12
Google Chrome installation verbieten oder sperren
Hallo liebe Community,
bin derzeitig als Praktikant in der IT-Abteilung beschäftigt und befasse mich nebenbei mit einem Problem an einem anderem Standort meiner Firma.
Es geht darum das die Nutzer des standortes lieber Flashanwendungen laufen lassen, statt ihren eigentlichen Aufgaben nach zu gehen. Aus diesem Grund habe ich dann dort vor einiger Zeit den Flash-Player runtergeschmissen, da sie diesen ohnehin nicht unbedingt benötigen. Jetzt kommt mir da allerdings der Google Chrome in den Weg der ja einen integrierten Flash-Player besitzt und selbst, wenn ich ihn bei Chrome://plugins deaktivieren würde wär mir da nicht ganz geholfen. Sobald sich jemand die Mühe macht 10 Minuten zu googlen oder etwas Ahnung hat ist das schnell wieder behoben. Dazu kommt das man diesen ja auch ohne Admin-Rechte installieren/deinstallieren kann was ich persönlich ziemlich beschissen finde, da ich so auch nicht ein Tool laden kann mit dem ich dem Chrome ein Passwort verpasse! Ich bin selbst noch sehr unerfahren, aber habe gelesen das man über die Gruppenrichtlinie für Softwareeinschränkungen bestimmte Installationen verbieten kann.
Mich würde interessieren inwiefern das ganze funktioniert und ob es zu umgehen ist (Als eingeschränkter Nutzer auf XP)?
Habt ihr evtl. noch andere Vorschläge?
Gruß Grobii
bin derzeitig als Praktikant in der IT-Abteilung beschäftigt und befasse mich nebenbei mit einem Problem an einem anderem Standort meiner Firma.
Es geht darum das die Nutzer des standortes lieber Flashanwendungen laufen lassen, statt ihren eigentlichen Aufgaben nach zu gehen. Aus diesem Grund habe ich dann dort vor einiger Zeit den Flash-Player runtergeschmissen, da sie diesen ohnehin nicht unbedingt benötigen. Jetzt kommt mir da allerdings der Google Chrome in den Weg der ja einen integrierten Flash-Player besitzt und selbst, wenn ich ihn bei Chrome://plugins deaktivieren würde wär mir da nicht ganz geholfen. Sobald sich jemand die Mühe macht 10 Minuten zu googlen oder etwas Ahnung hat ist das schnell wieder behoben. Dazu kommt das man diesen ja auch ohne Admin-Rechte installieren/deinstallieren kann was ich persönlich ziemlich beschissen finde, da ich so auch nicht ein Tool laden kann mit dem ich dem Chrome ein Passwort verpasse! Ich bin selbst noch sehr unerfahren, aber habe gelesen das man über die Gruppenrichtlinie für Softwareeinschränkungen bestimmte Installationen verbieten kann.
Mich würde interessieren inwiefern das ganze funktioniert und ob es zu umgehen ist (Als eingeschränkter Nutzer auf XP)?
Habt ihr evtl. noch andere Vorschläge?
Gruß Grobii
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 208752
Url: https://administrator.de/contentid/208752
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Hallo,
hier handelt es sich weniger um ein IT-Problem, als um erhebliche Eigenmächtigkeiten und verantwortungsloses Verhalten von PC-Nutzern, die eher in den Bereich Arbeitsrecht fallen, als den Bereich der EDV-Abteilung ("statt ihren eigentlichen Aufgaben nach zu gehen").
Vorschlag 1: sofort abmahnen unter androhen der fristlosen Kündigung, PC-Nutzung nur für betriebliche Erfordernisse und mit der installierten Software
Vorschlag 2: keine Admin-Rechte für PC-Nutzer mit derart verantwortungslosem Verhalten (möchte gar nicht wissen, was die noch so treiben...)
Vorschlag 3: kein Internet-Zugang für PC, wo dies nicht zwingend erforderlich ist
Gruß
hier handelt es sich weniger um ein IT-Problem, als um erhebliche Eigenmächtigkeiten und verantwortungsloses Verhalten von PC-Nutzern, die eher in den Bereich Arbeitsrecht fallen, als den Bereich der EDV-Abteilung ("statt ihren eigentlichen Aufgaben nach zu gehen").
Vorschlag 1: sofort abmahnen unter androhen der fristlosen Kündigung, PC-Nutzung nur für betriebliche Erfordernisse und mit der installierten Software
Vorschlag 2: keine Admin-Rechte für PC-Nutzer mit derart verantwortungslosem Verhalten (möchte gar nicht wissen, was die noch so treiben...)
Vorschlag 3: kein Internet-Zugang für PC, wo dies nicht zwingend erforderlich ist
Gruß
Ralf:
Werd das nachher mal an einem Testrechner ausprobieren und schonmal danke.
Bachti:
An und für sich würde ich dir da vollkommen zustimmen. Der Standort ist ein Projekt für Bewerbungscoaching und die Dozenten bzw. Coaches bekommen das offenbar nicht in den Griff die Teilnehmer dort zu vermahnen und wenden sich dann lieber an die Technik!
Aber nunja mir soll das egal sein, da ich mich auch ganz gern nebenbei damit beschäftige und wie ich schon schrieb ja noch recht unerfahren bin.
Admin-Rechte haben die Nutzer dort nicht und das Internet wird benötigt da sie ja nach Stellen suchen "sollten".
P.S. Ist das richtig das ein umbenennen des Installers ausreichen würde um auch die GPO zu umgehen?
Werd das nachher mal an einem Testrechner ausprobieren und schonmal danke.
Bachti:
An und für sich würde ich dir da vollkommen zustimmen. Der Standort ist ein Projekt für Bewerbungscoaching und die Dozenten bzw. Coaches bekommen das offenbar nicht in den Griff die Teilnehmer dort zu vermahnen und wenden sich dann lieber an die Technik!
Aber nunja mir soll das egal sein, da ich mich auch ganz gern nebenbei damit beschäftige und wie ich schon schrieb ja noch recht unerfahren bin.
Admin-Rechte haben die Nutzer dort nicht und das Internet wird benötigt da sie ja nach Stellen suchen "sollten".
P.S. Ist das richtig das ein umbenennen des Installers ausreichen würde um auch die GPO zu umgehen?
Moin!
Welche Antivirus-Lösung wird eingesetzt?
Bei Sophos kann man z.B. einzelne Anwendungen blockieren. Ich weiß nicht, wie es bei anderen Anbietern aussieht..
Gruß,
Napperman
Welche Antivirus-Lösung wird eingesetzt?
Bei Sophos kann man z.B. einzelne Anwendungen blockieren. Ich weiß nicht, wie es bei anderen Anbietern aussieht..
Gruß,
Napperman
Ich bin selbst noch sehr unerfahren, aber habe gelesen das man über die Gruppenrichtlinie für Softwareeinschränkungen bestimmte Installationen verbieten kann. Mich würde interessieren inwiefern das ganze funktioniert und ob es zu umgehen ist
Du kannst das so machen, wie von RalfThomas verlinkt. Problem: benennt der Nutzer die setup.exe um oder wählt einen anderen Installationspfad, kann er Chrome nutzen. Was wirken würde: die chrome.exe per Hashregel verbieten. Problem: das dürftest Du fortan für JEDES Update von Chrome machen...viel Spaß.
Somit solltest Du es bei dem von RT beschriebenen Schutz belassen und zudem eine Richtlinie ("flash ist nur dienst lich zu nutzen, chrome und weitere software niemals eigenmächtig in Betrieb nehmen") durchsetzen.
PS: Mark Russinovich hat im Jahr 2006 (also vor Vista) mal nachgewiesen, dass man SRP (Software restriction policies) ohne Adminrechte aushebeln kann. Dies ging ab Vista nicht mehr.
Mhm...Also leider wie ich befürchtet hatte!
Ja sicher wäre eine Richtlinie das wirkungsvollste und bei Missachtung dessen ein konsequenter durchgriff nötig. Nur leider liegt das nicht in meiner Hand als Praktikant!
Nun wie dem auch sei ich danke euch für die Ratschläge und wünsche weiterhin angenehmes basteln
Gruß Grobii
Ja sicher wäre eine Richtlinie das wirkungsvollste und bei Missachtung dessen ein konsequenter durchgriff nötig. Nur leider liegt das nicht in meiner Hand als Praktikant!
Nun wie dem auch sei ich danke euch für die Ratschläge und wünsche weiterhin angenehmes basteln
Gruß Grobii
Ich habe es gerade mal getestet: auch auf xp ist der einstmalige "Exploit" beseitigt, das Russinoviche GPDisable funktioniert nicht mehr. Also: besser als nichts, die Nutzer müssen erst einmal auf die Idee kommen, es umgehen zu wollen.
Will man wirklich sicher sein, muss man mit Whitelisting arbeiten.
Will man wirklich sicher sein, muss man mit Whitelisting arbeiten.
Ich hab das ganze jetzt doch vorerst anders gelöst und ein Paar Hindernisse eingebaut. Den Chrome hab ich als Admin für alle Benutzer installiert und er ist so scheinbar für einen Standartbenutzer nicht mehr zu deinstallieren.
- Secure Profile installiert und Passwort vergeben.
- In den Einstellungen von Chrome alle Plug-Ins blockiert.
- Allen Chrome verknüpfungen als Ziel noch hinten angehangen "--no-proxy-server"
Mit Sicherheit ist das ganze noch zu umgehen, aber ich denke für einen normalen Nutzer habe ich das ganze doch schon etwas erschwert. Was meint ihr?
Grobii
- Secure Profile installiert und Passwort vergeben.
- In den Einstellungen von Chrome alle Plug-Ins blockiert.
- Allen Chrome verknüpfungen als Ziel noch hinten angehangen "--no-proxy-server"
Mit Sicherheit ist das ganze noch zu umgehen, aber ich denke für einen normalen Nutzer habe ich das ganze doch schon etwas erschwert. Was meint ihr?
Grobii
Was hast Du denn jetzt erschwert? Können sich die Nutzer nicht weiterhin parallel Chrome ins Profil installieren?
Das dachte ich zuerst auch, aber ich habe mir die Installationsdatei für ein einziges Nutzerkonto von der Chromeseite geladen und diese wurde dann verweigert mit dem verweis das der Nutzer eingeschränkte Rechte hat. Bevor ich die Installationsdatei für alle Nutzerkonten vom Adminkonto installiert habe, konnte ich noch als Standartbenutzer Chrome für ein einziges Nutzerkonto Problemlos installieren/deinstallieren.
Also die Installationsdatei startet jetzt nicht einmal, sondern es poppt direkt das Fenster auf das der Nutzer nicht berechtigt ist.
Ich "vermute" nun das sobald der Standartbenutzer die chrome.exe ausführt die Software erkennt das es bereits installiert ist und es dementsprechend dann deinstallieren bzw. neuinstallieren will. Doch die Rechte dazu jetzt fehlen, da ich die Installation für alle Nutzerkonten vom Admin ausgeführt habe.
Villt. ist da mein Gedanke auch sehr irrtümlich, aber für mich hat es so halbwegs Sinn ergeben.
Was ich nicht getestet habe ist wie es denn nun aussieht mit der portable Version von Google-Chrome, dass werde ich auch direkt mal austesten!
Also die Installationsdatei startet jetzt nicht einmal, sondern es poppt direkt das Fenster auf das der Nutzer nicht berechtigt ist.
Ich "vermute" nun das sobald der Standartbenutzer die chrome.exe ausführt die Software erkennt das es bereits installiert ist und es dementsprechend dann deinstallieren bzw. neuinstallieren will. Doch die Rechte dazu jetzt fehlen, da ich die Installation für alle Nutzerkonten vom Admin ausgeführt habe.
Villt. ist da mein Gedanke auch sehr irrtümlich, aber für mich hat es so halbwegs Sinn ergeben.
Was ich nicht getestet habe ist wie es denn nun aussieht mit der portable Version von Google-Chrome, dass werde ich auch direkt mal austesten!
Deine Theorie könnte aufgehen. Die portable wird aber sicherlich noch starten.
Ja war auch schon irgendwo klar das diese noch funktioniert. Dazu fällt mir allerdings grad nichts wirklich mehr ein! Ich werde mal schauen wie das ganze im Einsatz so wirkt und ob jemand auf den Gedanken kommt sich die portable zu ziehen. Ist natürlich sehr ärgerlich sowas von administrativer seite!
