9
Installation von Software per Esc auf --Client-- möglich?
Hi Mitstreiter.
Gestern habe ich in einer kleinen Außenstelle 60 Notebooks auf W7 umgestellt. Natürlich durch ein Image.
Die Schüler melden sich lokal als Schüler an und haben nur Benutzerrechte. Auf den Notebooks ist nur der IE drauf.
Nachdem ich fertig war staute ich nicht schlecht als ich kurze Zeit drauf sah das ein Schüler schon fleißig Programme installiert hatte. Ein Messenger, Opera und FF und noch ein Paar.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog schließen kann und die Installation dennoch weiter geht?
Mache den Job jetzt schon sehr lange aber das ist mir neu. Das ist schon so perfide einfach das man da von selber nicht drauf kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Leider findet man zu dem Thema auch nichts im Netz.
Meine Frage wäre kann man das irgendwie unterbinden?
Gruß Maddoc
Gestern habe ich in einer kleinen Außenstelle 60 Notebooks auf W7 umgestellt. Natürlich durch ein Image.
Die Schüler melden sich lokal als Schüler an und haben nur Benutzerrechte. Auf den Notebooks ist nur der IE drauf.
Nachdem ich fertig war staute ich nicht schlecht als ich kurze Zeit drauf sah das ein Schüler schon fleißig Programme installiert hatte. Ein Messenger, Opera und FF und noch ein Paar.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog schließen kann und die Installation dennoch weiter geht?
Mache den Job jetzt schon sehr lange aber das ist mir neu. Das ist schon so perfide einfach das man da von selber nicht drauf kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Leider findet man zu dem Thema auch nichts im Netz.
Meine Frage wäre kann man das irgendwie unterbinden?
Gruß Maddoc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237607
Url: https://administrator.de/contentid/237607
Printed on: April 18, 2024 at 21:04 o'clock
9 Comments
Latest comment
Zitat von @maddoc:
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
Diesen nahm ich mir natürlich gleich zur Brust und war der Meinung er hat das Admin Passwort heraus bekommen.
hat er tatsächlich das Admin-Paßwort? Dann ist es zu schwach gewählt.
Oder hat er es durch Utilities wie der offline registry Editor zurückgesetzt? Dann hast Du bei der Bootkonfiguration Mits gebaut (Booten von netz oder externem Medium erlaubt).
Dieser zeigte mir dann aber wie er es gemacht hatte und seit dem bin ich wie paralysiert.
Hat er tatsächlch nur esc-taste gedrückt oder noch mehr?
Was haben die eingeschränkten Benutzerrechte für einen Sinn wenn man ganz easy per Escape Taste die Administrator Dialog
schließen kann und die Installation dennoch weiter geht?
schließen kann und die Installation dennoch weiter geht?
Solange er die Programme im userspace installiert, braucht man gar keine Adminrichte!
Mache den Job jetzt schon sehr lange aber das ist mir neu.
wie heißt es sehr schön. Man lernt nie aus. Aber in diesem Fall hast Due einfach nur verpeilt, daß eingeschränkte benutzerrechte nciht bedeuten, daß man keine Programme installieren kann.
Das ist schon so perfide einfach das man da von selber nicht drauf
kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
kommt. Die Info hätte ich in gerne meiner Ausbildung gehabt
Wieso soll man da nciht drauf kommen, es gibt im Internet viele Programme, die einfach nur in einen Ordner entpackt werden und von dort aus laufen., z.B. die PortableApps. Das ist selbsverständlich, daß man auch als normaler benutzer Programme ausführen kann, wenn der Admin das nciht explizit verbietet.
Leider findet man zu dem Thema auch nichts im Netz.
Da gibt es auch ncihts dazu zu schreiben. Aber vermutlich hast du nach den falschen Stichworten gesucht.
Meine Frage wäre kann man das irgendwie unterbinden?
Ja. du kannst Durch policies festlegen, welche Programme genaud der benutzer überhaupt ausführen darf. Oder du kannst die Dinger im Kiosk-Mode betreiben, daß die halt nur den IE bentzen dürfen. Auf jeden fall ist das mit viel veraltungsarbeit verbunden.
Und Du kannst mit diversen LARTs das Verhalten der User an die Benutzungbedingungen anpassen, was die wirksamste Methode ist.
lks
Passwort hatte er natürlich nicht. Firefox installation gestartet, mit Esc den Admin Dialog weggemacht und schon ging die Installation munter weiter und das Programm war drauf. Auch an einem anderen Notebook getestet. Geht wirklich.
Bei Portablen Apps ist es ja klar weil da keine Installation durch geführt wird. Eher ein entpacken.
Bin jetzt echt etwas enttäuscht von MS und hoffe das sich das nicht in den Klassen herum spricht.
Was soll das Larts sein? Bei Google kommt alles mögliche bei der Suche. Gibts da nen deutschen Begriff für?
Gruß Maddoc
Bei Portablen Apps ist es ja klar weil da keine Installation durch geführt wird. Eher ein entpacken.
Bin jetzt echt etwas enttäuscht von MS und hoffe das sich das nicht in den Klassen herum spricht.
Was soll das Larts sein? Bei Google kommt alles mögliche bei der Suche. Gibts da nen deutschen Begriff für?
Gruß Maddoc
Zitat von @maddoc:
Passwort hatte er natürlich nicht. Firefox installation gestartet, mit Esc den Admin Dialog weggemacht und schon ging die
Installation munter weiter und das Programm war drauf. Auch an einem anderen Notebook getestet. Geht wirklich.
Passwort hatte er natürlich nicht. Firefox installation gestartet, mit Esc den Admin Dialog weggemacht und schon ging die
Installation munter weiter und das Programm war drauf. Auch an einem anderen Notebook getestet. Geht wirklich.
Ad denn der Admn ein Paßwortß Und ist dann das programm wirklich für "alle user" installiert oder einfach nur für den betreffenden User. letzteres ist durchaus im Rahmen des Erlaubten, weil dann nur in die Userverzeichnisse geschrieben wird und nicht in Systemverzeichnisse.
lks
Dann wird es in nur für den User sein. War mir aber neu das das so möglich sit. Also könnte in einer Domäne jeder Client die Software installieren die er für nötig hält. Finde ich nicht gut...
Zitat von @maddoc:
Dann wird es in nur für den User sein. War mir aber neu das das so möglich sit. Also könnte in einer Domäne
jeder Client die Software installieren die er für nötig hält. Finde ich nicht gut...
Dann wird es in nur für den User sein. War mir aber neu das das so möglich sit. Also könnte in einer Domäne
jeder Client die Software installieren die er für nötig hält. Finde ich nicht gut...
Dann mußt duer durch Policies oder Spezialsoftware festlegen, welche Programme die Benutzer starten dürfen udn welche nicht. ein INstaller ist auch nur ein Programm, das Daten in bestimmte Verzeichnisse schreibt udn ggf. ein paar Registry-einträge erzeugt.Solange das im Userspace geschieht, verhindert die default-Zugriffsrechte so etwas nciht.
lks
Naja, dann müsste man genau wissen was die User sich für Programme installieren. Glaub das würde eine unendliche Geschichte werden.
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind???? So sollte es ja sein..
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind???? So sollte es ja sein..
Zitat von @maddoc:
Naja, dann müsste man genau wissen was die User sich für Programme installieren. Glaub das würde eine unendliche
Geschichte werden.
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind????
So sollte es ja sein..
Naja, dann müsste man genau wissen was die User sich für Programme installieren. Glaub das würde eine unendliche
Geschichte werden.
Wäre es anders herum besser, also so wie ichs bisher auch angenommen habe, das Installationen aller Art unterbunden sind????
So sollte es ja sein..
Dann mußt Du in den Policies eine Whitelist erstellen, d.h. welche Programme die benutzer nutzen dürfen. Ist aber auch relativ aufwendig. Deswegen mein Vorschlafg, den Kids auf die Finger zu hauen (bildlich gesprochen natürlich
) und Disziplinarmaßnahmen einzuleiten, wenn man sich die ander Arbeit nciht machen will.Da das HalteProblem in der Informatik immer noch nicht gelöst ist, wird sich kein Programm finden, das entscheiden kann, ob Daten die gerade im Benutzerverzeichnis abgelegt werden ausführbarer Code (in irgendeiner Sprache) sind, oder einfach nur normale Daten.Daher kann man das Problem entweder nur Disziplinarisch oder per whitelist lösen.
lks
Hm, etwas konfus aber wenn man nur die Programme die schon drauf sind in die in die Whitelist aufnimmt wie den Adobe Reader, Flash Player und Java (wegen der Updates) dann dürfte das Problem doch gelöst sein oder habe ich einen Denkfehler? Windows Updates passieren ja eh automatisch oder?
Das mit den diziplinarischen Maßnahmen muss ich mit der Chefin nochmal besprechen..
Das mit den diziplinarischen Maßnahmen muss ich mit der Chefin nochmal besprechen..
Hier noch ein Link zum Thema: http://www.thewindowsclub.com/how-to-prevent-users-from-installing-prog ...
ist aber kein 100%-chutz, weil man imemr noch potable Applikationen, ggf mit Tricks, ausführen kann.
ist aber kein 100%-chutz, weil man imemr noch potable Applikationen, ggf mit Tricks, ausführen kann.
