moses-south
Goto Top

Installation von Spotify möglich - ohne Adminrechte in Domäne

Hallo Zusammen

Ich habe gestern eine erschreckende Entdeckung gemacht.

In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Wenn der Installer gestartet wird, legt sich das Programm unter folgendem Pfad ab:
"%AppData%\Roaming\Spotify"
Unter der Programmpfade, weder x86 noch x64, befindet sich nichts dergleichen....
Die Installation funktioniert sowohl unter Win7Pro/Ent als auch unter Win10Pro.
Bei der Installation meldet sich keine UAC. Einfach die exe downloaden (https://www.spotify.com/download/windows/), ausführen und schon ist das Programm vollständig installiert...
Auch unter Programme und Funktionen wird Spotify als installiert angezeigt.
6cab7f36e88869fd4267de98150f6d68
Der User kann hier das Programm auch selbstständig deinstallieren.

Natürlich habe ich gleich probiert, weitere Programme zu installieren, um auszuschliessen, dass es sich um einen Fehler in der Konfiguration der GPOs handelt. Aber bei alle 10 Versuchen mit diversen Programmen ist die Abfrage gekommen.

Das alles habe ich bei 3 Usern getestet. Immer das gleiche Ergebnis...

Jetzt tauchen bei mir natürlich ein paar Fragen auf:
  • Kennt ihr diesen Fall? Wie geht ihr damit um?
  • Wie kann ich das unterbinden?
Und weiter:
  • Gibt es noch mehr solcher Spezialisten?
  • Kann ich diese irgendwie abfangen, ohne gleich die Blacklist zu füllen und die Webseiten zu sperren? In Randzeiten dürfen die User ja den Dienst nutzen.

Grundsätzlich geht es mir nicht unbedingt um Spotify selbst, sondern um eine Schwachstelle, die ich eliminieren möchte.
Das exe ausgeführt werden können, muss ja logischerweise so bleiben. face-wink Auch die Schreibrechte beschränken macht ja keinen Sinn...
Aber Sorgen macht mir die ganze Geschichte schon.

Umgebung:
  • Domäne
  • Win2012r2
  • Clients Win 7Pro, 7Ent, 10Pro, alle in der Domäne
  • User haben sehr stark eingeschränkte Rechte auf den Clients
  • Managed mit MS Intune (So ist es mir auch erst aufgefallen)

Dann bin ich mal gespannt was ihr dazu wisst...

Grüsse
moses-south

Content-ID: 284342

Url: https://administrator.de/forum/installation-von-spotify-moeglich-ohne-adminrechte-in-domaene-284342.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

1Werner1
1Werner1 01.10.2015 aktualisiert um 12:03:43 Uhr
Goto Top
Moin moses-south,

kannst du denn auch andere Programme einfach so installieren?
Wenn das Programm spotify ein Zertifikat enthält, was alle Systeme akzeptieren,
könnte man sich so etwas vorstellen.

Das werde ich auch mal bei uns testen.

Gruss

Werner
moses-south
moses-south 01.10.2015 um 12:09:52 Uhr
Goto Top
Grüezi Werner

Bisher ist es ausschliesslich bei Spotify so...
Werde später noch mal eine Installation laufen lassen und den ProcessMonitor anwerfen. mal schauen wo der gute Installer sich überall einnistet...

Bin auf dein Ergebnis gespannt!

moses-south
Chonta
Chonta 01.10.2015 um 12:42:18 Uhr
Goto Top
Hallo,

überraschung Chrome würde Teilweise auch gehen (ging zumindest Früher) und blockt dan evtl MSI VErteilung (wenn es vor der Verteilung so schon installiert war)
Spotify und andere Programme dieser Art installieren sich dann aber nur im Benutzerkontext und nur für den jeweiligen Benutzer und nicht für alle.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instellieren.
Einzige Möglichkeit wäre es mit Aplocke rund dergleichen zu arbeitne und nur bestimmte Programme zu erlauben und alles andere zu verbieten.

Gruß

Chonta
moses-south
moses-south 01.10.2015 um 13:48:41 Uhr
Goto Top
Hallo Chonta

Das Programm war davor noch nie installiert. Es handelt sich um komplett frisch aufgesetzte Clients. Ich habe jetzt auch mal unterschiedliche AntiVirenProgramme ausprobiert (McAfee, Avira, WinDefender). Bei allen das gleiche Ergebnis.

Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instllieren.

Dagegen spricht eigentlich, dass es ausschliesslich bei Spotify funktioniert. Bei Chrome beschwert sich auch die UAC und möchte ein Adminkonto, so wie ich es auch bei Spotify erwartet habe...

Gruss

moses-south
Chonta
Chonta 01.10.2015 um 14:10:59 Uhr
Goto Top
Hallo,

wie gesagt früher ging es mit Chrome.
Wenn DU die MSI nimmst und Chrome schon drauf ist dann wirds nicht gehen.
Wenn Chrome noch nicht drauf ist und die exe verwendet wird kann es durchaus gehen.
Portableaps lassen sich ja auch ausführen.
Stutzig würde ich nur dan werden, wenn Spotify nun für alle Benutzer sofort verwendbar ist und ggf auch unter C:\Programme anzutreffen ist.

Gruß

Chonta
122573
122573 01.10.2015 um 15:45:11 Uhr
Goto Top
es geht bei allen Installern, die keine Ordner oder Systemdateien von SYSTEM ändern. Wenn Chromeinstall.exe keine Adminrechte hat, wird Chrome in Appdata\Roaming installiert.
Lochkartenstanzer
Lochkartenstanzer 01.10.2015 um 17:30:54 Uhr
Goto Top
Zitat von @moses-south:

Ich habe gestern eine erschreckende Entdeckung gemacht.

In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.

Dann habe eine Überaschung für Dich:

Es gibt tausende, wenn nicht gar hundertausende Programme, die man unter Windows ohne Adminrechte installieren kann. Solange Soltel spotify unerwünscht sein, muß man die Zugriffe auf das Internet einschränken. (und sich Cat9 zulegen).

lks
moses-south
moses-south 01.10.2015 um 21:47:14 Uhr
Goto Top
Hallo lks

Die Überraschung war definitiv groß...

Portable Apps war mir klar, also Programme ohne Installation.
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock face-smile
Man lernt nicht aus.

Dann wird es halt doch mit der Firewall gelöst, mehr Aufwand, aber dann zumindest sicher.

Danke für eure Aufklärung face-big-smile

Wünsche eine geruhsame Nacht.

Moses-south
Pago159
Pago159 02.10.2015 um 08:07:04 Uhr
Goto Top
Wir haben das ganze mit "Lumension Endpoint Security"gelöst.
Hier kannst du White-Lists erstellen, damit nur freigegebene Programme installiert werden können.
Alles was nicht erlaubt ist, wird direkt geblockt. Dafür musst du jedes Update / Programm erst einmal Scannen und dann freigeben.

Lg Pago
Lochkartenstanzer
Lochkartenstanzer 02.10.2015 um 08:50:58 Uhr
Goto Top
Zitat von @moses-south:

Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock face-smile

Es gibt in der Regsitry "zweige", die mit normalen Userrechten versehen sind.

Und Autostart gibt es die USerübergreifende udn die Usereigene. und in die Usereigene darf der User natürlich selbst schreiben. face-smile

Man lernt nicht aus.

Jepp. das ist das ganze Leben lang so. face-smile

lks