neocrown
Goto Top

Administrator benachrichtigen bei versuch von Softwareinstallation auf Client

Hallo Admins

Ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich als Administrator benachrichtigt werde, wenn einer unserer Clients versucht etwas zu Installieren zB. Firef0x. Das heisst ich bekomme zB. ein Mail oder eine Box die mich benachrichtigt.

Danke für eure Hilfe!

Content-ID: 192191

Url: https://administrator.de/forum/administrator-benachrichtigen-bei-versuch-von-softwareinstallation-auf-client-192191.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

goscho
goscho 04.10.2012 um 10:30:29 Uhr
Goto Top
Moin,
Ich würde gerne wissen, ob es eine Möglichkeit gibt, dass ich als Administrator benachrichtigt werde, wenn einer unserer Clients versucht etwas zu Installieren zB. Firef0x. Das heisst ich bekomme zB. ein Mail oder eine Box die mich benachrichtigt.
Habt ihr eine Windows-Domäne, welche Betriebssystem setzt ihr denn ein?

Meine Kristallkugel sagt mal ihr nutzt Windows XP-Sieben und habt eine W2K3/W2K8 Domäne.
Ist die Kugel ihr Geld wert? face-big-smile

Wie das über Windows Boardmittel gelöst wird, einen Installationsversuch zu melden, kann ich dir nicht sagen.
Aber mal was anderes.
Sind denn die User Admins, dass sie überhaupt das Recht zur Installation von Software haben?
Andernfalls bekommen sie beim Anklicken der setup.exe eine Fehlermeldung und du musst dich nicht kümmern. face-wink

Wenn du wirklich alles richtig sichern möchtest (Anwendungen und Geräte), dann wäre eine Application- and Device-Control nicht verkehrt.
Einige Security-Produkte bringen diese mit, bspw. SEP von Symantec.
DerWoWusste
DerWoWusste 04.10.2012 aktualisiert um 10:41:28 Uhr
Goto Top
Ja, das geht, nutzen wir.
061b803d1ccaa3af8886b629e2fece9c
Das ist ein Screenshot eines Tasks des Aufgabenplaners, abgebildet ist der Eventtrigger, wie Du ihn einstellen musst. Als Aktion lassen wir uns dann per BLAT.exe eine Mail senden, die einen gedumpten Teil des Eventlogs schickt.

Mail sieht dann etwa so aus:
10/4/2012 09:33:44 4 0 1033 MsiInstaller domainname\NutzerDerInstallierthat rechnername.domain Das Produkt wurde durch Windows Installer installiert. Produktname: Kaspersky Endpoint Security 8 für Windows. Produktversion: 8.1.0.831. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Installation: 0.

Dumpen und mailen geht so:
\\server\progshare\dumpel\dumpel.exe -d 1 -e 1033 -f %temp%\dump.txt -l application -m MSIinstaller
\\server\progshare\blat\Blat -install Mailservername %computername%@domainname.de_whatever
\\server\progshare\blat\Blat "%temp%\dump.txt" -to @domainname.de_whatever -server Mailserver -debug -timestamp -subject "Installation fand statt***Syslogging"
NeoCrown
NeoCrown 04.10.2012 um 10:49:00 Uhr
Goto Top
Hallo Goscho,

Deine Kugel ist gut! ;)

Eigentlich ist es nur für zwei Benutzer. Normalerweise legen wir die Clients in die Administratorengruppe (Lokales System). Das Problem ist das diese 2 Clients in Irland stationiert sind und ich nicht andauernd Telefone entgegen nehmen will weil sie etwas Installieren wollen nur weil sie meine Berechtigung dafür brauchen. Diese Massnahme ziehen wir in betracht weil genau diese 2 Clients immer wieder Software Installieren die unserer Ansicht einfach nichts auf einem Arbeitsrechner zu suchen haben. Darum wäre es gut wenn ich eine kleine Meldung erhallte was er installieren will und ich mich danach einschalten kann mit einer Mail oder ähnliches.

grüsse
goscho
goscho 04.10.2012 um 11:08:16 Uhr
Goto Top
Zitat von @NeoCrown:
Hallo Goscho,

Deine Kugel ist gut! ;)
Habe ich mir gedacht.
Eigentlich ist es nur für zwei Benutzer. Normalerweise legen wir die Clients in die Administratorengruppe (Lokales System).
Das Problem ist das diese 2 Clients in Irland stationiert sind und ich nicht andauernd Telefone entgegen nehmen will
Täglich ein neues Telefon entgegennehmen, hat doch was. face-big-smile
weil sie etwas Installieren wollen nur weil sie meine Berechtigung dafür brauchen.
Warum müssen diese Leute denn installieren können?
Diese Massnahme ziehen wir in betracht weil genau diese 2 Clients immer wieder Software Installieren die unserer Ansicht einfach nichts auf einem Arbeitsrechner zu suchen haben.
Gib denen keine Adminrechte und wenn sie was installieren wollen, dann sollte eine Fernwartungssitzung (bspw. per Teamviewer) gestartet werden - fertig.
Darum wäre es gut wenn ich eine kleine Meldung erhallte was er installieren will und ich mich danach einschalten kann mit einer Mail oder ähnliches.
Sollen sie doch direkt (vorher) eine Nachricht senden, dass etwas installiert werden will.

@DerWoWusste
dein Trigger klappt aber nur, wenn das Programm mit dem Windows-Installer installiert wird. Sobald ein Programm eine eigene Installationsroutine mitbringt, gibt es keine Meldung. Wobei natürlich aktuell schon die meisten Anwendungen über den msiinstaller eingerichtet werden.
DerWoWusste
DerWoWusste 04.10.2012 aktualisiert um 11:15:57 Uhr
Goto Top
@goscho
Korrekt. Aber das passt wirklich für sehr, sehr viele. Man kann natürlich auch andere Events nehmen, die man durch Auditing erzeugt: Zugriff auf consent.exe oder Schreibzugriffe auf c:\program files usw.