Installation von Flash unterbinden / verhindern

[zurgel 10]

Moin,

 

wie kann ich generell verhindern, dass der Flash Player auf einem Windows 7 installiert werden kann?

 

Man kann sicher über eine Richtlinie eine spezielle .exe blocken, aber wie kann ich das auch für die Zukunft unterbinden, wenn die Installationsdatei mal anders heißt?

 

Danke schonmal!

 

[zahni 554]

Lokale Adminrechte wegnehmen, sich mit SRP beschäftigen.

[zurgel 10]

Danke erstmal!

 

Lokale Adminrechte müssen aus verschiedenen Gründen leider bestehen bleiben.

 

SRP... naja das meinte ich eigentlich. Bei den Richtlinien für Softwareeinschränkungen kannte ich das nur so, dass die relativ eingeschränkt nutzbar sind. Ich schaue mir das aber gerne nochmal an.

[zahni 554]

 

Lokale Adminrechte müssen aus verschiedenen Gründen leider bestehen bleiben.

 

 

 

Dann kannst Du Deine Bemühungen einstellen. Ein Eingriff in die Registry entfernt ziemlich schnell alle SRPs

[zurgel 10]

In diesem speziellen Kontext ist das tatsächlich kein Problem: Es geht hier nur um Erschwerung der Installation. Nicht um das komplett Unmöglichmachen.

 

Danke jedenfalls für den Hinweis, ich schaue mal wie ich damit weiterkomme.

[lefg 276]

Die Geschäftsführung erlässt eine IT-Policy, die die Installation von Flashplayer verbietet, Zuwiderhandlungen könnten personalrechtliche Konsequenzen haben.

 

IT-Service weist alle Benutzer auf die Gefahr durch die Installation von Flashplayer hin.

 

Ob ein normaler Benutzer im Büro die SPRs entfernen kann, ob der darum weis?

 

Warum sind lokale Adminrechte nötig?

 

Was ist das für eine Umgebung?

 

Ist PC-Eächter von Dr Kaiser bekannt?

[willy-goergen 0]

Dann kannst Du Deine Bemühungen einstellen. Ein Eingriff in die Registry entfernt ziemlich schnell alle SRPs

 

Man könnte aber das Ändern der Registry per GPO ebenfalls unterbinden. Dann haben lokale Admins da keinen Zugriff mehr drauf. Nur wirklich praktikabel finde ich das auch nicht, da es mich in meiner eigenen Arbeit (z.B. bei der Fehlersuche an Clients) im Kontext des jeweiligen Nutzers ziemlich behindert.

[zahni 554]

Auf die Registry kannst Du dann immer noch zugreifen. Notfalls mit Powershell.

Wenn man Admin ist, ist man Admin. Störrische Software bekommt man auch ohne Adminrechte zum Laufen.

Bei Aussagen wie "die wissen doch nicht wie das geht" rollen sich mir immer die Fußnägel hoch.

[NorbertFe 2.034]

Nicht nur bei dir. ;)

[daabm 1.354]

lokale Admins da keinen Zugriff mehr

Ein Admin hat vielleicht erst mal keinen Zugriff. Aber er kann den Besitz übernehmen und sich hinterher die Berechtigungen recht leicht wieder verschaffen.

[willy-goergen 0]

Ein Admin hat vielleicht erst mal keinen Zugriff. Aber er kann den Besitz übernehmen und sich hinterher die Berechtigungen recht leicht wieder verschaffen.

 

Dazu müsste der Anwender ein bisschen über das normale Maß herausgehende Wissen haben. Zusätzlich auch noch die Absicht, Schaden anzurichten.

Interne Angriffe sind damit in meinem Fall unwahrscheinlich. Allerdings mache ich mir auch Gedanken über externe Angreifer. Der könnte das wissen und ausnutzen, wobei das (in beiden Fällen) wahrscheinlich sehr gezielt passieren muss.

bearbeitet 18. März 2015 von willy-goergen

[lefg 276]

Ich denke, es ist immer die Frage zu stellen, warum braucht ein Benutzer "Adminrechte"?

 

Wir hatten mal bei einem Wettbewerber Schulungsraum und Rechner angemietet. Ich hatte dann dort unsere Software zu installieren, unter anderem Lexware Professional und für unsere Teilnehmer die Benutzerkonten anzulegen. Der Eingeborene dort ließ mir ausrichten, ich müsse die Benutzer in die Gruppe der lokalen Administratoren aufnehmen, für Lexware bräuchten die Benutzer Adminrechte. Nun, es funktionierte ja auch mit Adminrechten, es funktionierte auch in der Gruppe der Hauptbenutzer(XP-Rechner), es reichte aber auch, im Lexwareverzeichnis den Schreibrecht auf eine Datei zu gestatten oder eben Schreibrecht auf das Verzeichnis. Es handelte sih um Lexware Professional, eigentlich für Einzelrechner gedacht mit lokalen Benutzern in der Gruppe der Hauptbenutzer. Es gab also zwei Möglichkeiten die Sache zu handhaben ohne "Adminrechte". Es war ganz einfach ein Bug von Lexware.

 

Also kann sich das Benötigen von "Adminrechten" ganz schnell verflüchtigen bei gnauen Prüfen.

bearbeitet 18. März 2015 von lefg

[zurgel 10]

Dazu müsste der Anwender ein bisschen über das normale Maß herausgehende Wissen haben. Zusätzlich auch noch die Absicht, Schaden anzurichten.

Interne Angriffe sind damit in meinem Fall unwahrscheinlich.

In etwa auf dieser Ebene befindet sich die Situation hier bei meinem Einsatz-Fall.

 

Danke an alle für den Input und die Fallbeispiele. Mir ist bewusst, dass es anders besser / ideal wäre, aber ich muss hier mit dem arbeiten was mir vorgegeben wurde, obwohl ich es gern anders hätte.

bearbeitet 18. März 2015 von zurgel

[zahni 554]

Das Problem ist: Die Programmierer der Viren wissen was sie machen. Wenn Du auch noch UAC ausgestellt hast, ist der PC in null Komma nix infiziert. Bei UAC wird dann schnell mal die Warnung abgenickt. Besonders von Usern, die "keine Ahnung" haben.

Richtig nett sind die vielen Flash-Installer aus dem Netz ;) Und komm jetzt nicht mit Virenscannern. Die finden bei neuen Viren zu 98,9 Prozent absolut nichts. 

Wie geschrieben; Wenn Du mal schreibst, warum die Adminrechte erforderlich sind, haben wir vielleicht eine Idee.

 

Du würdest Dich wundern, was manche Anwender so schaffen. Wenn die was wollen, finden die schon die passende Anleitung im Netz.

[XP-Fan 217]

Hallo,

 

wenn die Rechner fest im Haus bleiben käme mir noch die Unternehmensfirewall in den Sinn, diese könnte gewisse Adressen blockieren.