oi-polloi
Goto Top

Wie sicher ist MS eigene Bloatware?

Hallo,

mir stellt sich die Frage, wie sicher bzw. unsicher sind die Bloatware von MS selbst.
Damit meine ich onedrive, skype, xboxlive usw., also die Software welche ich nicht brauche, aber schon von MS installiert wurde.
Ich habe mir mal die aktuelle Windows 10 Version virtuell installiert und folgende Programme sehe ich für den betrieblichen (Büro-PC) als unnötig an.

3D-Viewer
Feedback-Hub
Film&TV
Groove-Musik
Mail und Kalender
MS OneDrive
Solitaire
Mixed Reality-Portall
Office
OneNote
Paint 3D
Skype
Wetter
Xbox
Xbox Live

Auch scheint es sich erst einmal nur um Setupdateien zu handeln, welche erst installiert werden, wenn man das Programm zum ersten mal aufruft. Da die Größe bei den meisten nur 8KB ist und erst größer wird, wenn das Programm gestartet wurde.
Ich würde diese Programme per PS deinstallieren. Oder ist das Risiko sehr gering bzw. nicht vorhanden, so das diese Programme nicht unbedingt deinstalliert werden müssten?
Mir ist nicht wirklich was dazu im Gedächtnis hängen geblieben und google scheint auch nichts zu finden.
Das BSI rät ja nicht benötigte Software zu deinstallieren.

Eine gefühlte Meinung hilft mir leider wenig. Sonder ein Wissen auf Fakten basierend. Wenn es bis jetzt keine Sicherheitslücken gab oder das durch präparierte E-Mails diese Software für Angriffe ausgenutzt wurde, sehe ich keinen Grund für die deinstallation dieser Software.

Danke für die Hilfe.

Grüße

Content-ID: 2186226085

Url: https://administrator.de/contentid/2186226085

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

ArnoNymous
ArnoNymous 16.03.2022 um 13:47:25 Uhr
Goto Top
Moin,

ich deinstalliere bei jedem Client, den ich installiere (ob einzeln oder Rollout egal) alle Apps mittels Powershell-Befehl - mit Ausnahme des Stores und des Taschenrechners. Einige Apps lassen sich auch nicht deinstallieren, wie dieses XBox-Gedöns. Bisher keine Probleme aufgetreten.

Gruß
Visucius
Visucius 16.03.2022 um 13:48:59 Uhr
Goto Top
Geht ja auch darum, es dem MA nicht zu leicht zu machen sich z.B. mit eigenen Credentials nen privaten One-Drive-Ordner auf den Rechner zu holen?!
oi-polloi
oi-polloi 16.03.2022 um 13:59:59 Uhr
Goto Top
Das weiß ich ja, ich brauche halt nur eine gute Grundlage um den Administroren die Empfehlung um die Ohren zu hauen, diese Software zu deinstallieren.
Solange es keine Sicherheitsbedenken (Sicherheitslücken, Ausweiten von Rechten usw) gibt, die ich als gute Argumente ins Feld führen kann, werden sich einige Admins nicht dazu freiwillig bewegen lassen, diese Software zu deinstallieren (Zeitaufwand, Kosten an den Kunden weiter geben usw).
Mir fehlt halt die wirkliche und nachvollziehbare Bedrohung dadurch. Eine theoretische Ausnutzung wenn Saturn, Pluto und der Mond eine Linie ergeben, sind nicht gerade überzeugend. Das liest man ja oft bei Sicherheitslücken, wenn da vieles zusammen spielen muss damit diese auch ausgenutzt werden kann (unter Laborbedingungen).

Ich hoffe ich konnte mein Anliegen verständlich ausdrücken, ohne jmd auf den Schlipps getretten zu sein.

Grüße
ArnoNymous
ArnoNymous 16.03.2022 um 14:14:38 Uhr
Goto Top
Ich weiß nicht, was du jetzt lesen möchtest.
Entweder man nimmt die Bedrohung durch potenzielle Sicherheitslücken in unnötiger Software ernst oder eben nicht.
Wenn ja, dann ist man doch von sich aus bemüht, die Installationen auf das Nötigste zu begrenzen.
Wenn nicht, dann ist es einem eben egal.

Nun kann man ja überlegen, was im Fall der Fälle das üblere Szenario ist:

A: Eine kritische Sicherheitslücke in eigentlich nicht benötigter Software wurde entdeckt und wird bereits massiv ausgenutzt. Das eigene Unternehmen ist betroffen. Der Schaden ist immens. Aber man hat damals die Kosten für die Deinstallation gespart.

B: Die unnötigen Apps werden niemals eine Gefahr darstellen. Der Aufwand für die Deinstallation war umsonst.

Also ich finde es ja ziemlich eindeutig. Und ob die Bedrohungsszenarien nun so abwegig sind, ist ja eigentlich auch egal. Vielleicht sind die nicht so abwegigen nämlich einfach noch nicht entdeckt worden. Dazu hält sich der Aufwand zur Deinstallation nun wirklich in Grenzen. Das sind zwei Powershell-Befehle und 2 Minuten Wartezeit.
LauneBaer
LauneBaer 16.03.2022 um 14:16:22 Uhr
Goto Top
Grundsätzlich gilt doch: Was nicht da ist, kann kein Problem werden. So sehe ich das zumindest.
Visucius
Visucius 16.03.2022 um 14:19:49 Uhr
Goto Top
Also, Du möchtest wissen ob für die oben genannten Apps "Zerodays" rumlaufen, wegen der Du die lieber deinstallierst?! face-wink

Spaß beiseite: Für OneDrive gabs schon Problemchen, z.B. das hier https://www.borncity.com/blog/2018/08/20/windows-10-sicherheits-alptraum ...

Aber für sowas kannst Du ja bestimmt Google heranziehen?!
oi-polloi
oi-polloi 16.03.2022 um 15:04:53 Uhr
Goto Top
Zum Verständnis bin ich beim Thema deinstalliern bei euch.
Ich muss dies aber sachlich und gut gegenüber den Kunden und dessen Admin argumentieren, warum der Kunde nun Geld in die Hand nehmen muss. Bei der Umstellung von Win 7 auf Win 10 ist die Argumentation einfach gewesen.
Ich hatte gehoft das da schon mehr Sicherheitslücken entstanden sind oder Schadsoftware diese ausgenutzt hat.
Wenn ich für die IT zuständig wäre, wäre dies deinstalliert.
Bei dem OneDrive Problem ist dies wieder abhängig ob es genutzt wird und eingerichtet (E-Mail-Adresse hinterlegt) wurde. Wenn da nichts gemacht wurde, kann auch keiner was abgreifen - so habe ich den Artikel verstanden, da hier auch das Problem besteht das dies im Benutzer Ordner liegt

So das typische 5 Personen Büro hat da 5 Windows 10 Kisten - Standardinstallation. Es gibt keine Verwendung für die Software, so das bis jetzt keiner diese gestartet oder gar eingerichtet hat. Woher sollte in so einem Fall da ein Sicherheitsrisiko seitens der Software bestehen.

Das es ein Riskio seitens der Benutzer gibt, ja das sehe ich. So kann sich einer OneDrive einrichten, warum auch immer, so einen Datenaustausch vornehmen, welche Dritte kapern könnten. Dann kommt wie immer die Aussage "Sowas mache die nicht, die sind mit Arbeiten beschäftigt."

Ich suche halt nach Argumenten um es den Kunden praxisnah und auch nachvollziehbar erklären zu können, warum die Software deinstalliert werden soll. Dann sind die meisten auch bereit Geld in die Hand zu nehmen, sofern der Admin da nicht rum mosert. face-smile
Denn ein einfaches "es ist halt besser so" überzeugt so einen Geschäftsführer selten. :/

Das deinstallieren sollte ja auch per GPO möglich sein, oder?
Sowie die Einstellungen "Datenschutz" auch per GPO vorgenommen werden können, oder?

Grüße
C.R.S.
C.R.S. 16.03.2022 aktualisiert um 15:24:01 Uhr
Goto Top
Zitat von @oi-polloi:

Das es ein Riskio seitens der Benutzer gibt, ja das sehe ich. So kann sich einer OneDrive einrichten, warum auch immer, so einen Datenaustausch vornehmen, welche Dritte kapern könnten. Dann kommt wie immer die Aussage "Sowas mache die nicht, die sind mit Arbeiten beschäftigt."

Da braucht nichts gekapert werden, die Beschränkung auf notwendige Software folgt unmittelbar aus IT-Sicherheitsgrundsätzen; die werden befolgt, weil nur so unternehmerisch und im regulatorischen Kontext mit vertretbarem Risiko Daten verarbeitet werden können.
Schon klar, dass die Bude kein Richtlinienwerk hat. Aber dann kann man kann zumindest faktisch so handeln, als ob. Genau genommen muss man das auch besonders gründlich, denn eine strukturierte organisatorische Sicherheit fehlt ja.
Wenn ich unnötige Software installiert habe, muss ich ständig Nachrichten zu diesen Produkten im Auge haben und im Ernstfall - wenn etwas bekannt wird - unter Zeitdruck Maßnahmen einleiten oder bin gar betroffen, ohne vorher irgendeinen Nutzen daraus gezogen zu haben.
Die Verwendung durch Mitarbeiter muss unabhängig von der möglichen Einwirkung Dritter unterbunden werden. Ein Unternehmen muss doch Kunden und Geschäftspartnern sagen können, wo es ihre Daten speichert. Wie soll das gehen, wenn die Mitarbeiter irgendwelche Messenger und Cloud-Storage-Tools zur freien Verfügung haben?

Grüße
Richard
oi-polloi
oi-polloi 16.03.2022 um 15:33:51 Uhr
Goto Top
Wenn ich unnötige Software installiert habe, muss ich ständig Nachrichten zu diesen Produkten im Auge haben und im Ernstfall - wenn etwas bekannt wird - unter Zeitdruck Maßnahmen einleiten oder bin gar betroffen, ohne vorher irgendeinen Nutzen daraus gezogen zu haben.

Den Punkt finde ich super. Das lässt sich gut vermitteln.

Die Verwendung durch Mitarbeiter muss unabhängig von der möglichen Einwirkung Dritter unterbunden werden. Ein Unternehmen muss doch Kunden und Geschäftspartnern sagen können, wo es ihre Daten speichert. Wie soll das gehen, wenn die Mitarbeiter irgendwelche Messenger und Cloud-Storage-Tools zur freien Verfügung haben?

In dem Fall haben unsere Kunden die Daten derer Kunden nur lokal auf dem Server liegen. Eine Cloudnutzung findet generell nicht statt.

Ich bezog mich in meinem OneDrive Beispiel darauf, wenn der Mitarbeiter eigenmächtig das OneDrive mit seiner privaten E-Mail Adresse einrichtet und die E-Mail-Adresse bzw. dessen OneDrive Account gekapert wird.

Grüße
C.R.S.
C.R.S. 16.03.2022 um 15:53:23 Uhr
Goto Top
Zitat von @oi-polloi:

In dem Fall haben unsere Kunden die Daten derer Kunden nur lokal auf dem Server liegen. Eine Cloudnutzung findet generell nicht statt.

Das denkt der Chef. Der neue sechste Mitarbeiter, der keine Richtlinien und keine Sicherheitsschulung erhalten hat, denkt: "Oh, da ist OneDrive installiert, da kann ich mein Konto hinterlegen, die Daten von der Arbeit auf mein privates Handy syncen und so noch produktiver sein."
148523
148523 16.03.2022 um 16:08:42 Uhr
Goto Top
ich deinstalliere bei jedem Client, den ich installiere (ob einzeln oder Rollout egal) alle Apps mittels Powershell-Befehl - mit Ausnahme des Stores und des Taschenrechners.
Absolut richtig ! Zumindestens die Sharing Apps und Cloud basierte Apps nutzen allesamt US Server und sind damit nicht DSGVO konform weil eben nicht sicher. Für Firmen deshalb ein NoGo ganz besonders wenn dort sensible Daten abgelegt werden.
Zusätzlich sollte man dann auch noch die Windows Telemetrie Funktion IMMER deaktivieren !
https://windowsarea.de/2019/09/anleitung-windows-10-telemetrie-deaktivie ...
Das minimiert zwar nicht alles aber zumindestens schon einmal den größten Teil der gruseligen Windows Schnüffelei.
oi-polloi
oi-polloi 16.03.2022 um 16:54:56 Uhr
Goto Top
Ich werde die Tage hier öfters rein schauen und vlt. hat noch der ein oder andere gute Argumentationen.
Danke euch.
beidermachtvongreyscull
beidermachtvongreyscull 16.03.2022 um 20:43:13 Uhr
Goto Top
Kann ich Dir empfehlen, wenn Du von vorne herein etwas Ruhe haben willst:
Custom Windows-10-ISO bauen (in kontinuierlicher Verbesserung) - Ausgabe 2021
EliteHacker
EliteHacker 17.03.2022 aktualisiert um 22:11:19 Uhr
Goto Top
Das BSI rät ja nicht benötigte Software zu deinstallieren

Da gebe ich ihnen vollkommen recht. Software die nicht verwendet wird, stellt zweifelsohne ein potentielles Sicherheitsrisiko dar.
Jede zusätzliche Zeile Code kann eine potentielle Sicherheitslücke enthalten. Bei Microsoft gehe ich im Schnitt von 4 bis 8 Sicherheitslücken pro Code-Zeile aus.
Alles muss rigoros runter vom System, wenn du es mit der Sicherheit ernst meinst.

Du musst einfach Aufwand-Nutzen abwägen.
JasperBeardley
JasperBeardley 19.03.2022 um 16:58:09 Uhr
Goto Top
Moin,

Bei Microsoft gehe ich im Schnitt von 4 bis 8 Sicherheitslücken pro Code-Zeile aus.


Gibt's dafür belastbare Fakten, oder ist das nur Linux Fanboy Geschwafel?

Gruß
Jasper
148523
148523 19.03.2022 um 19:42:46 Uhr
Goto Top
Nein das sind Fakten und hat wahrlich nix mit "Fan Boys" zu tun ! Sieh dir nur die letzten 10 Ransomware Wellen an. Hast du jemals gehört das da nur ein Linux Rechner oder MacOS befallen war ?? Von den anderen Virenattacken in Office usw. mal gar nicht zu reden.
Einfach mal die Fakten betrachten...das hilft !
EliteHacker
EliteHacker 19.03.2022 aktualisiert um 21:05:00 Uhr
Goto Top
Zitat von @JasperBeardley:

Moin,

Bei Microsoft gehe ich im Schnitt von 4 bis 8 Sicherheitslücken pro Code-Zeile aus.


Gibt's dafür belastbare Fakten, oder ist das nur Linux Fanboy Geschwafel?

Gruß
Jasper

Es ist natürlich ironisch und übertrieben gemeint. Aber ein Stückchen Wahrheit muss drinn stecken, anderst kann ich mir die tausende Sicherheitslücken nicht erklären. Manchmal habe ich den Eindruck Microsoft macht das mit voller Absicht, um zu testen, wie weit sich Nutzer verarschen lassen.
Weniger Arbeitsaufwand durch weniger bzw. bald keine Sicherheitsaudits trotz gleicher, bezahlender Kundenbasis = Profit. Die sind raffiniert.