Installation von Software per Esc auf --Client-- möglich?
Hi Mitstreiter.
Gestern habe ich in einer kleinen Außenstelle 60 Notebooks auf W7 umgestellt. Natürlich durch ein Image.
Die Schüler melden sich lokal als Schüler an und haben nur Benutzerrechte. Auf den Notebooks ist nur der IE drauf.
Nachdem ich fertig war staute ich nicht schlecht als ich kurze Zeit drauf sah das ein Schüler schon fleißig Programme installiert hatte. Ein Messenger, Opera und FF und noch ein Paar.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog schließen kann und die Installation dennoch weiter geht?
Mache den Job jetzt schon sehr lange aber das ist mir neu. Das ist schon so perfide einfach das man da von selber nicht drauf kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Leider findet man zu dem Thema auch nichts im Netz.
Meine Frage wäre kann man das irgendwie unterbinden?
Gruß Maddoc
Gestern habe ich in einer kleinen Außenstelle 60 Notebooks auf W7 umgestellt. Natürlich durch ein Image.
Die Schüler melden sich lokal als Schüler an und haben nur Benutzerrechte. Auf den Notebooks ist nur der IE drauf.
Nachdem ich fertig war staute ich nicht schlecht als ich kurze Zeit drauf sah das ein Schüler schon fleißig Programme installiert hatte. Ein Messenger, Opera und FF und noch ein Paar.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog schließen kann und die Installation dennoch weiter geht?
Mache den Job jetzt schon sehr lange aber das ist mir neu. Das ist schon so perfide einfach das man da von selber nicht drauf kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Leider findet man zu dem Thema auch nichts im Netz.
Meine Frage wäre kann man das irgendwie unterbinden?
Gruß Maddoc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 237607
Url: https://administrator.de/forum/installation-von-software-per-esc-auf-client-moeglich-237607.html
Ausgedruckt am: 10.04.2025 um 04:04 Uhr
9 Kommentare
Neuester Kommentar
Zitat von @maddoc:
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
hat er tatsächlich das Admin-Paßwort? Dann ist es zu schwach gewählt.
Oder hat er es durch Utilities wie der offline registry Editor zurückgesetzt? Dann hast Du bei der Bootkonfiguration Mits gebaut (Booten von netz oder externem Medium erlaubt).
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Hat er tatsächlch nur esc-taste gedrückt oder noch mehr?
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog
schließen kann und die Installation dennoch weiter geht?
schließen kann und die Installation dennoch weiter geht?
Solange er die Programme im userspace installiert, braucht man gar keine Adminrichte!
Mache den Job jetzt schon sehr lange aber das ist mir neu.
wie heißt es sehr schön. Man lernt nie aus. Aber in diesem Fall hast Due einfach nur verpeilt, daß eingeschränkte benutzerrechte nciht bedeuten, daß man keine Programme installieren kann.
Das ist schon so perfide einfach das man da von selber nicht drauf
kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Wieso soll man da nciht drauf kommen, es gibt im Internet viele Programme, die einfach nur in einen Ordner entpackt werden und von dort aus laufen., z.B. die PortableApps. Das ist selbsverständlich, daß man auch als normaler benutzer Programme ausführen kann, wenn der Admin das nciht explizit verbietet.
Leider findet man zu dem Thema auch nichts im Netz.
Da gibt es auch ncihts dazu zu schreiben. Aber vermutlich hast du nach den falschen Stichworten gesucht.
Meine Frage wäre kann man das irgendwie unterbinden?
Ja. du kannst Durch policies festlegen, welche Programme genaud der benutzer überhaupt ausführen darf. Oder du kannst die Dinger im Kiosk-Mode betreiben, daß die halt nur den IE bentzen dürfen. Auf jeden fall ist das mit viel veraltungsarbeit verbunden.
Und Du kannst mit diversen LARTs das Verhalten der User an die Benutzungbedingungen anpassen, was die wirksamste Methode ist.
lks
Zitat von @maddoc:
Passwort hatte er natürlich nicht. Firefox installation gestartet, mit Esc den Admin Dialog weggemacht und schon ging die
Installation munter weiter und das Programm war drauf. Auch an einem anderen Notebook getestet. Geht wirklich.
Passwort hatte er natürlich nicht. Firefox installation gestartet, mit Esc den Admin Dialog weggemacht und schon ging die
Installation munter weiter und das Programm war drauf. Auch an einem anderen Notebook getestet. Geht wirklich.
Ad denn der Admn ein Paßwortß Und ist dann das programm wirklich für "alle user" installiert oder einfach nur für den betreffenden User. letzteres ist durchaus im Rahmen des Erlaubten, weil dann nur in die Userverzeichnisse geschrieben wird und nicht in Systemverzeichnisse.
lks
Zitat von @maddoc:
Dann wird es in nur für den User sein. War mir aber neu das das so möglich sit. Also könnte in einer Domäne
jeder Client die Software installieren die er für nötig hält. Finde ich nicht gut...
Dann wird es in nur für den User sein. War mir aber neu das das so möglich sit. Also könnte in einer Domäne
jeder Client die Software installieren die er für nötig hält. Finde ich nicht gut...
Dann mußt duer durch Policies oder Spezialsoftware festlegen, welche Programme die Benutzer starten dürfen udn welche nicht. ein INstaller ist auch nur ein Programm, das Daten in bestimmte Verzeichnisse schreibt udn ggf. ein paar Registry-einträge erzeugt.Solange das im Userspace geschieht, verhindert die default-Zugriffsrechte so etwas nciht.
lks
Zitat von @maddoc:
Naja, dann müsste man genau wissen was die User sich für Programme installieren. Glaub das würde eine unendliche
Geschichte werden.
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind????
So sollte es ja sein..
Naja, dann müsste man genau wissen was die User sich für Programme installieren. Glaub das würde eine unendliche
Geschichte werden.
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind????
So sollte es ja sein..
Dann mußt Du in den Policies eine Whitelist erstellen, d.h. welche Programme die benutzer nutzen dürfen. Ist aber auch relativ aufwendig. Deswegen mein Vorschlafg, den Kids auf die Finger zu hauen (bildlich gesprochen natürlich
Da das HalteProblem in der Informatik immer noch nicht gelöst ist, wird sich kein Programm finden, das entscheiden kann, ob Daten die gerade im Benutzerverzeichnis abgelegt werden ausführbarer Code (in irgendeiner Sprache) sind, oder einfach nur normale Daten.Daher kann man das Problem entweder nur Disziplinarisch oder per whitelist lösen.
lks
Hier noch ein Link zum Thema: http://www.thewindowsclub.com/how-to-prevent-users-from-installing-prog ...
ist aber kein 100%-chutz, weil man imemr noch potable Applikationen, ggf mit Tricks, ausführen kann.
ist aber kein 100%-chutz, weil man imemr noch potable Applikationen, ggf mit Tricks, ausführen kann.