10
Flash per msi zwangsweise entfernen?
Hallo,
in unserem Netz ist Flash nicht (mehr) installiert. So weit, so gut.
Leider gibt es eine Anzahl Nutzer, die Admin-Rechte haben (müssen), und die, wenn irgendwas nicht gleich klappt, gerne mal auf den "Get Flash"-Button klicken...
Die Lösung, das über Abmahnungen zu regeln, scheidet leider ebenfalls aus.
Mir schwebt da eine Software vor, die den Rechner auf das Vorhandensein einer Flash-Installation prüft, und diese, am besten silent, noch besser mit mail an mich, entfernt. Das ganze auszurollen per msi wäre optimal. Gibt es sowas schon? Wäre ansonsten eine Marktlücke...
Schönen Dank
Ernst
in unserem Netz ist Flash nicht (mehr) installiert. So weit, so gut.
Leider gibt es eine Anzahl Nutzer, die Admin-Rechte haben (müssen), und die, wenn irgendwas nicht gleich klappt, gerne mal auf den "Get Flash"-Button klicken...
Die Lösung, das über Abmahnungen zu regeln, scheidet leider ebenfalls aus.
Mir schwebt da eine Software vor, die den Rechner auf das Vorhandensein einer Flash-Installation prüft, und diese, am besten silent, noch besser mit mail an mich, entfernt. Das ganze auszurollen per msi wäre optimal. Gibt es sowas schon? Wäre ansonsten eine Marktlücke...
Schönen Dank
Ernst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305223
Url: https://administrator.de/contentid/305223
Printed on: May 4, 2024 at 23:05 o'clock
10 Comments
Latest comment
Moin,
ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
Gruß,
Dani
ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
- Durchläuft in der Registry den Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall nach der Beschreibung ala Adobe Flash durchsuchst.
- Mit jedem Treffer wird der Uninstall-Befehl durchgeführt
- Die Ausführung erfolgt über die Aufgabenplanung wenn ein bestimmtes Ereignis auftritt
Gruß,
Dani
Danke schon mal für die Anregungen, das Powershell-Script hatte ich beim Googeln schon gefunden, ich dachte aber an etwas, das ich nicht mit jeder Version wieder anfassen muss.
Momentan gefällt mir die Idee sehr gut, per GPO den Dienst zu stoppen. "Mein Flash-Player läuft nicht mehr!" "Soll er ja auch nicht!"
Momentan gefällt mir die Idee sehr gut, per GPO den Dienst zu stoppen. "Mein Flash-Player läuft nicht mehr!" "Soll er ja auch nicht!"
Moin,
Ich würde das Problem eher an der Wurzel packen und prüfen warum Adminrechte erforderlich sind auf Produktivmaschinen.
Gruß,
Dani
ich dachte aber an etwas, das ich nicht mit jeder Version wieder anfassen muss.
Wenn du den Reg-Tree jedes Mal durchläufst, braucht es meiner Ansicht nach keine Anpassung mehr.Momentan gefällt mir die Idee sehr gut, per GPO den Dienst zu stoppen. "Mein Flash-Player läuft nicht mehr!" "Soll er ja auch nicht!"
Welchen Dienst? Den Update Service? Dann wird der Player eben manuell installiert.Ich würde das Problem eher an der Wurzel packen und prüfen warum Adminrechte erforderlich sind auf Produktivmaschinen.
Gruß,
Dani
Hallo @Dani, Ernst,
.
(ACHTUNG: Muss natürlich (per task) elevated gestartet werden)
Grüße Uwe
Zitat von @Dani:
ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
Das hatte ich mal geskriptet, sollte noch funktionieren, da ich es jetzt nicht mehr getestet habe ohne Funktionsgarantie, Flash ist hier schon lange Geschichte deswegen kein Interesse mehr daran zu basteln ich könnte mir ein Powershellskript mit folgenden Aufgaben vorstellen:
- Durchläuft in der Registry den Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall nach der Beschreibung ala Adobe Flash durchsuchst.
- Mit jedem Treffer wird der Uninstall-Befehl durchgeführt
.$key = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall'
$key64 = 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall'
$entries = @()
$entries += gci $key | Get-ItemProperty | ?{$_.DisplayName -like '*Adobe Flash Player*'}
if ((gwmi win32_operatingsystem).OSArchitecture -eq '64-Bit'){
$entries += gci $key64 | Get-ItemProperty | ?{$_.DisplayName -like '*Adobe Flash Player*'}
}
$entries | %{
write-host "Uninstalling $($_.DisplayName) ..." -f Green
if($_.UninstallString -match 'msiexec.exe'){
# msi version installer
try{
$guid = [regex]::Match($_.UninstallString,'(\{.*\})').Groups[1].Value
Start-Process 'msiexec.exe' -ArgumentList "/X$guid /quiet /qn"
}catch{}
}else{
# exe version installer
try{
$uiexe = [regex]::Match($_.UninstallString,'(?i)^(.*\.exe)').Groups[1].Value
Start-Process $uiexe -ArgumentList '-uninstall'
}catch{}
}
}Ich würde das Problem eher an der Wurzel packen und prüfen warum Adminrechte erforderlich sind auf Produktivmaschinen.
Dem stimme ich ebenso uneingeschränkt zu Grüße Uwe
1
Nun eine andere Möglichkeit wäre ja die Adobe Flash Seite zu Sperren bzw den Host/IP worüber der Intstaller die Flashdaten vom Hersteller holen möchte.
So wäre mehr Aufwand für den User nötig erstmal eine Version zu finden die nicht über die Hersteller Seite läuft.
Zudem bei den Get Flash Button ja "immer" die Herstellerseite genommen.
So wäre mehr Aufwand für den User nötig erstmal eine Version zu finden die nicht über die Hersteller Seite läuft.
Zudem bei den Get Flash Button ja "immer" die Herstellerseite genommen.
OK, DAS Skript kannte ich noch nicht. Werde ich mal auf einen Testrechner loslassen... Danke dafür!
Die Flash-Download-Seite werde ich sicher nicht sperren, dann holen sich die ihre Installationsdateien aus dubiosen Quellen und alles wird noch viel schlimmer.
Die Idee mit dem Dienst schien mir spontan einleuchtend, ist es aber wohl doch nicht...
Zu erklären, warum einige User Admin-Rechte haben müssen, würde hier zu weit führen. Ich sehe das wahrhaftig nicht gerne, kann daran aber im Moment nichts ändern und muss mit den Folgen leben. Das schließt auch Diskussionen mit ein, wieso bestimmte Dinge nicht auf den Rechnern sein sollen, und wieso sie dann doch drauf sind... Sowas automatisch wegzupusten erleichtert das zumindest.
Die Flash-Download-Seite werde ich sicher nicht sperren, dann holen sich die ihre Installationsdateien aus dubiosen Quellen und alles wird noch viel schlimmer.
Die Idee mit dem Dienst schien mir spontan einleuchtend, ist es aber wohl doch nicht...
Zu erklären, warum einige User Admin-Rechte haben müssen, würde hier zu weit führen. Ich sehe das wahrhaftig nicht gerne, kann daran aber im Moment nichts ändern und muss mit den Folgen leben. Das schließt auch Diskussionen mit ein, wieso bestimmte Dinge nicht auf den Rechnern sein sollen, und wieso sie dann doch drauf sind... Sowas automatisch wegzupusten erleichtert das zumindest.
Hi.
Wenn Du Leuten Adminrechte schon gibst, lass sie unterschreiben, dass sie diese nur für die von dir definierten Zwecke nutzen dürfen - andernfalls sind daraus entstehende Probleme von ihnen zu verwantworten.
Darüber hinaus kannst Du Software, die von Adobe signiert ist und flashplayer*.exe heißt(das Flash-Setup) blacklisten per Software restriction policy.
Wenn Du Leuten Adminrechte schon gibst, lass sie unterschreiben, dass sie diese nur für die von dir definierten Zwecke nutzen dürfen - andernfalls sind daraus entstehende Probleme von ihnen zu verwantworten.
Darüber hinaus kannst Du Software, die von Adobe signiert ist und flashplayer*.exe heißt(das Flash-Setup) blacklisten per Software restriction policy.
Das wäre ein guter Anfang. War mir bisher gar nicht klar, dass das geht. Nach (zu) kurzer Befassung mit der Materie habe ich aber mehr Fragen als Antworten, da muss ich wohl mal etwas tiefer einsteigen. Gibt es eventuell ein Tutorial oder sowas, das ich jetzt beim googeln übersehen habe?
Ich muss mich korrigieren, leider.
Du kannst mit Appocker so etwas erreichen, siehe für dieses konkrete Beispiel:
Dies geht nicht mit Software restiction policies. Damit könntest Du lediglich von Adobe Signiertes komplett verweigern.
Du kannst mit Appocker so etwas erreichen, siehe für dieses konkrete Beispiel:
