Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Softwareinstallation per GPO verbieten

Mitglied: Kloppi

Kloppi (Level 1) - Jetzt verbinden

19.10.2019 um 19:43 Uhr, 684 Aufrufe, 8 Kommentare

Hallo liebe Leute

Ich suche einen Weg generell Softwareinstallationen per GPO zu verbieten.

Bis jetzt war alles etwas Hippie mäsig aufgebaut. User mit lokalen Adminrechten weil man sie nicht einschränken wollte.
Leider wurde es mir letzte Woche zu bunt, als auf einer Maschine aufeinmal eine andere Startseite in den "Ziel" Pfad im Internetbrowser eingetragen war.
Sowas passiert ja nicht einfach so.

Der DAU wusste natürlich nicht wie das passieren konnte und war auch ganz überrascht *Augenroll*. Das Problem war schnell behoben, jedoch will ich nichtmehr dass sowas passiert.

Deswegen will ich jetzt mehr in Richtung Fort Knox gehen und den Usern alle rechte entziehen welche sie nicht unbedingt zum Arbeiten brauchen.

Jetzt stehe ich aber vor der Frage, wie ich Softwareinstallationen unterbinde?
Durch das nehmen der Admin-Rechte sind schonmal einige installationen lahmgelegt, was jedoch ganz hartnäckig weiterinstalliert sind die MSI Dateien. Einige Installer lassen sich auch nicht abschalten. Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.

Ganz abschalten (die Funktion habe ich bereits gefunden) will ich es nicht, da ich gerne hätte, dass einfach nur bei einer Installation die eingabe der Admindaten gefordert wird.

Einige Installer lassen sich auch nicht abschalten. Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.

Weis da jemand zufällig einen verlässlichen weg wie ich alles Sperren kann? Im Zweifelsfall auch durch komplettes abschalten der Funktionen?!

Grüßer euer Kloppi
Mitglied: certifiedit.net
19.10.2019 um 19:45 Uhr
Moin Kloppi,

warum so kompliziert? Mach die User einfach nur noch zu usern, dann können die auch nichts mehr installieren (ist aber nur der erste schritt für ein gelungenes Sicherheitskonzept).

Wenn wir mal gemeinsam das Netz analysieren sollen/wollen darfst mich gerne mal direkt anschreiben.

VIele Grüße,

Christian
Bitte warten ..
Mitglied: Tezzla
19.10.2019 um 20:59 Uhr
Hallo,

nimm den Leuten die Adminrechte, konfiguriere Gruppenrichtlinien und persistente Settings für deine Software und setze Tools wie AppLocker und Co ein.
Dann ist auch Ruhe mit Software, die sich in Appdata etc reininstalliert, wie Chrome und Firefox.

Damit erschlägt man schonmal 90% aller Probleme.

VG
T
Bitte warten ..
Mitglied: tikayevent
19.10.2019 um 22:39 Uhr
Das Problem mit dem Firefox ist ganz einfach: Dieser hat einen Wartungsdienst, der mit Systemrechten läuft. Sprich der kann installieren, wann und wo und wie er will. Um das zu lösen, müsste man den Wartungsdienst entfernen, was problemlos möglich ist.
Aber Achtung: Der beste Schutz vor Schadsoftware ist ein vollständig durchaktualisiertes System, also Betriebssystem, Treiber, Anwendungen. Einfach alles, was als ausführbare Datei irgendwie auf dem Rechner läuft. Virenschutz und Firewall sind nur eine Schutzweste (und wie man aus dem Film und Fernsehen weiß, halten Schutzwesten nicht alles ab und abgehaltene Kugeln tun trotzdem verdammt weh).

Das man manche MSI-Pakete installieren kann, ist normal. Diese laufen dann nur im Benutzerkontext. Vergleichbar wie eine Portable App.

Im ersten Schritt solltest du erstmal ein sauberes Basisimage erstellen, welches nur aus Betriebssystem, absoluter Basissoftware und den Wunscheinstellungen besteht. Weitergehende Software wird anschließend über das AD oder das Clientmanagement nachinstalliert. Damit hast du einen definierten Anfang. Wenn alle Benutzer lokale Admin-Rechte hatten, weißt du nicht, welcher Schaden durch Software, egal ob gut- oder bösartig, bereits entstanden ist und ob deine Wunschänderungen überhaupt eine Wirkung bringen.
Bitte warten ..
Mitglied: DerWoWusste
20.10.2019, aktualisiert um 12:22 Uhr
Moin.

Ich suche einen Weg generell Softwareinstallationen per GPO zu verbieten.
Das kann man nicht, da es zuviele verschiedene Arten von Installern gibt. Dafür ist keine GPO vorgesehen.
Leider wurde es mir letzte Woche zu bunt, als auf einer Maschine aufeinmal eine andere Startseite in den "Ziel" Pfad im Internetbrowser eingetragen war. Sowas passiert ja nicht einfach so.
Das hat nichts mit Adminrechten oder Userrechten zu tun. Was der User selbst kann, kann auch die Malware, die er ausführt.
Durch das nehmen der Admin-Rechte sind schonmal einige installationen lahmgelegt...
die allermeisten sogar
...was jedoch ganz hartnäckig weiterinstalliert sind die MSI Dateien...
MSI-Dateien laufen zum Großteil nur mit Adminrechten, einige wenige auch mit Userrechten - aber das tut auch nichts zur Sache
Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.
Der FF will zusätzlich zum Browser einen Dienst zum Updaten installieren - nur dazu braucht er Adminrechte. Für das bloße installieren des Browsers ins Userprofil braucht er keine, deshalb macht er weiter (ohne Updatedienst)
Weis da jemand zufällig einen verlässlichen weg wie ich alles Sperren kann?
Das Installieren sollte gar nicht deine Sorge sein, sondern das Ausführen. Nur über Application Whitelisting (Software restriction Policies/AppLocker) kannst Du verhindern, dass Leute beliebige Software ausführen.
Bitte warten ..
Mitglied: maretz
20.10.2019 um 14:44 Uhr
Ich würde es ggf. mal anders angehen. Wenn die Personen bisher alles durften und ab "morgen" nix mehr erzeugt das üblicherweise doch schon einiges an ärger....

Ich würde daher mal überlegen die Basis-Settings schon mal per GPO zu erstellen (Explorer-Settings,...) und denen die Admin-Rechte entziehen. Dann bist du schon direkt viel los - wenn wirklich jemand meint er möchte seine Startseite ändern -> HF, nach dem nächsten Neustart is das eh wieder weg. Wenn neue Software installiert werden soll wird das System idR. schon meckern...

Wenn du dann immer noch merkst das es Probleme macht würde ich z.B. die Software ebenfalls via GPO verteilen lassen.

Zum Thema "Startseite ändern passiert nicht einfach so": Es passiert ggf. nicht automatisch aber solang genug Rechte da sind. Z.B. irgendeine Freeware die diesen Kram mit macht - natürlich nur weil sicher jeder Anwender dann die entsprechende Seite auch immer haben will... Es muss also nicht zwingend dafür in die Einstellungen gegangen worden sein - und das der ein oder andere Anwender da den Zusammenhang zwischen der SW-Installation / Update und der Startseite nicht sieht passiert schon mal...
Bitte warten ..
Mitglied: mayho33
21.10.2019, aktualisiert um 01:43 Uhr
Wie viele hier schon geschrieben haben, reicht es den Benutzern die Administrativen Rechte zu entziehen.

Zusätzlich kannst du per GPO einschränken ob z. B. die Startseite geändert werden kann oder nicht, bzw. eine festlegen. Die wird bei jeder Anmeldung gesetzt.

Wo wirklich Adminrechte benötigt werden (Autocad ist so ein Kandidat) kannst du die Rechte auf den Installations-Pfad anpassen.

MSI: Die meisten MSIs benötigen administrative Rechte für eine Installation. Würde meinen 98 % Der Rest installiert sich ins UserProfil.
ActiveSetups können immer ausgeführt werden. Die MSI handelt aber selbst was im Kontext des Benutzers möglich ist. Da brauchst du dir keine Sorgen zu machen.

Firefox Wartungsdienst: Einfach deinstallieren oder die Exe löschen. Dann gibt's auch keine Wartung.

AppLocker wäre ein heißer Tipp um zu kontrollieren was installiert bzw. ausgeführt werden kann.
Bitte warten ..
Mitglied: ArnoNymous
21.10.2019 um 11:23 Uhr
Moin,

keine Adminrechte für User und "Software Restriction Policies" sind das Stichwort.

Gruß
Bitte warten ..
Mitglied: Kloppi
22.10.2019 um 09:05 Uhr
Hallo liebe Leute,

Vielen dank für die Vielen Hilfreichen Antworten =)

Im prinzip hatte ich mit all den Einstellungen schon rumgespielt.
Das mit den MSI Dateien war mir auch fast klar, ist mir jedoch immernoch ein Dorn im Auge.

Aber nach ausgiebigem Testen sind wirklich nurnoch eine Hand voll MSI Dateien ausführbar und sonst nix.
Das mit Firefox passt. Aktualisiern soll er ja. Nur das Installerpaket das man herunterladen kann hat weiterinstalliert.
Das ist mir aber eigentlich auch recht. Wenn sie Firefox über Firefox drüberinstallieren wollen...why Not?! :D

Über APPLOCKER habe ich auch alle Programmpfade außer Windows und ProgramFiles gesperrt.

Ein CleanImage überall aufzuspielen wäre zwar schön aber leider nicht Praktikabel.
Zur Erklärung:
Ich manage das Netzwerk als Nebenjob bei einer kleineren Firma (8 Mitarbeiter) von einem Freund. Die Firma ist 300Km entfernt, daher muss alles sicher aus der Entfernung erledigbar sein. Daher ist man in vielen recht eingeschränkt :D
Die bitte des FortKnox kam auch vom Chef direkt von daher ist es mir egal ob es Ärger bei den Usern erzeugt oder nicht :D Ich richte ein was mir gesagt wird. Die sollen ja schlieslich Arbeiten und nicht Zocken :D

Im Großen und ganzen bin ich soweit Zufrieden. Habe gestern auf einem Laptop den Wlan Treiber aktualisiert und dafür ca 5mal mit den Admin Daten die ausführung bestätigen müssen.
Ich denke das Passt so :D

Grüße euer Kloppi
Bitte warten ..
Ähnliche Inhalte
Windows Server
Softwareinstallation per GPO
Frage von Jan1986Windows Server4 Kommentare

Hallo, ich habe ein MSI FILE was ich gerne auf verschiedenen Computern über die GPO installieren würde. In der ...

Windows Server

GPO wird nicht angewendet (softwareinstallation)

Frage von IT-BieneWindows Server4 Kommentare

Hi Community, ich habe gestern versucht eine Software über die GPO zu installieren. Wie Sie sicher ahnen, hat das ...

Windows Server

Softwareinstallation über GPO keine Statusanzeige

Frage von lordofremixesWindows Server3 Kommentare

Hallo zusammen, vor kurzem habe ich mich ja in das Thema der Softwareinstallation per GPO einarbeiten müssen. (wir sind ...

Rechtliche Fragen

Gewährleistungspflicht des Systemhauses bei Softwareinstallation von Drittanbietern

gelöst Frage von PhysixxsRechtliche Fragen14 Kommentare

Hallo zusammen, ganz neu hier und schon folgende "knifflige" Situation Wir haben von knapp 9 Monaten eine Migration von ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 7 StundenHumor (lol)

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 17 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 23 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu34 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 727 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...