zu lösen, ohne auf das Rechensystem unter Verwendung der ersten Benutzerkennung zuzugreifen.
  10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Dritte in die Lage versetzt wird, das Problem mit dem Rechensystem zu lösen, ohne auf das Passwort für die zweite Benutzerkennung unter Verwendung eines Passwort-Hinterlegungs-Dienstes zuzugreifen.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem ein Benutzer, der Kenntnis über das Passwort für die zweite vorbestimmte Benutzerkennung hat, nicht zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzen kann, wenn der Code-Patch nicht auf dem Rechensystem installiert ist.
  12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der den auf dem Rechensystem installierten Code-Patch bereitstellende Dritte nicht zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzen kann, wenn ihm nicht das Passwort für die zweite Benutzerkennung bereitgestellt wird.
  13. Vorrichtung zur Bereitstellung von Vorrechten, die Folgendes umfasst: ein Mittel zum Sperren einer ersten Benutzerkennung eines Rechensystem, wobei die erste Benutzerkennung erste Vorrechte für das Rechensystem besitzt; ein Mittel für das Empfangen eines Code-Patch zur Installation auf dem Rechensystem von einem Dritten infolge einer Sperrung der ersten Benutzerkennung des Rechensystems und infolge einer Feststellung, dass die Lösung eines Problems mit dem Rechensystem die ersten Vorrechte für das Rechensystem erfordert, wobei der Code-Patch einer zweiten Benutzerkennung des Rechensystems, bei der es sich nicht um die erste Benutzerkennung handelt, vorübergehend zumindest eine Teilmenge der ersten Vorrechte bereitstellt, wobei die zweite Benutzerkennung normalerweise zweite Vorrechte für das Rechensystem besitzt, die geringer sind als die ersten Vorrechte für das Rechensystem, wobei der Code-Patch auf dem Rechensystem installierbaren Rechnercode umfasst; und ein Mittel zum Installieren des Code-Patch auf dem Rechensystem, so dass die zweite Benutzerkennung vorübergehend zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  14. Vorrichtung nach Anspruch 3, die ferner Folgendes umfasst: ein Mittel zum Bereitstellen eines Passworts für die zweite Benutzerkennung infolge der Installation des Code-Patch auf dem Rechensystem, damit der Dritte in der Lage ist, das Problem mit dem Rechensystem unter Verwendung zumindest der Teilmenge der ersten Vorrechte für das Rechensystem gemäß der zweiten Benutzerkennung zu lösen, die vorübergehend zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  15. Vorrichtung nach Anspruch 14, die ferner Folgendes umfasst: ein Mittel zum Deinstallieren des Code-Patch von dem Rechensystem infolge des Lösens des Problems mit dem Rechensystem durch den Dritten unter Verwendung zumindest der Teilmenge der ersten Vorrechte für das Rechensystem gemäß der zweiten Benutzerkennung, die vorübergehend erste angestammte Vorrechte für das Rechensystem besitzt, woraufhin die zweite Benutzerkennung nicht mehr zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt; und ein Mittel zum Ändern des Passworts für die zweite Benutzerkennung, so dass der Dritte keine Kenntnis mehr über das Passwort für die zweite Benutzerkennung hat.
  16. Vorrichtung nach einem der Ansprüche 13 bis 15, bei dem der Code-Patch ein Ablaufdatum aufweist, so dass der Code-Patch nach Ablauf des Ablaufdatums des Code-Patch automatisch von dem Rechensystem deinstalliert wird, woraufhin die zweite Benutzerkennung nicht mehr zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzt.
  17. Vorrichtung nach einem der Ansprüche 13 bis 16, bei der das Mittel zum Sperren der ersten Benutzerkennung des Rechensystems Folgendes umfasst: ein Mittel zum Festlegen eines Passworts für die erste Benutzerkennung auf eine Vielzahl von unbekannten zufälligen Zeichen.
  18. Vorrichtung nach einem der Ansprüche 13 bis 17, bei dem das Mittel zum Installieren des Code-Patch auf dem Rechensystem zumindest eines der folgenden Mittel umfasst: ein Mittel zum Vergleichen einer Kennung des Code-Patch mit einer Kennung des Rechensystems, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn die Kennung des Code-Patch mit der Kennung des Rechensystems übereinstimmt; ein Mittel zum Überprüfen einer digitalen Signatur des Code-Patch, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn die digitale Signatur des Code-Patch gültig ist; und ein Mittel zum Überprüfen eines Datums des Code-Patch, so dass der Code-Patch auf dem Rechensystem installiert wird, wenn das Datum des Code-Patch gültig ist.
  19. Vorrichtung Anspruch 18, bei welcher der Dritte, und nicht das Unternehmen, für welches das Rechensystem bereitgestellt wird, Kenntnis über die digitale Signatur hat, mit welcher der Code-Patch zu signieren ist, damit der Code-Patch auf dem Rechensystem installiert werden kann.
  20. Vorrichtung nach einem der Ansprüche 13 bis 19, bei welcher der Code-Patch in der Lage ist, der zweiten Benutzerkennung des Rechensystems vorübergehend zumindest die Teilmenge der ersten Vorrechte bereitzustellen, indem er Vorrechte der zweiten Benutzerkennung durch Ausführung eines Pseudorechnerprogramms vorübergehend auf Vorrechte erhöht, die zumindest der Teilmenge der ersten Vorrechte gleichwertig sind.
  21. Vorrichtung nach einem der Ansprüche 13 bis 20, bei dem der Dritte in die Lage versetzt wird, das Problem mit dem Rechensystem zu lösen, ohne auf das Rechensystem unter Verwendung der ersten Benutzerkennung zuzugreifen.
  22. Vorrichtung nach einem der Ansprüche 13 bis 21, bei dem der Dritte in die Lage versetzt wird, das Problem mit dem Rechensystem zu lösen, ohne auf das Passwort für die zweite Benutzerkennung unter Verwendung eines Passwort-Hinterlegungs-Dienstes zuzugreifen.
  23. Vorrichtung nach einem der Ansprüche 13 bis 22, bei dem ein Benutzer, der Kenntnis über das Passwort für die zweite vorbestimmte Benutzerkennung hat, nicht zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzen kann, wenn der Code-Patch nicht auf dem Rechensystem installiert ist.
  24. Vorrichtung nach einem der Ansprüche 13 bis 23, bei dem der den auf dem Rechensystem installierten Code-Patch bereitstellende Dritte nicht zumindest die Teilmenge der ersten Vorrechte für das Rechensystem besitzen kann, wenn ihm nicht das Passwort für die zweite Benutzerkennung bereitgestellt wird.
  25. Rechnerprogramm, das auf einem durch einen Rechner lesbaren Medium gespeicherten Rechnerprogrammcode umfasst, der, wenn er in ein Rechnersystem geladen und darauf ausgeführt wird, bewirkt, dass das Rechnersystem alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 12 durchführt.
DE112010003971.2T 2009-10-06 2010-08-31 Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung Active DE112010003971B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/574,562 US9043877B2 (en) 2009-10-06 2009-10-06 Temporarily providing higher privileges for computing system to user identifier
US12/574,562 2009-10-06
PCT/EP2010/062704 WO2011042260A1 (en) 2009-10-06 2010-08-31 Temporarily providing higher privileges for a computing system to a user identifier

Publications (2)

Publication Number Publication Date
DE112010003971T5 true DE112010003971T5 (de) 2013-01-03
DE112010003971B4 DE112010003971B4 (de) 2022-07-07

Family

ID=42983795

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112010003971.2T Active DE112010003971B4 (de) 2009-10-06 2010-08-31 Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung

Country Status (6)

Country Link
US (2) US9043877B2 (de)
JP (1) JP5579856B2 (de)
CN (1) CN102576395A (de)
DE (1) DE112010003971B4 (de)
GB (1) GB2486528B (de)
WO (1) WO2011042260A1 (de)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539229B2 (en) * 2008-04-28 2013-09-17 Novell, Inc. Techniques for secure data management in a distributed environment
US8250630B2 (en) * 2009-03-05 2012-08-21 Cisco Technology, Inc. Detecting unauthorized computer access
US9473555B2 (en) 2012-12-31 2016-10-18 The Nielsen Company (Us), Llc Apparatus, system and methods for portable device tracking using temporary privileged access
US9043877B2 (en) 2009-10-06 2015-05-26 International Business Machines Corporation Temporarily providing higher privileges for computing system to user identifier
US9069947B2 (en) * 2011-09-29 2015-06-30 Oracle International Corporation Privileged account manager, access management
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10211977B1 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US9667610B2 (en) 2013-09-19 2017-05-30 Oracle International Corporation Privileged account plug-in framework—network—connected objects
US9602545B2 (en) 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US10460119B2 (en) * 2016-02-26 2019-10-29 Intuit Inc. IDPS access-controlled and encrypted file system design
CN105809045A (zh) * 2016-03-15 2016-07-27 青岛海信移动通信技术股份有限公司 一种设备系统在数据重置时的处理方法和装置
US20190207946A1 (en) * 2016-12-20 2019-07-04 Google Inc. Conditional provision of access by interactive assistant modules
US11436417B2 (en) 2017-05-15 2022-09-06 Google Llc Providing access to user-controlled resources by automated assistants
US10127227B1 (en) 2017-05-15 2018-11-13 Google Llc Providing access to user-controlled resources by automated assistants
US10977361B2 (en) * 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
GB2563066B (en) 2017-06-02 2019-11-06 Avecto Ltd Computer device and method for managing privilege delegation
US10949559B1 (en) * 2017-06-23 2021-03-16 Intuit Inc. Repository-based privilege escalation for workflows
GB2566262B (en) 2017-09-01 2020-08-26 Avecto Ltd Managing installation of applications on a computer device
GB2566305B (en) 2017-09-08 2020-04-15 Avecto Ltd Computer device and method for controlling process components
GB2566949B (en) 2017-09-27 2020-09-09 Avecto Ltd Computer device and method for managing privilege delegation
GB2568919B (en) 2017-11-30 2020-07-15 Avecto Ltd Managing removal and modification of installed programs on a computer device
GB2570655B (en) 2018-01-31 2020-12-16 Avecto Ltd Managing privilege delegation on a server device
GB2573491B (en) 2018-02-08 2020-07-01 Avecto Ltd Managing privilege delegation on a computer device
GB2570924B (en) 2018-02-12 2021-06-16 Avecto Ltd Managing registry access on a computer device
GB2572977B (en) 2018-04-18 2020-04-22 Avecto Ltd Protecting a computer device from escalation of privilege attacks
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
WO2020032927A1 (en) 2018-08-07 2020-02-13 Google Llc Assembling and evaluating automated assistant responses for privacy concerns
GB2577067B (en) 2018-09-12 2021-01-13 Avecto Ltd Controlling applications by an application control system in a computer device
US11106825B1 (en) * 2020-11-10 2021-08-31 Netskope, Inc. Predetermined credential system for remote administrative operating system (OS) authorization and policy control

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1069788A3 (de) 1999-06-29 2003-10-29 Nortel Networks Limited Verfahren zur Erzeugung von Kennwörtern
US6775781B1 (en) * 1999-12-13 2004-08-10 Microsoft Corporation Administrative security systems and methods
US6832230B1 (en) * 1999-12-22 2004-12-14 Nokia Corporation Apparatus and associated method for downloading an application with a variable lifetime to a mobile terminal
US6990660B2 (en) 2000-09-22 2006-01-24 Patchlink Corporation Non-invasive automatic offsite patch fingerprinting and updating system and method
US7093125B2 (en) * 2001-05-08 2006-08-15 Hewlett-Packard Development Company, L.P. Rote based tool delegation
US7117529B1 (en) * 2001-10-22 2006-10-03 Intuit, Inc. Identification and authentication management
US20040040021A1 (en) * 2002-05-06 2004-02-26 Microsoft Corporation Method and system for keeping an application up-to-date
US7210144B2 (en) 2002-08-02 2007-04-24 Microsoft Corporation Method for monitoring and emulating privileged instructions of programs in a virtual machine
JP4499496B2 (ja) 2004-07-14 2010-07-07 三菱電機株式会社 エレベータ用巻上機
US7747998B2 (en) * 2004-08-31 2010-06-29 Microsoft Corporation Elevated patching
US20060080656A1 (en) * 2004-10-12 2006-04-13 Microsoft Corporation Methods and instructions for patch management
JP2006227786A (ja) * 2005-02-16 2006-08-31 Fuji Xerox Co Ltd 特権付与プログラム、コンピュータ、方法
US7617530B2 (en) 2005-04-22 2009-11-10 Microsoft Corporation Rights elevator
US7636851B2 (en) 2005-06-30 2009-12-22 Microsoft Corporation Providing user on computer operating system with full privileges token and limited privileges token
US7620995B2 (en) 2005-06-30 2009-11-17 Microsoft Corporation Identifying dependencies of an application upon a given security context
US7945942B2 (en) * 2005-07-15 2011-05-17 Microsoft Corporation System and methods for exchanging user interface data in a multi-user system
US20070033586A1 (en) * 2005-08-02 2007-02-08 International Business Machines Corporation Method for blocking the installation of a patch
US9144381B2 (en) * 2005-12-30 2015-09-29 LifeWIRE Corporation Mobile self-management compliance and notification method, system and computer program product
US20070168457A1 (en) * 2006-01-18 2007-07-19 International Business Machines Corporation Apparatus and method for addressing computer-related problems
US8490093B2 (en) 2006-02-03 2013-07-16 Microsoft Corporation Managed control of processes including privilege escalation
US20070256068A1 (en) 2006-05-01 2007-11-01 Microsoft Corporation Product updating with custom actions
US7757281B2 (en) 2006-06-09 2010-07-13 Microsoft Corporation Privilege restriction enforcement in a distributed system
DE102006029756A1 (de) 2006-06-27 2008-01-03 Deutsche Telekom Ag Verfahren zum Delegieren von Privilegien an eine niedriger-priviligierte Instanz durch eine höher-priviligierte Instanz
US7832004B2 (en) 2006-08-10 2010-11-09 Microsoft Corporation Secure privilege elevation by way of secure desktop on computing device
WO2008028287A1 (en) 2006-09-08 2008-03-13 Memory Experts International Inc. Automated security privilege setting for remote system users
US8136147B2 (en) 2007-04-16 2012-03-13 International Business Machines Corporation Privilege management
JP2008282298A (ja) 2007-05-14 2008-11-20 Panasonic Corp システム管理作業承認システム、システム管理作業承認方法及びそのプログラム
KR100874948B1 (ko) 2007-06-18 2008-12-19 한국전자통신연구원 권한 수준 위반 프로세스 관리 장치 및 방법
CN101359355B (zh) 2007-08-02 2010-07-14 芯微技术(深圳)有限公司 Windows系统下受限帐户提升用户权限的方法
US9043877B2 (en) 2009-10-06 2015-05-26 International Business Machines Corporation Temporarily providing higher privileges for computing system to user identifier

Also Published As

Publication number Publication date
JP5579856B2 (ja) 2014-08-27
WO2011042260A1 (en) 2011-04-14
GB201119843D0 (en) 2011-12-28
JP2013506924A (ja) 2013-02-28
GB2486528B (en) 2016-09-28
US9043877B2 (en) 2015-05-26
GB2486528A (en) 2012-06-20
US20110083163A1 (en) 2011-04-07
US9660990B2 (en) 2017-05-23
DE112010003971B4 (de) 2022-07-07
CN102576395A (zh) 2012-07-11
US20150256543A1 (en) 2015-09-10

Similar Documents

Publication Publication Date Title
DE112010003971T5 (de) Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung
DE102013022299B3 (de) Schutz globaler Register in einem Multithreaded-Prozessor
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE112011103829B4 (de) Verfahren und System zum Erzeugen einer virtuellen Maschine auf der Grundlage von Vorlagen
DE10392470B4 (de) System und Verfahren zum Ausführen von Initialisierungsbefehlen einer gesicherten Umgebung
DE69733914T2 (de) Verfahren und Vorrichtung zur dynamischen Klientenauthentifizierung in einem vernetzten Dateiensystem
DE60306663T2 (de) Verfahren, Vorrichtungen und Programme zur Regelung des Zugriffs auf Datenobjekte unter Verwendung von Sperren
DE102012210887B4 (de) Verfahren zum Einrichten einer sicher verwalteten Ausführungsumgebung für eine virtuelle Maschine und eine Computervorrichtung
DE112010004526T5 (de) System, Verfahren und Vorrichtung für eine Gleichzeitige Festlegung und Durchsetzung von Richtlinien zur Zugriffskontrolle und Integrität
WO2006053631A1 (de) Verfahren zur verwaltung einer zeitlich begrenzten lizenz an einer auf einer netzwerkkomponente ausführbaren rechnerapplikation
DE112005003493T5 (de) Verfahren zum Einrichten einer physischen Festplattenpartition
DE112018002954T5 (de) Bereitstellen eines konfigurationsabhängigen arbeitsablaufs
EP3696699B1 (de) Sichere und flexible firmwareaktualisierung in elektronischen geräten
DE102013102229A1 (de) Verfahren zum Ausführen von Tasks auf einem Produktions-Computersystem sowie Datenverarbeitungssystem
DE102021101826A1 (de) Zugriffsberechtigungen für speicherbereiche
DE102012203521A1 (de) Architektur mit zwei Vertrauenswürdigkeitsstufen
DE112019006676T5 (de) Blockchaintechnologie zur Regelung der Datenintegrität und zum Existenzbeweis bei Datenschutzsystemen
DE112021000376T5 (de) Vertrauensaufbau durch eskalation
DE102009014981A1 (de) Vorrichtung, System und Verfahren für die Modifikation einer Pre-Boot-Vorschrift
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
DE112012000780B4 (de) Verarbeiten von Berechtigungsprüfungsdaten
DE112021004115T5 (de) Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten
EP3588340B1 (de) Computerimplementiertes verfahren zum betreiben einer datenspeichereinrichtung
DE60315900T2 (de) Benutzerzugriff auf unternehmenseinheitendefinitionsregister
EP3373180A1 (de) Verfahren und computer mit einer sicherung gegen cyberkriminelle bedrohungen

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021000000

Ipc: G06F0021540000

R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final