zurgel 10 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Moin, wie kann ich generell verhindern, dass der Flash Player auf einem Windows 7 installiert werden kann? Man kann sicher über eine Richtlinie eine spezielle .exe blocken, aber wie kann ich das auch für die Zukunft unterbinden, wenn die Installationsdatei mal anders heißt? Danke schonmal! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Lokale Adminrechte wegnehmen, sich mit SRP beschäftigen. Zitieren Link zu diesem Kommentar
zurgel 10 Geschrieben 18. März 2015 Autor Melden Teilen Geschrieben 18. März 2015 Danke erstmal! Lokale Adminrechte müssen aus verschiedenen Gründen leider bestehen bleiben. SRP... naja das meinte ich eigentlich. Bei den Richtlinien für Softwareeinschränkungen kannte ich das nur so, dass die relativ eingeschränkt nutzbar sind. Ich schaue mir das aber gerne nochmal an. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Lokale Adminrechte müssen aus verschiedenen Gründen leider bestehen bleiben. Dann kannst Du Deine Bemühungen einstellen. Ein Eingriff in die Registry entfernt ziemlich schnell alle SRPs Zitieren Link zu diesem Kommentar
zurgel 10 Geschrieben 18. März 2015 Autor Melden Teilen Geschrieben 18. März 2015 In diesem speziellen Kontext ist das tatsächlich kein Problem: Es geht hier nur um Erschwerung der Installation. Nicht um das komplett Unmöglichmachen. Danke jedenfalls für den Hinweis, ich schaue mal wie ich damit weiterkomme. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Die Geschäftsführung erlässt eine IT-Policy, die die Installation von Flashplayer verbietet, Zuwiderhandlungen könnten personalrechtliche Konsequenzen haben. IT-Service weist alle Benutzer auf die Gefahr durch die Installation von Flashplayer hin. Ob ein normaler Benutzer im Büro die SPRs entfernen kann, ob der darum weis? Warum sind lokale Adminrechte nötig? Was ist das für eine Umgebung? Ist PC-Eächter von Dr Kaiser bekannt? Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Dann kannst Du Deine Bemühungen einstellen. Ein Eingriff in die Registry entfernt ziemlich schnell alle SRPs Man könnte aber das Ändern der Registry per GPO ebenfalls unterbinden. Dann haben lokale Admins da keinen Zugriff mehr drauf. Nur wirklich praktikabel finde ich das auch nicht, da es mich in meiner eigenen Arbeit (z.B. bei der Fehlersuche an Clients) im Kontext des jeweiligen Nutzers ziemlich behindert. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Auf die Registry kannst Du dann immer noch zugreifen. Notfalls mit Powershell. Wenn man Admin ist, ist man Admin. Störrische Software bekommt man auch ohne Adminrechte zum Laufen. Bei Aussagen wie "die wissen doch nicht wie das geht" rollen sich mir immer die Fußnägel hoch. Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Nicht nur bei dir. ;) Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 lokale Admins da keinen Zugriff mehr Ein Admin hat vielleicht erst mal keinen Zugriff. Aber er kann den Besitz übernehmen und sich hinterher die Berechtigungen recht leicht wieder verschaffen. Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 (bearbeitet) Ein Admin hat vielleicht erst mal keinen Zugriff. Aber er kann den Besitz übernehmen und sich hinterher die Berechtigungen recht leicht wieder verschaffen. Dazu müsste der Anwender ein bisschen über das normale Maß herausgehende Wissen haben. Zusätzlich auch noch die Absicht, Schaden anzurichten. Interne Angriffe sind damit in meinem Fall unwahrscheinlich. Allerdings mache ich mir auch Gedanken über externe Angreifer. Der könnte das wissen und ausnutzen, wobei das (in beiden Fällen) wahrscheinlich sehr gezielt passieren muss. bearbeitet 18. März 2015 von willy-goergen Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 (bearbeitet) Ich denke, es ist immer die Frage zu stellen, warum braucht ein Benutzer "Adminrechte"? Wir hatten mal bei einem Wettbewerber Schulungsraum und Rechner angemietet. Ich hatte dann dort unsere Software zu installieren, unter anderem Lexware Professional und für unsere Teilnehmer die Benutzerkonten anzulegen. Der Eingeborene dort ließ mir ausrichten, ich müsse die Benutzer in die Gruppe der lokalen Administratoren aufnehmen, für Lexware bräuchten die Benutzer Adminrechte. Nun, es funktionierte ja auch mit Adminrechten, es funktionierte auch in der Gruppe der Hauptbenutzer(XP-Rechner), es reichte aber auch, im Lexwareverzeichnis den Schreibrecht auf eine Datei zu gestatten oder eben Schreibrecht auf das Verzeichnis. Es handelte sih um Lexware Professional, eigentlich für Einzelrechner gedacht mit lokalen Benutzern in der Gruppe der Hauptbenutzer. Es gab also zwei Möglichkeiten die Sache zu handhaben ohne "Adminrechte". Es war ganz einfach ein Bug von Lexware. Also kann sich das Benötigen von "Adminrechten" ganz schnell verflüchtigen bei gnauen Prüfen. bearbeitet 18. März 2015 von lefg Zitieren Link zu diesem Kommentar
zurgel 10 Geschrieben 18. März 2015 Autor Melden Teilen Geschrieben 18. März 2015 (bearbeitet) Dazu müsste der Anwender ein bisschen über das normale Maß herausgehende Wissen haben. Zusätzlich auch noch die Absicht, Schaden anzurichten. Interne Angriffe sind damit in meinem Fall unwahrscheinlich. In etwa auf dieser Ebene befindet sich die Situation hier bei meinem Einsatz-Fall. Danke an alle für den Input und die Fallbeispiele. Mir ist bewusst, dass es anders besser / ideal wäre, aber ich muss hier mit dem arbeiten was mir vorgegeben wurde, obwohl ich es gern anders hätte. bearbeitet 18. März 2015 von zurgel Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Das Problem ist: Die Programmierer der Viren wissen was sie machen. Wenn Du auch noch UAC ausgestellt hast, ist der PC in null Komma nix infiziert. Bei UAC wird dann schnell mal die Warnung abgenickt. Besonders von Usern, die "keine Ahnung" haben. Richtig nett sind die vielen Flash-Installer aus dem Netz ;) Und komm jetzt nicht mit Virenscannern. Die finden bei neuen Viren zu 98,9 Prozent absolut nichts. Wie geschrieben; Wenn Du mal schreibst, warum die Adminrechte erforderlich sind, haben wir vielleicht eine Idee. Du würdest Dich wundern, was manche Anwender so schaffen. Wenn die was wollen, finden die schon die passende Anleitung im Netz. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 18. März 2015 Melden Teilen Geschrieben 18. März 2015 Hallo, wenn die Rechner fest im Haus bleiben käme mir noch die Unternehmensfirewall in den Sinn, diese könnte gewisse Adressen blockieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.