10
Installation von Spotify möglich - ohne Adminrechte in Domäne
Hallo Zusammen
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Wenn der Installer gestartet wird, legt sich das Programm unter folgendem Pfad ab:
"%AppData%\Roaming\Spotify"
Unter der Programmpfade, weder x86 noch x64, befindet sich nichts dergleichen....
Die Installation funktioniert sowohl unter Win7Pro/Ent als auch unter Win10Pro.
Bei der Installation meldet sich keine UAC. Einfach die exe downloaden (https://www.spotify.com/download/windows/), ausführen und schon ist das Programm vollständig installiert...
Auch unter Programme und Funktionen wird Spotify als installiert angezeigt.
Der User kann hier das Programm auch selbstständig deinstallieren.
Natürlich habe ich gleich probiert, weitere Programme zu installieren, um auszuschliessen, dass es sich um einen Fehler in der Konfiguration der GPOs handelt. Aber bei alle 10 Versuchen mit diversen Programmen ist die Abfrage gekommen.
Das alles habe ich bei 3 Usern getestet. Immer das gleiche Ergebnis...
Jetzt tauchen bei mir natürlich ein paar Fragen auf:
Grundsätzlich geht es mir nicht unbedingt um Spotify selbst, sondern um eine Schwachstelle, die ich eliminieren möchte.
Das exe ausgeführt werden können, muss ja logischerweise so bleiben.
Auch die Schreibrechte beschränken macht ja keinen Sinn...
Aber Sorgen macht mir die ganze Geschichte schon.
Umgebung:
Dann bin ich mal gespannt was ihr dazu wisst...
Grüsse
moses-south
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Wenn der Installer gestartet wird, legt sich das Programm unter folgendem Pfad ab:
"%AppData%\Roaming\Spotify"
Unter der Programmpfade, weder x86 noch x64, befindet sich nichts dergleichen....
Die Installation funktioniert sowohl unter Win7Pro/Ent als auch unter Win10Pro.
Bei der Installation meldet sich keine UAC. Einfach die exe downloaden (https://www.spotify.com/download/windows/), ausführen und schon ist das Programm vollständig installiert...
Auch unter Programme und Funktionen wird Spotify als installiert angezeigt.
Natürlich habe ich gleich probiert, weitere Programme zu installieren, um auszuschliessen, dass es sich um einen Fehler in der Konfiguration der GPOs handelt. Aber bei alle 10 Versuchen mit diversen Programmen ist die Abfrage gekommen.
Das alles habe ich bei 3 Usern getestet. Immer das gleiche Ergebnis...
Jetzt tauchen bei mir natürlich ein paar Fragen auf:
- Kennt ihr diesen Fall? Wie geht ihr damit um?
- Wie kann ich das unterbinden?
- Gibt es noch mehr solcher Spezialisten?
- Kann ich diese irgendwie abfangen, ohne gleich die Blacklist zu füllen und die Webseiten zu sperren? In Randzeiten dürfen die User ja den Dienst nutzen.
Grundsätzlich geht es mir nicht unbedingt um Spotify selbst, sondern um eine Schwachstelle, die ich eliminieren möchte.
Das exe ausgeführt werden können, muss ja logischerweise so bleiben.
Auch die Schreibrechte beschränken macht ja keinen Sinn...Aber Sorgen macht mir die ganze Geschichte schon.
Umgebung:
- Domäne
- Win2012r2
- Clients Win 7Pro, 7Ent, 10Pro, alle in der Domäne
- User haben sehr stark eingeschränkte Rechte auf den Clients
- Managed mit MS Intune (So ist es mir auch erst aufgefallen)
Dann bin ich mal gespannt was ihr dazu wisst...
Grüsse
moses-south
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284342
Url: https://administrator.de/contentid/284342
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Moin moses-south,
kannst du denn auch andere Programme einfach so installieren?
Wenn das Programm spotify ein Zertifikat enthält, was alle Systeme akzeptieren,
könnte man sich so etwas vorstellen.
Das werde ich auch mal bei uns testen.
Gruss
Werner
kannst du denn auch andere Programme einfach so installieren?
Wenn das Programm spotify ein Zertifikat enthält, was alle Systeme akzeptieren,
könnte man sich so etwas vorstellen.
Das werde ich auch mal bei uns testen.
Gruss
Werner
Grüezi Werner
Bisher ist es ausschliesslich bei Spotify so...
Werde später noch mal eine Installation laufen lassen und den ProcessMonitor anwerfen. mal schauen wo der gute Installer sich überall einnistet...
Bin auf dein Ergebnis gespannt!
moses-south
Bisher ist es ausschliesslich bei Spotify so...
Werde später noch mal eine Installation laufen lassen und den ProcessMonitor anwerfen. mal schauen wo der gute Installer sich überall einnistet...
Bin auf dein Ergebnis gespannt!
moses-south
Hallo,
überraschung Chrome würde Teilweise auch gehen (ging zumindest Früher) und blockt dan evtl MSI VErteilung (wenn es vor der Verteilung so schon installiert war)
Spotify und andere Programme dieser Art installieren sich dann aber nur im Benutzerkontext und nur für den jeweiligen Benutzer und nicht für alle.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instellieren.
Einzige Möglichkeit wäre es mit Aplocke rund dergleichen zu arbeitne und nur bestimmte Programme zu erlauben und alles andere zu verbieten.
Gruß
Chonta
überraschung Chrome würde Teilweise auch gehen (ging zumindest Früher) und blockt dan evtl MSI VErteilung (wenn es vor der Verteilung so schon installiert war)
Spotify und andere Programme dieser Art installieren sich dann aber nur im Benutzerkontext und nur für den jeweiligen Benutzer und nicht für alle.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instellieren.
Einzige Möglichkeit wäre es mit Aplocke rund dergleichen zu arbeitne und nur bestimmte Programme zu erlauben und alles andere zu verbieten.
Gruß
Chonta
Hallo Chonta
Das Programm war davor noch nie installiert. Es handelt sich um komplett frisch aufgesetzte Clients. Ich habe jetzt auch mal unterschiedliche AntiVirenProgramme ausprobiert (McAfee, Avira, WinDefender). Bei allen das gleiche Ergebnis.
Dagegen spricht eigentlich, dass es ausschliesslich bei Spotify funktioniert. Bei Chrome beschwert sich auch die UAC und möchte ein Adminkonto, so wie ich es auch bei Spotify erwartet habe...
Gruss
moses-south
Das Programm war davor noch nie installiert. Es handelt sich um komplett frisch aufgesetzte Clients. Ich habe jetzt auch mal unterschiedliche AntiVirenProgramme ausprobiert (McAfee, Avira, WinDefender). Bei allen das gleiche Ergebnis.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instllieren.
Dagegen spricht eigentlich, dass es ausschliesslich bei Spotify funktioniert. Bei Chrome beschwert sich auch die UAC und möchte ein Adminkonto, so wie ich es auch bei Spotify erwartet habe...
Gruss
moses-south
Hallo,
wie gesagt früher ging es mit Chrome.
Wenn DU die MSI nimmst und Chrome schon drauf ist dann wirds nicht gehen.
Wenn Chrome noch nicht drauf ist und die exe verwendet wird kann es durchaus gehen.
Portableaps lassen sich ja auch ausführen.
Stutzig würde ich nur dan werden, wenn Spotify nun für alle Benutzer sofort verwendbar ist und ggf auch unter C:\Programme anzutreffen ist.
Gruß
Chonta
wie gesagt früher ging es mit Chrome.
Wenn DU die MSI nimmst und Chrome schon drauf ist dann wirds nicht gehen.
Wenn Chrome noch nicht drauf ist und die exe verwendet wird kann es durchaus gehen.
Portableaps lassen sich ja auch ausführen.
Stutzig würde ich nur dan werden, wenn Spotify nun für alle Benutzer sofort verwendbar ist und ggf auch unter C:\Programme anzutreffen ist.
Gruß
Chonta
es geht bei allen Installern, die keine Ordner oder Systemdateien von SYSTEM ändern. Wenn Chromeinstall.exe keine Adminrechte hat, wird Chrome in Appdata\Roaming installiert.
Zitat von @moses-south:
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Dann habe eine Überaschung für Dich:
Es gibt tausende, wenn nicht gar hundertausende Programme, die man unter Windows ohne Adminrechte installieren kann. Solange Soltel spotify unerwünscht sein, muß man die Zugriffe auf das Internet einschränken. (und sich Cat9 zulegen).
lks
Hallo lks
Die Überraschung war definitiv groß...
Portable Apps war mir klar, also Programme ohne Installation.
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Man lernt nicht aus.
Dann wird es halt doch mit der Firewall gelöst, mehr Aufwand, aber dann zumindest sicher.
Danke für eure Aufklärung
Wünsche eine geruhsame Nacht.
Moses-south
Die Überraschung war definitiv groß...
Portable Apps war mir klar, also Programme ohne Installation.
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Man lernt nicht aus.
Dann wird es halt doch mit der Firewall gelöst, mehr Aufwand, aber dann zumindest sicher.
Danke für eure Aufklärung
Wünsche eine geruhsame Nacht.
Moses-south
Wir haben das ganze mit "Lumension Endpoint Security"gelöst.
Hier kannst du White-Lists erstellen, damit nur freigegebene Programme installiert werden können.
Alles was nicht erlaubt ist, wird direkt geblockt. Dafür musst du jedes Update / Programm erst einmal Scannen und dann freigeben.
Lg Pago
Hier kannst du White-Lists erstellen, damit nur freigegebene Programme installiert werden können.
Alles was nicht erlaubt ist, wird direkt geblockt. Dafür musst du jedes Update / Programm erst einmal Scannen und dann freigeben.
Lg Pago
Zitat von @moses-south:
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Es gibt in der Regsitry "zweige", die mit normalen Userrechten versehen sind.
Und Autostart gibt es die USerübergreifende udn die Usereigene. und in die Usereigene darf der User natürlich selbst schreiben.
Man lernt nicht aus.
Jepp. das ist das ganze Leben lang so.
lks
