4eversr
Goto Top

Wie macht ihrs? Zentrales Update von Flash, Reader und Java

Als Systemadministrator einer großen Firma hat man es im Allgemeinen nicht einfach, alle seine Schäfchen "clean" zu halten.

Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.

Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.

Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?

Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.

Content-ID: 162271

Url: https://administrator.de/contentid/162271

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

ullic
ullic 09.03.2011 um 08:12:05 Uhr
Goto Top
Ich benutze WPKG, auch für Firefox und diverse andere. Einfach grossartig! face-smile

- Ulli -
commanderDATA
commanderDATA 09.03.2011 um 08:18:02 Uhr
Goto Top
Hallo,

Ich habe in der Registry dem User die Rechte auf die Schlüssel gegeben die die Programme zur Installation benötigen.

Die benötigten Schlüssel findest du auf der Seite der Sotwarehersteller nach einigem zuschen.

Dann sind die User in der Laage die Updates selbst durchzuführen...
KowaKowalski
KowaKowalski 09.03.2011 um 10:26:18 Uhr
Goto Top
Zitat von @commanderDATA:
Dann sind die User in der Laage die Updates selbst durchzuführen...

hi,

was Dir aber nicht garantiert das sie´s auch tun!


mfg
danielfr
danielfr 09.03.2011 um 10:39:55 Uhr
Goto Top
@ullic: Das Tool sieht sehr interessant aus. Ich würde es gerne testen, vielleicht kannst Du mir aber noch ein paar (ganz einfache face-wink ) Fragen beantworten:
- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
commanderDATA
commanderDATA 09.03.2011 um 10:52:16 Uhr
Goto Top
Zitat von @KowaKowalski:
was Dir aber nicht garantiert das sie´s auch tun!


Spätestens wenn sie wärend der Arbeit kein Youtube mehr gucken können versuchen sie es;)
ullic
ullic 09.03.2011 um 10:57:37 Uhr
Goto Top
Hi,

- Wie hoch Du als Einarbeitungsaufwand ein?
Minimal face-smile Auf jedem Rechner das Clienttool installieren, und auf einen zentralen Share die Files plus Steuerungsdateien (XML) kopieren. Alles sehr gut in einem Wiki-Dokumentiert.

- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
Ich würde mal sagen ab 2 face-smile Vor allem da etliche Applikationen darüber verteilt werden können, genauso wie Einstellung geändert werden. Eine gute Übersicht ist unter http://wpkg.org/Category:Silent_Installers

- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Minimal. Hängt natürlich vom Installer der jeweiligen Software ab. Gerade FF ist sehr pflegeleicht, bei jeder neuen Version, neue Revision eintragen, aktuellen Installer zum zentralen Share hochladen, fertig face-smile

Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu
können wäre für mich sehr hilfreich...
Ich habe ungefähr eine halbe Stunde mit dem Lesen der Doku verbracht dann mal probeweise auf einem Testrechner den Clienten eingerichtet und getest. Alles in allem 2-3 Std. War sofort sehr zufrieden und hab dann nach und nach immer mehr Rechner mit eingehängt. Selbst bei seltenen Problemen (z.B. Tippfehler o.ä.) läuft alles weiter stabil, die WPKG-Clients überspringen dann einfach die fehlerhaften Einträge face-wink Zudem lässt sich zur Not natürlich auch alles per Hand updaten...

Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.

Probier's einfach mal auf einem Testrechner/VM aus face-wink

- Ulli -
danielfr
danielfr 09.03.2011 um 11:13:07 Uhr
Goto Top
Vielen Dank Ulli, das mache ich.
4eversr
4eversr 09.03.2011 um 11:26:32 Uhr
Goto Top
Sehe ich richtig, dass die WPKG-Server-Komponenten gar nicht auf einem Windows-OS "installiert" werden müssen, da sie nicht aktiv sondern passiv laufen ?
Man könnte sie daher ja einfach auf einem beliebigen Fileserver ablegen, wie z.B. ein NAS ?
ullic
ullic 09.03.2011 um 11:33:43 Uhr
Goto Top
Yep. Muss nur als Windows-Share erreichbar sein. Die "Server-Komponente" ist ein Script, dass nach Verbindung zum Share lokal auf dem Client ausgeführt wird...
4eversr
4eversr 09.03.2011 um 11:41:03 Uhr
Goto Top
*g* Ich denke/hoffe ein Novell-Share akzeptiert der Client auch. - Ich wüsste aber nichts was dagegen spricht... - Momentan leider etwas stressig hier, werde das WPKG in den nächsten Tagen mal antesten. Diese Report-Komponente/Webserver scheint ja für die Auswertung/Management auch ganz interessant zu sein, auf einen Blick sieht man auf welchem Client etwas geklappt hat oder schiefgelaufen ist. face-smile - Wäre ich froh die nervtötenden User-Anrufe "Mein Flash tut nicht" oder "Mein PC will Flash updaten, darf ich das?" loszuwerden.
DerWoWusste
DerWoWusste 14.03.2011 um 00:54:31 Uhr
Goto Top
Anmerkungen:

-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Secunia CSI bindet sich in WSUS ein und patcht diverse bekannte Softwares problemlos. Kostet allerdings pro Client Geld.
-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.

-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.

Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.

Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
4eversr
4eversr 14.03.2011 um 12:05:48 Uhr
Goto Top
@DerWoWusste

Zu allererst muss ich sagen, finde ich deinen Beitrag sehr "angreiferisch" formuliert. Ob das nun unbedingt nötig war...

Wir fahren mit Hauptbenutzerrechten eigentlich sehr gut. - Ich muss erwähnen, dass wir ein kleiner, mittelständischer Betrieb sind. Als ich vor 4 Jahren hier anfing, arbeiteten alle Benutzer mit lokalen Admin-Rechten, was sicherheitstechnisch sicher Irrsinn war, aber auch keinerlei Probleme im Tagesbetrieb machte. Zumal die Benutzer damals keinen Internetzugang hatten. - Natürlich wären "normale Userrechte" sicherer, aber ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.

Was die Ausrollung von Flash-MSIs angeht, haben wir gerade mit den MSIs Probleme eine Ausrollung ohne angemeldete Benutzer zu machen. Wir haben wie gesagt, keine Active Directory, sondern eine Novell edirectory mit Zenworks 7 zur Softwareverteilung, welches Probleme bei der MSI Ausrollung bei nicht angemeldetem Benutzer macht. - Bei Startskripten sehe ich wiederum das Problem der nicht vorhandenen Administratorrechte,die für eine Flash-MSI-Ausrollung nötig wären !? - Vielleicht kannst du hier nochmal einen Tipp geben, wie ein Benutzer-Startskript Adminrechte für eine MSI-Ausrollung bekommt ?

"Warum jede Software aktuell halten" -> Wir schützen unsere Anwender so gut es eben möglich ist, durch aktuellste Software-Patche vor manipulierten PDF/Flash-Seiten, die Viren/Trojaner/Spyware/Bot-Netze enthalten/bilden können. Jeder kleine Patch hilft hier, sofern er eine mögliche Infizierung des Systems dadurch verhindert werden kann. - Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
DerWoWusste
DerWoWusste 14.03.2011 um 13:32:55 Uhr
Goto Top
Hi.

War in der Tat offensiv gemeint, jedoch keineswegs aggressiv face-smile

Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Dass die Mitarbeiter es ergooglen ist nicht denkbar? Dann wollen sie es nicht - immerhin. Jedoch sind auch Hauptbenutzer zu stark um sicher zu sein. Schaff die ab, wenn möglich.

Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).

Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Ich hab den Gedanken doch gut geheißen. In Frage stelle ich ihn dennoch, da viele Admins das Updaten überbewerten und dafür banale Dinge (wie Kennwörter oder die Vergabe von Hauptbenutzerrechten oder die physikalische Sicherheit) hintenan stellen. Für mich ist das Updaten von Anwendungen, die nicht vom Netzwerk aus angegriffen werden können (da sie nicht lauschen) ziemlich weit hinten anzusiedeln. Das ist mein Punkt, den ich rüberbringen wollte.
Kirithian
Kirithian 07.10.2013 um 14:46:51 Uhr
Goto Top
Was mich zu dem WPKG tool interessiert:

Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?

Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??
DerWoWusste
DerWoWusste 07.10.2013 um 19:17:19 Uhr
Goto Top
Hi.

Stell eine neue Frage, diesen thread nach 2 1/2 Jahren wiederzubeleben lassen wir mal aus, oder? face-smile