Installation von Spotify möglich - ohne Adminrechte in Domäne
Hallo Zusammen
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Wenn der Installer gestartet wird, legt sich das Programm unter folgendem Pfad ab:
"%AppData%\Roaming\Spotify"
Unter der Programmpfade, weder x86 noch x64, befindet sich nichts dergleichen....
Die Installation funktioniert sowohl unter Win7Pro/Ent als auch unter Win10Pro.
Bei der Installation meldet sich keine UAC. Einfach die exe downloaden (https://www.spotify.com/download/windows/), ausführen und schon ist das Programm vollständig installiert...
Auch unter Programme und Funktionen wird Spotify als installiert angezeigt.
Der User kann hier das Programm auch selbstständig deinstallieren.
Natürlich habe ich gleich probiert, weitere Programme zu installieren, um auszuschliessen, dass es sich um einen Fehler in der Konfiguration der GPOs handelt. Aber bei alle 10 Versuchen mit diversen Programmen ist die Abfrage gekommen.
Das alles habe ich bei 3 Usern getestet. Immer das gleiche Ergebnis...
Jetzt tauchen bei mir natürlich ein paar Fragen auf:
Grundsätzlich geht es mir nicht unbedingt um Spotify selbst, sondern um eine Schwachstelle, die ich eliminieren möchte.
Das exe ausgeführt werden können, muss ja logischerweise so bleiben. Auch die Schreibrechte beschränken macht ja keinen Sinn...
Aber Sorgen macht mir die ganze Geschichte schon.
Umgebung:
Dann bin ich mal gespannt was ihr dazu wisst...
Grüsse
moses-south
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Wenn der Installer gestartet wird, legt sich das Programm unter folgendem Pfad ab:
"%AppData%\Roaming\Spotify"
Unter der Programmpfade, weder x86 noch x64, befindet sich nichts dergleichen....
Die Installation funktioniert sowohl unter Win7Pro/Ent als auch unter Win10Pro.
Bei der Installation meldet sich keine UAC. Einfach die exe downloaden (https://www.spotify.com/download/windows/), ausführen und schon ist das Programm vollständig installiert...
Auch unter Programme und Funktionen wird Spotify als installiert angezeigt.
Der User kann hier das Programm auch selbstständig deinstallieren.
Natürlich habe ich gleich probiert, weitere Programme zu installieren, um auszuschliessen, dass es sich um einen Fehler in der Konfiguration der GPOs handelt. Aber bei alle 10 Versuchen mit diversen Programmen ist die Abfrage gekommen.
Das alles habe ich bei 3 Usern getestet. Immer das gleiche Ergebnis...
Jetzt tauchen bei mir natürlich ein paar Fragen auf:
- Kennt ihr diesen Fall? Wie geht ihr damit um?
- Wie kann ich das unterbinden?
- Gibt es noch mehr solcher Spezialisten?
- Kann ich diese irgendwie abfangen, ohne gleich die Blacklist zu füllen und die Webseiten zu sperren? In Randzeiten dürfen die User ja den Dienst nutzen.
Grundsätzlich geht es mir nicht unbedingt um Spotify selbst, sondern um eine Schwachstelle, die ich eliminieren möchte.
Das exe ausgeführt werden können, muss ja logischerweise so bleiben. Auch die Schreibrechte beschränken macht ja keinen Sinn...
Aber Sorgen macht mir die ganze Geschichte schon.
Umgebung:
- Domäne
- Win2012r2
- Clients Win 7Pro, 7Ent, 10Pro, alle in der Domäne
- User haben sehr stark eingeschränkte Rechte auf den Clients
- Managed mit MS Intune (So ist es mir auch erst aufgefallen)
Dann bin ich mal gespannt was ihr dazu wisst...
Grüsse
moses-south
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284342
Url: https://administrator.de/forum/installation-von-spotify-moeglich-ohne-adminrechte-in-domaene-284342.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
überraschung Chrome würde Teilweise auch gehen (ging zumindest Früher) und blockt dan evtl MSI VErteilung (wenn es vor der Verteilung so schon installiert war)
Spotify und andere Programme dieser Art installieren sich dann aber nur im Benutzerkontext und nur für den jeweiligen Benutzer und nicht für alle.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instellieren.
Einzige Möglichkeit wäre es mit Aplocke rund dergleichen zu arbeitne und nur bestimmte Programme zu erlauben und alles andere zu verbieten.
Gruß
Chonta
überraschung Chrome würde Teilweise auch gehen (ging zumindest Früher) und blockt dan evtl MSI VErteilung (wenn es vor der Verteilung so schon installiert war)
Spotify und andere Programme dieser Art installieren sich dann aber nur im Benutzerkontext und nur für den jeweiligen Benutzer und nicht für alle.
Im eignenen Profil hat der Benutzer schreibrechte und kann da auch Programme instellieren.
Einzige Möglichkeit wäre es mit Aplocke rund dergleichen zu arbeitne und nur bestimmte Programme zu erlauben und alles andere zu verbieten.
Gruß
Chonta
Hallo,
wie gesagt früher ging es mit Chrome.
Wenn DU die MSI nimmst und Chrome schon drauf ist dann wirds nicht gehen.
Wenn Chrome noch nicht drauf ist und die exe verwendet wird kann es durchaus gehen.
Portableaps lassen sich ja auch ausführen.
Stutzig würde ich nur dan werden, wenn Spotify nun für alle Benutzer sofort verwendbar ist und ggf auch unter C:\Programme anzutreffen ist.
Gruß
Chonta
wie gesagt früher ging es mit Chrome.
Wenn DU die MSI nimmst und Chrome schon drauf ist dann wirds nicht gehen.
Wenn Chrome noch nicht drauf ist und die exe verwendet wird kann es durchaus gehen.
Portableaps lassen sich ja auch ausführen.
Stutzig würde ich nur dan werden, wenn Spotify nun für alle Benutzer sofort verwendbar ist und ggf auch unter C:\Programme anzutreffen ist.
Gruß
Chonta
es geht bei allen Installern, die keine Ordner oder Systemdateien von SYSTEM ändern. Wenn Chromeinstall.exe keine Adminrechte hat, wird Chrome in Appdata\Roaming installiert.
Zitat von @moses-south:
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Ich habe gestern eine erschreckende Entdeckung gemacht.
In unserer Umgebung ist es möglich, Spotify zu installieren, ohne das der jeweilige User Adminrechte auf dem jeweiligen Client besitzt.
Dann habe eine Überaschung für Dich:
Es gibt tausende, wenn nicht gar hundertausende Programme, die man unter Windows ohne Adminrechte installieren kann. Solange Soltel spotify unerwünscht sein, muß man die Zugriffe auf das Internet einschränken. (und sich Cat9 zulegen).
lks
Zitat von @moses-south:
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Aber das es Programme gibt die sich brav in der registry eintragen, im Autostart, die Profile zumüllen... Das war ein Schock
Es gibt in der Regsitry "zweige", die mit normalen Userrechten versehen sind.
Und Autostart gibt es die USerübergreifende udn die Usereigene. und in die Usereigene darf der User natürlich selbst schreiben.
Man lernt nicht aus.
Jepp. das ist das ganze Leben lang so.
lks