e.eiswuerfel
23.05.2016
view2726
view10
0
Goto Top

Flash per msi zwangsweise entfernen?

FrageMicrosoftWindows Server
Hallo,
in unserem Netz ist Flash nicht (mehr) installiert. So weit, so gut.
Leider gibt es eine Anzahl Nutzer, die Admin-Rechte haben (müssen), und die, wenn irgendwas nicht gleich klappt, gerne mal auf den "Get Flash"-Button klicken...
Die Lösung, das über Abmahnungen zu regeln, scheidet leider ebenfalls aus.
Mir schwebt da eine Software vor, die den Rechner auf das Vorhandensein einer Flash-Installation prüft, und diese, am besten silent, noch besser mit mail an mich, entfernt. Das ganze auszurollen per msi wäre optimal. Gibt es sowas schon? Wäre ansonsten eine Marktlücke...
Schönen Dank
Ernst
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 305223

Url: https://administrator.de/forum/flash-per-msi-zwangsweise-entfernen-305223.html

Ausgedruckt am: 22.04.2025 um 07:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
129413
129413 23.05.2016 aktualisiert um 20:03:17 Uhr
Goto Top
http://www.74k.org/adobe-flash-player-activex-guid-product-codes
http://www.itninja.com/question/script-to-disable-flash-player-auto-upd ...

Gruß skybird
Dani
Dani 23.05.2016 aktualisiert um 20:09:49 Uhr
Goto Top
Moin,
ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
  • Durchläuft in der Registry den Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall nach der Beschreibung ala Adobe Flash durchsuchst.
  • Mit jedem Treffer wird der Uninstall-Befehl durchgeführt
  • Die Ausführung erfolgt über die Aufgabenplanung wenn ein bestimmtes Ereignis auftritt


Gruß,
Dani
E.Eiswuerfel
E.Eiswuerfel 23.05.2016 um 20:16:03 Uhr
Goto Top
Danke schon mal für die Anregungen, das Powershell-Script hatte ich beim Googeln schon gefunden, ich dachte aber an etwas, das ich nicht mit jeder Version wieder anfassen muss.
Momentan gefällt mir die Idee sehr gut, per GPO den Dienst zu stoppen. "Mein Flash-Player läuft nicht mehr!" "Soll er ja auch nicht!"
Dani
Dani 23.05.2016 um 21:17:56 Uhr
Goto Top
Moin,
ich dachte aber an etwas, das ich nicht mit jeder Version wieder anfassen muss.
Wenn du den Reg-Tree jedes Mal durchläufst, braucht es meiner Ansicht nach keine Anpassung mehr.

Momentan gefällt mir die Idee sehr gut, per GPO den Dienst zu stoppen. "Mein Flash-Player läuft nicht mehr!" "Soll er ja auch nicht!"
Welchen Dienst? Den Update Service? Dann wird der Player eben manuell installiert.

Ich würde das Problem eher an der Wurzel packen und prüfen warum Adminrechte erforderlich sind auf Produktivmaschinen.


Gruß,
Dani
colinardo
colinardo 23.05.2016 aktualisiert um 22:19:28 Uhr
Goto Top
Hallo @Dani, Ernst,
Zitat von @Dani:
ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
  • Durchläuft in der Registry den Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall nach der Beschreibung ala Adobe Flash durchsuchst.
  • Mit jedem Treffer wird der Uninstall-Befehl durchgeführt
Das hatte ich mal geskriptet, sollte noch funktionieren, da ich es jetzt nicht mehr getestet habe ohne Funktionsgarantie, Flash ist hier schon lange Geschichte deswegen kein Interesse mehr daran zu basteln face-wink.
$key = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall'  
$key64 = 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall'  
$entries = @()
$entries += gci $key | Get-ItemProperty | ?{$_.DisplayName -like '*Adobe Flash Player*'}  
if ((gwmi win32_operatingsystem).OSArchitecture -eq '64-Bit'){  
    $entries += gci $key64 | Get-ItemProperty | ?{$_.DisplayName -like '*Adobe Flash Player*'}  
}
$entries | %{
    write-host "Uninstalling $($_.DisplayName) ..." -f Green  
    if($_.UninstallString -match 'msiexec.exe'){  
        # msi version installer
        try{
            $guid = [regex]::Match($_.UninstallString,'(\{.*\})').Groups[1].Value  
            Start-Process 'msiexec.exe' -ArgumentList "/X$guid /quiet /qn"  
        }catch{}
    }else{
        # exe version installer
        try{
            $uiexe = [regex]::Match($_.UninstallString,'(?i)^(.*\.exe)').Groups[1].Value  
            Start-Process $uiexe -ArgumentList '-uninstall'  
        }catch{}
    }
}
(ACHTUNG: Muss natürlich (per task) elevated gestartet werden)
Ich würde das Problem eher an der Wurzel packen und prüfen warum Adminrechte erforderlich sind auf Produktivmaschinen.
Dem stimme ich ebenso uneingeschränkt zu face-smile

Grüße Uwe
heart1
kaiand1
kaiand1 24.05.2016 um 06:43:42 Uhr
Goto Top
Nun eine andere Möglichkeit wäre ja die Adobe Flash Seite zu Sperren bzw den Host/IP worüber der Intstaller die Flashdaten vom Hersteller holen möchte.
So wäre mehr Aufwand für den User nötig erstmal eine Version zu finden die nicht über die Hersteller Seite läuft.
Zudem bei den Get Flash Button ja "immer" die Herstellerseite genommen.
E.Eiswuerfel
E.Eiswuerfel 24.05.2016 um 09:02:01 Uhr
Goto Top
OK, DAS Skript kannte ich noch nicht. Werde ich mal auf einen Testrechner loslassen... Danke dafür!
Die Flash-Download-Seite werde ich sicher nicht sperren, dann holen sich die ihre Installationsdateien aus dubiosen Quellen und alles wird noch viel schlimmer.
Die Idee mit dem Dienst schien mir spontan einleuchtend, ist es aber wohl doch nicht...
Zu erklären, warum einige User Admin-Rechte haben müssen, würde hier zu weit führen. Ich sehe das wahrhaftig nicht gerne, kann daran aber im Moment nichts ändern und muss mit den Folgen leben. Das schließt auch Diskussionen mit ein, wieso bestimmte Dinge nicht auf den Rechnern sein sollen, und wieso sie dann doch drauf sind... Sowas automatisch wegzupusten erleichtert das zumindest.
DerWoWusste
DerWoWusste 24.05.2016 aktualisiert um 10:59:55 Uhr
Goto Top
Hi.

Wenn Du Leuten Adminrechte schon gibst, lass sie unterschreiben, dass sie diese nur für die von dir definierten Zwecke nutzen dürfen - andernfalls sind daraus entstehende Probleme von ihnen zu verwantworten.
Darüber hinaus kannst Du Software, die von Adobe signiert ist und flashplayer*.exe heißt(das Flash-Setup) blacklisten per Software restriction policy.
E.Eiswuerfel
E.Eiswuerfel 24.05.2016 um 13:03:09 Uhr
Goto Top
Das wäre ein guter Anfang. War mir bisher gar nicht klar, dass das geht. Nach (zu) kurzer Befassung mit der Materie habe ich aber mehr Fragen als Antworten, da muss ich wohl mal etwas tiefer einsteigen. Gibt es eventuell ein Tutorial oder sowas, das ich jetzt beim googeln übersehen habe?
DerWoWusste
DerWoWusste 24.05.2016 um 14:30:28 Uhr
Goto Top
Ich muss mich korrigieren, leider.

Du kannst mit Appocker so etwas erreichen, siehe für dieses konkrete Beispiel:
adm_1
adm_2
adm_3
Dies geht nicht mit Software restiction policies. Damit könntest Du lediglich von Adobe Signiertes komplett verweigern.
FrageMicrosoftWindows Server
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 62 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 37 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 32 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 32 KommentareYan2021NUC als NAS verwenden?Yan2021 - 28 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 26 Kommentaremorpheus82Lancom Router DHCP Zuweisungenmorpheus82 - 21 KommentareStefanKittelCVE am Ende?StefanKittel - 20 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 18 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareMT-Fan0815"Kreative" Tricks mit Mikrotik beim Telekom Glasfasermodem2MT-Fan0815 - 14 Kommentare