Wie macht ihrs? Zentrales Update von Flash, Reader und Java
Als Systemadministrator einer großen Firma hat man es im Allgemeinen nicht einfach, alle seine Schäfchen "clean" zu halten.
Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.
Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.
Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.
Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.
Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.
Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162271
Url: https://administrator.de/contentid/162271
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
15 Kommentare
Neuester Kommentar
hi,
was Dir aber nicht garantiert das sie´s auch tun!
mfg
@ullic: Das Tool sieht sehr interessant aus. Ich würde es gerne testen, vielleicht kannst Du mir aber noch ein paar (ganz einfache ) Fragen beantworten:
- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
Spätestens wenn sie wärend der Arbeit kein Youtube mehr gucken können versuchen sie es;)
Hi,
Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.
Probier's einfach mal auf einem Testrechner/VM aus
- Ulli -
- Wie hoch Du als Einarbeitungsaufwand ein?
Minimal Auf jedem Rechner das Clienttool installieren, und auf einen zentralen Share die Files plus Steuerungsdateien (XML) kopieren. Alles sehr gut in einem Wiki-Dokumentiert.- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
Ich würde mal sagen ab 2 Vor allem da etliche Applikationen darüber verteilt werden können, genauso wie Einstellung geändert werden. Eine gute Übersicht ist unter http://wpkg.org/Category:Silent_Installers- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Minimal. Hängt natürlich vom Installer der jeweiligen Software ab. Gerade FF ist sehr pflegeleicht, bei jeder neuen Version, neue Revision eintragen, aktuellen Installer zum zentralen Share hochladen, fertig Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu
können wäre für mich sehr hilfreich...
Ich habe ungefähr eine halbe Stunde mit dem Lesen der Doku verbracht dann mal probeweise auf einem Testrechner den Clienten eingerichtet und getest. Alles in allem 2-3 Std. War sofort sehr zufrieden und hab dann nach und nach immer mehr Rechner mit eingehängt. Selbst bei seltenen Problemen (z.B. Tippfehler o.ä.) läuft alles weiter stabil, die WPKG-Clients überspringen dann einfach die fehlerhaften Einträge Zudem lässt sich zur Not natürlich auch alles per Hand updaten...können wäre für mich sehr hilfreich...
Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.
Probier's einfach mal auf einem Testrechner/VM aus
- Ulli -
Anmerkungen:
-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.
-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.
Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.
Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Secunia CSI bindet sich in WSUS ein und patcht diverse bekannte Softwares problemlos. Kostet allerdings pro Client Geld.-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.
-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.
Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.
Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
Hi.
War in der Tat offensiv gemeint, jedoch keineswegs aggressiv
Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).
War in der Tat offensiv gemeint, jedoch keineswegs aggressiv
Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Dass die Mitarbeiter es ergooglen ist nicht denkbar? Dann wollen sie es nicht - immerhin. Jedoch sind auch Hauptbenutzer zu stark um sicher zu sein. Schaff die ab, wenn möglich.Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).
Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Ich hab den Gedanken doch gut geheißen. In Frage stelle ich ihn dennoch, da viele Admins das Updaten überbewerten und dafür banale Dinge (wie Kennwörter oder die Vergabe von Hauptbenutzerrechten oder die physikalische Sicherheit) hintenan stellen. Für mich ist das Updaten von Anwendungen, die nicht vom Netzwerk aus angegriffen werden können (da sie nicht lauschen) ziemlich weit hinten anzusiedeln. Das ist mein Punkt, den ich rüberbringen wollte.
Was mich zu dem WPKG tool interessiert:
Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?
Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??
Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?
Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??