15
Wie macht ihrs? Zentrales Update von Flash, Reader und Java
Als Systemadministrator einer großen Firma hat man es im Allgemeinen nicht einfach, alle seine Schäfchen "clean" zu halten.
Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.
Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.
Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.
Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.
Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.
Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162271
Url: https://administrator.de/contentid/162271
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Ich habe in der Registry dem User die Rechte auf die Schlüssel gegeben die die Programme zur Installation benötigen.
Die benötigten Schlüssel findest du auf der Seite der Sotwarehersteller nach einigem zuschen.
Dann sind die User in der Laage die Updates selbst durchzuführen...
Ich habe in der Registry dem User die Rechte auf die Schlüssel gegeben die die Programme zur Installation benötigen.
Die benötigten Schlüssel findest du auf der Seite der Sotwarehersteller nach einigem zuschen.
Dann sind die User in der Laage die Updates selbst durchzuführen...
hi,
was Dir aber nicht garantiert das sie´s auch tun!
mfg
@ullic: Das Tool sieht sehr interessant aus. Ich würde es gerne testen, vielleicht kannst Du mir aber noch ein paar (ganz einfache 
) Fragen beantworten:
- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
) Fragen beantworten:- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
Spätestens wenn sie wärend der Arbeit kein Youtube mehr gucken können versuchen sie es;)
Hi,
Auf jedem Rechner das Clienttool installieren, und auf einen zentralen Share die Files plus Steuerungsdateien (XML) kopieren. Alles sehr gut in einem Wiki-Dokumentiert.
Vor allem da etliche Applikationen darüber verteilt werden können, genauso wie Einstellung geändert werden. Eine gute Übersicht ist unter http://wpkg.org/Category:Silent_Installers
Zudem lässt sich zur Not natürlich auch alles per Hand updaten...
Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.
Probier's einfach mal auf einem Testrechner/VM aus
- Ulli -
- Wie hoch Du als Einarbeitungsaufwand ein?
Minimal Auf jedem Rechner das Clienttool installieren, und auf einen zentralen Share die Files plus Steuerungsdateien (XML) kopieren. Alles sehr gut in einem Wiki-Dokumentiert.- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
Ich würde mal sagen ab 2 Vor allem da etliche Applikationen darüber verteilt werden können, genauso wie Einstellung geändert werden. Eine gute Übersicht ist unter http://wpkg.org/Category:Silent_Installers- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Minimal. Hängt natürlich vom Installer der jeweiligen Software ab. Gerade FF ist sehr pflegeleicht, bei jeder neuen Version, neue Revision eintragen, aktuellen Installer zum zentralen Share hochladen, fertig Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu
können wäre für mich sehr hilfreich...
Ich habe ungefähr eine halbe Stunde mit dem Lesen der Doku verbracht dann mal probeweise auf einem Testrechner den Clienten eingerichtet und getest. Alles in allem 2-3 Std. War sofort sehr zufrieden und hab dann nach und nach immer mehr Rechner mit eingehängt. Selbst bei seltenen Problemen (z.B. Tippfehler o.ä.) läuft alles weiter stabil, die WPKG-Clients überspringen dann einfach die fehlerhaften Einträge können wäre für mich sehr hilfreich...
Zudem lässt sich zur Not natürlich auch alles per Hand updaten...Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.
Probier's einfach mal auf einem Testrechner/VM aus
- Ulli -
Vielen Dank Ulli, das mache ich.
Sehe ich richtig, dass die WPKG-Server-Komponenten gar nicht auf einem Windows-OS "installiert" werden müssen, da sie nicht aktiv sondern passiv laufen ?
Man könnte sie daher ja einfach auf einem beliebigen Fileserver ablegen, wie z.B. ein NAS ?
Man könnte sie daher ja einfach auf einem beliebigen Fileserver ablegen, wie z.B. ein NAS ?
Yep. Muss nur als Windows-Share erreichbar sein. Die "Server-Komponente" ist ein Script, dass nach Verbindung zum Share lokal auf dem Client ausgeführt wird...
*g* Ich denke/hoffe ein Novell-Share akzeptiert der Client auch. - Ich wüsste aber nichts was dagegen spricht... - Momentan leider etwas stressig hier, werde das WPKG in den nächsten Tagen mal antesten. Diese Report-Komponente/Webserver scheint ja für die Auswertung/Management auch ganz interessant zu sein, auf einen Blick sieht man auf welchem Client etwas geklappt hat oder schiefgelaufen ist. - Wäre ich froh die nervtötenden User-Anrufe "Mein Flash tut nicht" oder "Mein PC will Flash updaten, darf ich das?" loszuwerden.
- Wäre ich froh die nervtötenden User-Anrufe "Mein Flash tut nicht" oder "Mein PC will Flash updaten, darf ich das?" loszuwerden.
Anmerkungen:
-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.
-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.
Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.
Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Secunia CSI bindet sich in WSUS ein und patcht diverse bekannte Softwares problemlos. Kostet allerdings pro Client Geld.-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.
-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.
Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.
Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
@DerWoWusste
Zu allererst muss ich sagen, finde ich deinen Beitrag sehr "angreiferisch" formuliert. Ob das nun unbedingt nötig war...
Wir fahren mit Hauptbenutzerrechten eigentlich sehr gut. - Ich muss erwähnen, dass wir ein kleiner, mittelständischer Betrieb sind. Als ich vor 4 Jahren hier anfing, arbeiteten alle Benutzer mit lokalen Admin-Rechten, was sicherheitstechnisch sicher Irrsinn war, aber auch keinerlei Probleme im Tagesbetrieb machte. Zumal die Benutzer damals keinen Internetzugang hatten. - Natürlich wären "normale Userrechte" sicherer, aber ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Was die Ausrollung von Flash-MSIs angeht, haben wir gerade mit den MSIs Probleme eine Ausrollung ohne angemeldete Benutzer zu machen. Wir haben wie gesagt, keine Active Directory, sondern eine Novell edirectory mit Zenworks 7 zur Softwareverteilung, welches Probleme bei der MSI Ausrollung bei nicht angemeldetem Benutzer macht. - Bei Startskripten sehe ich wiederum das Problem der nicht vorhandenen Administratorrechte,die für eine Flash-MSI-Ausrollung nötig wären !? - Vielleicht kannst du hier nochmal einen Tipp geben, wie ein Benutzer-Startskript Adminrechte für eine MSI-Ausrollung bekommt ?
"Warum jede Software aktuell halten" -> Wir schützen unsere Anwender so gut es eben möglich ist, durch aktuellste Software-Patche vor manipulierten PDF/Flash-Seiten, die Viren/Trojaner/Spyware/Bot-Netze enthalten/bilden können. Jeder kleine Patch hilft hier, sofern er eine mögliche Infizierung des Systems dadurch verhindert werden kann. - Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Zu allererst muss ich sagen, finde ich deinen Beitrag sehr "angreiferisch" formuliert. Ob das nun unbedingt nötig war...
Wir fahren mit Hauptbenutzerrechten eigentlich sehr gut. - Ich muss erwähnen, dass wir ein kleiner, mittelständischer Betrieb sind. Als ich vor 4 Jahren hier anfing, arbeiteten alle Benutzer mit lokalen Admin-Rechten, was sicherheitstechnisch sicher Irrsinn war, aber auch keinerlei Probleme im Tagesbetrieb machte. Zumal die Benutzer damals keinen Internetzugang hatten. - Natürlich wären "normale Userrechte" sicherer, aber ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Was die Ausrollung von Flash-MSIs angeht, haben wir gerade mit den MSIs Probleme eine Ausrollung ohne angemeldete Benutzer zu machen. Wir haben wie gesagt, keine Active Directory, sondern eine Novell edirectory mit Zenworks 7 zur Softwareverteilung, welches Probleme bei der MSI Ausrollung bei nicht angemeldetem Benutzer macht. - Bei Startskripten sehe ich wiederum das Problem der nicht vorhandenen Administratorrechte,die für eine Flash-MSI-Ausrollung nötig wären !? - Vielleicht kannst du hier nochmal einen Tipp geben, wie ein Benutzer-Startskript Adminrechte für eine MSI-Ausrollung bekommt ?
"Warum jede Software aktuell halten" -> Wir schützen unsere Anwender so gut es eben möglich ist, durch aktuellste Software-Patche vor manipulierten PDF/Flash-Seiten, die Viren/Trojaner/Spyware/Bot-Netze enthalten/bilden können. Jeder kleine Patch hilft hier, sofern er eine mögliche Infizierung des Systems dadurch verhindert werden kann. - Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Hi.
War in der Tat offensiv gemeint, jedoch keineswegs aggressiv
Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).
War in der Tat offensiv gemeint, jedoch keineswegs aggressiv
Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Dass die Mitarbeiter es ergooglen ist nicht denkbar? Dann wollen sie es nicht - immerhin. Jedoch sind auch Hauptbenutzer zu stark um sicher zu sein. Schaff die ab, wenn möglich.Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).
Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Ich hab den Gedanken doch gut geheißen. In Frage stelle ich ihn dennoch, da viele Admins das Updaten überbewerten und dafür banale Dinge (wie Kennwörter oder die Vergabe von Hauptbenutzerrechten oder die physikalische Sicherheit) hintenan stellen. Für mich ist das Updaten von Anwendungen, die nicht vom Netzwerk aus angegriffen werden können (da sie nicht lauschen) ziemlich weit hinten anzusiedeln. Das ist mein Punkt, den ich rüberbringen wollte.
Was mich zu dem WPKG tool interessiert:
Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?
Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??
Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?
Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??
Hi.
Stell eine neue Frage, diesen thread nach 2 1/2 Jahren wiederzubeleben lassen wir mal aus, oder?
Stell eine neue Frage, diesen thread nach 2 1/2 Jahren wiederzubeleben lassen wir mal aus, oder?
