kloppi
Goto Top

Softwareinstallation per GPO verbieten

Hallo liebe Leute face-smile

Ich suche einen Weg generell Softwareinstallationen per GPO zu verbieten.

Bis jetzt war alles etwas Hippie mäsig aufgebaut. User mit lokalen Adminrechten weil man sie nicht einschränken wollte.
Leider wurde es mir letzte Woche zu bunt, als auf einer Maschine aufeinmal eine andere Startseite in den "Ziel" Pfad im Internetbrowser eingetragen war.
Sowas passiert ja nicht einfach so.

Der DAU wusste natürlich nicht wie das passieren konnte und war auch ganz überrascht *Augenroll*. Das Problem war schnell behoben, jedoch will ich nichtmehr dass sowas passiert.

Deswegen will ich jetzt mehr in Richtung Fort Knox gehen und den Usern alle rechte entziehen welche sie nicht unbedingt zum Arbeiten brauchen.

Jetzt stehe ich aber vor der Frage, wie ich Softwareinstallationen unterbinde?
Durch das nehmen der Admin-Rechte sind schonmal einige installationen lahmgelegt, was jedoch ganz hartnäckig weiterinstalliert sind die MSI Dateien. Einige Installer lassen sich auch nicht abschalten. Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.

Ganz abschalten (die Funktion habe ich bereits gefunden) will ich es nicht, da ich gerne hätte, dass einfach nur bei einer Installation die eingabe der Admindaten gefordert wird.

Einige Installer lassen sich auch nicht abschalten. Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.

Weis da jemand zufällig einen verlässlichen weg wie ich alles Sperren kann? Im Zweifelsfall auch durch komplettes abschalten der Funktionen?!

Grüßer euer Kloppi

Content-ID: 506765

Url: https://administrator.de/contentid/506765

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

certifiedit.net
certifiedit.net 19.10.2019 um 19:45:38 Uhr
Goto Top
Moin Kloppi,

warum so kompliziert? Mach die User einfach nur noch zu usern, dann können die auch nichts mehr installieren (ist aber nur der erste schritt für ein gelungenes Sicherheitskonzept).

Wenn wir mal gemeinsam das Netz analysieren sollen/wollen darfst mich gerne mal direkt anschreiben.

VIele Grüße,

Christian
Tezzla
Tezzla 19.10.2019 um 20:59:52 Uhr
Goto Top
Hallo,

nimm den Leuten die Adminrechte, konfiguriere Gruppenrichtlinien und persistente Settings für deine Software und setze Tools wie AppLocker und Co ein.
Dann ist auch Ruhe mit Software, die sich in Appdata etc reininstalliert, wie Chrome und Firefox.

Damit erschlägt man schonmal 90% aller Probleme.

VG
T
tikayevent
tikayevent 19.10.2019 um 22:39:34 Uhr
Goto Top
Das Problem mit dem Firefox ist ganz einfach: Dieser hat einen Wartungsdienst, der mit Systemrechten läuft. Sprich der kann installieren, wann und wo und wie er will. Um das zu lösen, müsste man den Wartungsdienst entfernen, was problemlos möglich ist.
Aber Achtung: Der beste Schutz vor Schadsoftware ist ein vollständig durchaktualisiertes System, also Betriebssystem, Treiber, Anwendungen. Einfach alles, was als ausführbare Datei irgendwie auf dem Rechner läuft. Virenschutz und Firewall sind nur eine Schutzweste (und wie man aus dem Film und Fernsehen weiß, halten Schutzwesten nicht alles ab und abgehaltene Kugeln tun trotzdem verdammt weh).

Das man manche MSI-Pakete installieren kann, ist normal. Diese laufen dann nur im Benutzerkontext. Vergleichbar wie eine Portable App.

Im ersten Schritt solltest du erstmal ein sauberes Basisimage erstellen, welches nur aus Betriebssystem, absoluter Basissoftware und den Wunscheinstellungen besteht. Weitergehende Software wird anschließend über das AD oder das Clientmanagement nachinstalliert. Damit hast du einen definierten Anfang. Wenn alle Benutzer lokale Admin-Rechte hatten, weißt du nicht, welcher Schaden durch Software, egal ob gut- oder bösartig, bereits entstanden ist und ob deine Wunschänderungen überhaupt eine Wirkung bringen.
DerWoWusste
DerWoWusste 20.10.2019 aktualisiert um 12:22:20 Uhr
Goto Top
Moin.

Ich suche einen Weg generell Softwareinstallationen per GPO zu verbieten.
Das kann man nicht, da es zuviele verschiedene Arten von Installern gibt. Dafür ist keine GPO vorgesehen.
Leider wurde es mir letzte Woche zu bunt, als auf einer Maschine aufeinmal eine andere Startseite in den "Ziel" Pfad im Internetbrowser eingetragen war. Sowas passiert ja nicht einfach so.
Das hat nichts mit Adminrechten oder Userrechten zu tun. Was der User selbst kann, kann auch die Malware, die er ausführt.
Durch das nehmen der Admin-Rechte sind schonmal einige installationen lahmgelegt...
die allermeisten sogar
...was jedoch ganz hartnäckig weiterinstalliert sind die MSI Dateien...
MSI-Dateien laufen zum Großteil nur mit Adminrechten, einige wenige auch mit Userrechten - aber das tut auch nichts zur Sache
Ganz kurios ist da der Firefox installer. Er fordert Admin-Rechte an, verweigert man sie dann installiert er sich aber trotzdem munter weiter.
Der FF will zusätzlich zum Browser einen Dienst zum Updaten installieren - nur dazu braucht er Adminrechte. Für das bloße installieren des Browsers ins Userprofil braucht er keine, deshalb macht er weiter (ohne Updatedienst)
Weis da jemand zufällig einen verlässlichen weg wie ich alles Sperren kann?
Das Installieren sollte gar nicht deine Sorge sein, sondern das Ausführen. Nur über Application Whitelisting (Software restriction Policies/AppLocker) kannst Du verhindern, dass Leute beliebige Software ausführen.
maretz
maretz 20.10.2019 um 14:44:33 Uhr
Goto Top
Ich würde es ggf. mal anders angehen. Wenn die Personen bisher alles durften und ab "morgen" nix mehr erzeugt das üblicherweise doch schon einiges an ärger....

Ich würde daher mal überlegen die Basis-Settings schon mal per GPO zu erstellen (Explorer-Settings,...) und denen die Admin-Rechte entziehen. Dann bist du schon direkt viel los - wenn wirklich jemand meint er möchte seine Startseite ändern -> HF, nach dem nächsten Neustart is das eh wieder weg. Wenn neue Software installiert werden soll wird das System idR. schon meckern...

Wenn du dann immer noch merkst das es Probleme macht würde ich z.B. die Software ebenfalls via GPO verteilen lassen.

Zum Thema "Startseite ändern passiert nicht einfach so": Es passiert ggf. nicht automatisch aber solang genug Rechte da sind. Z.B. irgendeine Freeware die diesen Kram mit macht - natürlich nur weil sicher jeder Anwender dann die entsprechende Seite auch immer haben will... Es muss also nicht zwingend dafür in die Einstellungen gegangen worden sein - und das der ein oder andere Anwender da den Zusammenhang zwischen der SW-Installation / Update und der Startseite nicht sieht passiert schon mal...
mayho33
mayho33 21.10.2019 aktualisiert um 01:43:46 Uhr
Goto Top
Wie viele hier schon geschrieben haben, reicht es den Benutzern die Administrativen Rechte zu entziehen.

Zusätzlich kannst du per GPO einschränken ob z. B. die Startseite geändert werden kann oder nicht, bzw. eine festlegen. Die wird bei jeder Anmeldung gesetzt.

Wo wirklich Adminrechte benötigt werden (Autocad ist so ein Kandidat) kannst du die Rechte auf den Installations-Pfad anpassen.

MSI: Die meisten MSIs benötigen administrative Rechte für eine Installation. Würde meinen 98 % Der Rest installiert sich ins UserProfil.
ActiveSetups können immer ausgeführt werden. Die MSI handelt aber selbst was im Kontext des Benutzers möglich ist. Da brauchst du dir keine Sorgen zu machen.

Firefox Wartungsdienst: Einfach deinstallieren oder die Exe löschen. Dann gibt's auch keine Wartung.

AppLocker wäre ein heißer Tipp um zu kontrollieren was installiert bzw. ausgeführt werden kann.
ArnoNymous
ArnoNymous 21.10.2019 um 11:23:51 Uhr
Goto Top
Moin,

keine Adminrechte für User und "Software Restriction Policies" sind das Stichwort.

Gruß
Kloppi
Kloppi 22.10.2019 um 09:05:16 Uhr
Goto Top
Hallo liebe Leute,

Vielen dank für die Vielen Hilfreichen Antworten =)

Im prinzip hatte ich mit all den Einstellungen schon rumgespielt.
Das mit den MSI Dateien war mir auch fast klar, ist mir jedoch immernoch ein Dorn im Auge.

Aber nach ausgiebigem Testen sind wirklich nurnoch eine Hand voll MSI Dateien ausführbar und sonst nix.
Das mit Firefox passt. Aktualisiern soll er ja. Nur das Installerpaket das man herunterladen kann hat weiterinstalliert.
Das ist mir aber eigentlich auch recht. Wenn sie Firefox über Firefox drüberinstallieren wollen...why Not?! :D

Über APPLOCKER habe ich auch alle Programmpfade außer Windows und ProgramFiles gesperrt.

Ein CleanImage überall aufzuspielen wäre zwar schön aber leider nicht Praktikabel.
Zur Erklärung:
Ich manage das Netzwerk als Nebenjob bei einer kleineren Firma (8 Mitarbeiter) von einem Freund. Die Firma ist 300Km entfernt, daher muss alles sicher aus der Entfernung erledigbar sein. Daher ist man in vielen recht eingeschränkt :D
Die bitte des FortKnox kam auch vom Chef direkt von daher ist es mir egal ob es Ärger bei den Usern erzeugt oder nicht :D Ich richte ein was mir gesagt wird. Die sollen ja schlieslich Arbeiten und nicht Zocken :D

Im Großen und ganzen bin ich soweit Zufrieden. Habe gestern auf einem Laptop den Wlan Treiber aktualisiert und dafür ca 5mal mit den Admin Daten die ausführung bestätigen müssen.
Ich denke das Passt so :D

Grüße euer Kloppi