Administrator benachrichtigen bei versuch von Softwareinstallation auf Client
Hallo Admins
Ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich als Administrator benachrichtigt werde, wenn einer unserer Clients versucht etwas zu Installieren zB. Firef0x. Das heisst ich bekomme zB. ein Mail oder eine Box die mich benachrichtigt.
Danke für eure Hilfe!
Ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich als Administrator benachrichtigt werde, wenn einer unserer Clients versucht etwas zu Installieren zB. Firef0x. Das heisst ich bekomme zB. ein Mail oder eine Box die mich benachrichtigt.
Danke für eure Hilfe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192191
Url: https://administrator.de/forum/administrator-benachrichtigen-bei-versuch-von-softwareinstallation-auf-client-192191.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Meine Kristallkugel sagt mal ihr nutzt Windows XP-Sieben und habt eine W2K3/W2K8 Domäne.
Ist die Kugel ihr Geld wert?
Wie das über Windows Boardmittel gelöst wird, einen Installationsversuch zu melden, kann ich dir nicht sagen.
Aber mal was anderes.
Sind denn die User Admins, dass sie überhaupt das Recht zur Installation von Software haben?
Andernfalls bekommen sie beim Anklicken der setup.exe eine Fehlermeldung und du musst dich nicht kümmern.
Wenn du wirklich alles richtig sichern möchtest (Anwendungen und Geräte), dann wäre eine Application- and Device-Control nicht verkehrt.
Einige Security-Produkte bringen diese mit, bspw. SEP von Symantec.
Ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich als Administrator benachrichtigt werde, wenn einer unserer Clients versucht etwas zu Installieren zB. Firef0x. Das heisst ich bekomme zB. ein Mail oder eine Box die mich benachrichtigt.
Habt ihr eine Windows-Domäne, welche Betriebssystem setzt ihr denn ein?Meine Kristallkugel sagt mal ihr nutzt Windows XP-Sieben und habt eine W2K3/W2K8 Domäne.
Ist die Kugel ihr Geld wert?
Wie das über Windows Boardmittel gelöst wird, einen Installationsversuch zu melden, kann ich dir nicht sagen.
Aber mal was anderes.
Sind denn die User Admins, dass sie überhaupt das Recht zur Installation von Software haben?
Andernfalls bekommen sie beim Anklicken der setup.exe eine Fehlermeldung und du musst dich nicht kümmern.
Wenn du wirklich alles richtig sichern möchtest (Anwendungen und Geräte), dann wäre eine Application- and Device-Control nicht verkehrt.
Einige Security-Produkte bringen diese mit, bspw. SEP von Symantec.
Ja, das geht, nutzen wir.
Das ist ein Screenshot eines Tasks des Aufgabenplaners, abgebildet ist der Eventtrigger, wie Du ihn einstellen musst. Als Aktion lassen wir uns dann per BLAT.exe eine Mail senden, die einen gedumpten Teil des Eventlogs schickt.
Mail sieht dann etwa so aus:
10/4/2012 09:33:44 4 0 1033 MsiInstaller domainname\NutzerDerInstallierthat rechnername.domain Das Produkt wurde durch Windows Installer installiert. Produktname: Kaspersky Endpoint Security 8 für Windows. Produktversion: 8.1.0.831. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 0.
Dumpen und mailen geht so:
\\server\progshare\dumpel\dumpel.exe -d 1 -e 1033 -f %temp%\dump.txt -l application -m MSIinstaller
\\server\progshare\blat\Blat -install Mailservername %computername%@domainname.de_whatever
\\server\progshare\blat\Blat "%temp%\dump.txt" -to @domainname.de_whatever -server Mailserver -debug -timestamp -subject "Installation fand statt***Syslogging"
Das ist ein Screenshot eines Tasks des Aufgabenplaners, abgebildet ist der Eventtrigger, wie Du ihn einstellen musst. Als Aktion lassen wir uns dann per BLAT.exe eine Mail senden, die einen gedumpten Teil des Eventlogs schickt.
Mail sieht dann etwa so aus:
10/4/2012 09:33:44 4 0 1033 MsiInstaller domainname\NutzerDerInstallierthat rechnername.domain Das Produkt wurde durch Windows Installer installiert. Produktname: Kaspersky Endpoint Security 8 für Windows. Produktversion: 8.1.0.831. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 0.
Dumpen und mailen geht so:
\\server\progshare\dumpel\dumpel.exe -d 1 -e 1033 -f %temp%\dump.txt -l application -m MSIinstaller
\\server\progshare\blat\Blat -install Mailservername %computername%@domainname.de_whatever
\\server\progshare\blat\Blat "%temp%\dump.txt" -to @domainname.de_whatever -server Mailserver -debug -timestamp -subject "Installation fand statt***Syslogging"
Habe ich mir gedacht.
@DerWoWusste
dein Trigger klappt aber nur, wenn das Programm mit dem Windows-Installer installiert wird. Sobald ein Programm eine eigene Installationsroutine mitbringt, gibt es keine Meldung. Wobei natürlich aktuell schon die meisten Anwendungen über den msiinstaller eingerichtet werden.
Eigentlich ist es nur für zwei Benutzer. Normalerweise legen wir die Clients in die Administratorengruppe (Lokales System).
Das Problem ist das diese 2 Clients in Irland stationiert sind und ich nicht andauernd Telefone entgegen nehmen will
Täglich ein neues Telefon entgegennehmen, hat doch was. Das Problem ist das diese 2 Clients in Irland stationiert sind und ich nicht andauernd Telefone entgegen nehmen will
weil sie etwas Installieren wollen nur weil sie meine Berechtigung dafür brauchen.
Warum müssen diese Leute denn installieren können?Diese Massnahme ziehen wir in betracht weil genau diese 2 Clients immer wieder Software Installieren die unserer Ansicht einfach nichts auf einem Arbeitsrechner zu suchen haben.
Gib denen keine Adminrechte und wenn sie was installieren wollen, dann sollte eine Fernwartungssitzung (bspw. per Teamviewer) gestartet werden - fertig.Darum wäre es gut wenn ich eine kleine Meldung erhallte was er installieren will und ich mich danach einschalten kann mit einer Mail oder ähnliches.
Sollen sie doch direkt (vorher) eine Nachricht senden, dass etwas installiert werden will.@DerWoWusste
dein Trigger klappt aber nur, wenn das Programm mit dem Windows-Installer installiert wird. Sobald ein Programm eine eigene Installationsroutine mitbringt, gibt es keine Meldung. Wobei natürlich aktuell schon die meisten Anwendungen über den msiinstaller eingerichtet werden.
@goscho
Korrekt. Aber das passt wirklich für sehr, sehr viele. Man kann natürlich auch andere Events nehmen, die man durch Auditing erzeugt: Zugriff auf consent.exe oder Schreibzugriffe auf c:\program files usw.
Korrekt. Aber das passt wirklich für sehr, sehr viele. Man kann natürlich auch andere Events nehmen, die man durch Auditing erzeugt: Zugriff auf consent.exe oder Schreibzugriffe auf c:\program files usw.