Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie macht ihrs? Zentrales Update von Flash, Reader und Java

Frage Sicherheit

Mitglied: 4eversr

4eversr (Level 1) - Jetzt verbinden

09.03.2011, aktualisiert 08:11 Uhr, 18639 Aufrufe, 15 Kommentare

Als Systemadministrator einer großen Firma hat man es im Allgemeinen nicht einfach, alle seine Schäfchen "clean" zu halten.

Doch Firmen wie Microsoft mit ihrem WSUS-Server, oder z.B. McAfee mit dem epolicy Orchestrator haben die Zeichen der Zeit erkannt und die zentrale Update-Verteilung und das Management zum Kinderspiel gemacht.

Die größte und problematischte Lücke für ein firmenweites Sicherheitsrisiko sehe ich an einer fehlenden Lösung für Adobe Produkte, auch Java mangelt es daran. Wenn ich sehe, wie schnell ein System über eine Adobe Flash Lücke infiziert werden kann wird mir ganz unwohl.

Daher meine Frage: Wie stellt ihr sicher das alle Rechner der Firma stehts über den aktuellen Adobe Flash-Player, Adobe Reader, Adobe Photoshop oder Java Sun verfügen ? - Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?

Unsere "User" arbeiten mit Hauptbenutzer-Rechten, wir haben keine ActiveDirectory, sondern eine Novell edirectory mit Zenworks 7 für die Softwareverteilung im Einsatz. - Eine vernünftige, verlässliche Ausrollung mit Zenworks 7 habe ich aber noch nicht erreicht, da sich die Flash MSI-Pakete nur bei angemeldetem Benutzer ordentlich installieren lassen.
Mitglied: ullic
09.03.2011 um 08:12 Uhr
Ich benutze WPKG, auch für Firefox und diverse andere. Einfach grossartig!

- Ulli -
Bitte warten ..
Mitglied: commanderDATA
09.03.2011 um 08:18 Uhr
Hallo,

Ich habe in der Registry dem User die Rechte auf die Schlüssel gegeben die die Programme zur Installation benötigen.

Die benötigten Schlüssel findest du auf der Seite der Sotwarehersteller nach einigem zuschen.

Dann sind die User in der Laage die Updates selbst durchzuführen...
Bitte warten ..
Mitglied: KowaKowalski
09.03.2011 um 10:26 Uhr
Zitat von commanderDATA:
>.... Dann sind die User in der Laage die Updates selbst durchzuführen...

hi,

was Dir aber nicht garantiert das sie´s auch tun!


mfg
Bitte warten ..
Mitglied: danielfr
09.03.2011 um 10:39 Uhr
@ullic: Das Tool sieht sehr interessant aus. Ich würde es gerne testen, vielleicht kannst Du mir aber noch ein paar (ganz einfache ) Fragen beantworten:
- Wie hoch Du als Einarbeitungsaufwand ein?
- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu können wäre für mich sehr hilfreich...
Danke und Gruß Daniel
Bitte warten ..
Mitglied: commanderDATA
09.03.2011 um 10:52 Uhr
Zitat von KowaKowalski:
was Dir aber nicht garantiert das sie´s auch tun!


Spätestens wenn sie wärend der Arbeit kein Youtube mehr gucken können versuchen sie es;)
Bitte warten ..
Mitglied: ullic
09.03.2011 um 10:57 Uhr
Hi,

- Wie hoch Du als Einarbeitungsaufwand ein?
Minimal Auf jedem Rechner das Clienttool installieren, und auf einen zentralen Share die Files plus Steuerungsdateien (XML) kopieren. Alles sehr gut in einem Wiki-Dokumentiert.

- Ab welcher Größe lohnt das Tool (ich habe Kunden mit 5 clients und auch mit 80) Deiner Meinung nach?
Ich würde mal sagen ab 2 Vor allem da etliche Applikationen darüber verteilt werden können, genauso wie Einstellung geändert werden. Eine gute Übersicht ist unter http://wpkg.org/Category:Silent_Installers

- Wie aufwändig ist es, eine Installation, z.B. v. Firefox einzurichten?
Minimal. Hängt natürlich vom Installer der jeweiligen Software ab. Gerade FF ist sehr pflegeleicht, bei jeder neuen Version, neue Revision eintragen, aktuellen Installer zum zentralen Share hochladen, fertig

Soll keine wissenschaftlich Ausführung sein, aber vielleicht ne Hausnummer um den Aufwand etwas abschätzen zu
können wäre für mich sehr hilfreich...
Ich habe ungefähr eine halbe Stunde mit dem Lesen der Doku verbracht dann mal probeweise auf einem Testrechner den Clienten eingerichtet und getest. Alles in allem 2-3 Std. War sofort sehr zufrieden und hab dann nach und nach immer mehr Rechner mit eingehängt. Selbst bei seltenen Problemen (z.B. Tippfehler o.ä.) läuft alles weiter stabil, die WPKG-Clients überspringen dann einfach die fehlerhaften Einträge Zudem lässt sich zur Not natürlich auch alles per Hand updaten...

Also, ich bin schwer begeistert, erleichtert mir das Updaten etlicher Rechner (mit XP, W732 und W764) mit unterschiedlichster Software ungemein.

Probier's einfach mal auf einem Testrechner/VM aus

- Ulli -
Bitte warten ..
Mitglied: danielfr
09.03.2011 um 11:13 Uhr
Vielen Dank Ulli, das mache ich.
Bitte warten ..
Mitglied: 4eversr
09.03.2011 um 11:26 Uhr
Sehe ich richtig, dass die WPKG-Server-Komponenten gar nicht auf einem Windows-OS "installiert" werden müssen, da sie nicht aktiv sondern passiv laufen ?
Man könnte sie daher ja einfach auf einem beliebigen Fileserver ablegen, wie z.B. ein NAS ?
Bitte warten ..
Mitglied: ullic
09.03.2011 um 11:33 Uhr
Yep. Muss nur als Windows-Share erreichbar sein. Die "Server-Komponente" ist ein Script, dass nach Verbindung zum Share lokal auf dem Client ausgeführt wird...
Bitte warten ..
Mitglied: 4eversr
09.03.2011 um 11:41 Uhr
*g* Ich denke/hoffe ein Novell-Share akzeptiert der Client auch. - Ich wüsste aber nichts was dagegen spricht... - Momentan leider etwas stressig hier, werde das WPKG in den nächsten Tagen mal antesten. Diese Report-Komponente/Webserver scheint ja für die Auswertung/Management auch ganz interessant zu sein, auf einen Blick sieht man auf welchem Client etwas geklappt hat oder schiefgelaufen ist. - Wäre ich froh die nervtötenden User-Anrufe "Mein Flash tut nicht" oder "Mein PC will Flash updaten, darf ich das?" loszuwerden.
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 00:54 Uhr
Anmerkungen:

-Hauptbenutzerrechte... geht sicherheitstechnisch gar nicht. Jeder Administrator sollte wissen, das Hauptbenutzer sich selbst mit einem kleinen Kunstgriff zu lokalen Admins machen können. Auch ohne das können sie das System weit besser verseuchen als normale Benutzer. Und gebraucht werden die Privilegien wofür?
-Flash-MSI rollen sich seit Jahren bei uns problemlos ohne angemeldete Benutzer aus - was macht Ihr wohl anders? Wir nutzen GPOs, aber ein Startskript würde ebenso funktionieren.
Gibt es irgendeinen Anbieter der so einen Update-Server (wie EPO oder WSUS) für Adobe Produkte bereitstelltt ?
Secunia CSI bindet sich in WSUS ein und patcht diverse bekannte Softwares problemlos. Kostet allerdings pro Client Geld.
-Java JRE und Adobe Reader: auch dafür gibt es MSIs bzw. Silent-Schalter für Euer Startskript.

-Prinzipiell: Warum jede Software aktuell halten? Was beschützt Ihr denn überhaupt und gegen wen? Ich stelle Euer Konzept in Frage. Hinterherpatchen ist immer nur Augenwischerei. Zur Verdeutlichung: Auf PCs, auf denen nachrichtendienstlich relevante Daten ("VS-Vertraulich"/"VS-(streng)geheim") verarbeitet werden, ist ein Netzwerkanschluss kategorisch gesetzlich ausgeschlossen.
Nun frag Dich: was macht denn diese "nachrichtendienstlich relevanten Daten" wichtiger als Eure Firmendaten? Prinzipiell erst einmal gar nichts - Eure Daten können theoretisch sogar einen höheren Schutzbedarf haben. VS-Daten können nur offiziell klassifiziert werden, das ist der ganze Unterschied.

Besser wäre evtl. Folgendes: Damit keine Daten via Internet abfließen können: die Clients nur über einen Remoteserver ins Internet lassen.
Damit die Server nicht angreifbar sind, sollte man deren Dienste natürlich patchen - aber das hat mit Deinen Programmen nichts zu tun.
Der nächste Schritt, die Clients GEGENEINANDER abzuriegeln, ist die wahre Herausforderung. Wie stellt man sicher, dass Herr Meier nicht Herrn Müller eine Mail mit einem verseuchten PDF schickt (0-Day), welches Müllers Adobe Reader (aktuell gepatcht) dazu bringt, irgendeinen Befehl auszuführen, der (in welcher Form auch immer) dem Angreifer Zugriff auf Müllers Daten gewährt?
Man müsste sicherstellen, dass kein Datenstrom vom Angegriffenen weg zu unautorisierten Zielen fließen darf ("content inspection"). Geht alles mit dem nötigen Kleingeld.

Dein Ansatz ist zwar löblich, aber geht, wenn ich mal mutmaßen darf, im Sicherheitsgesamtkonzept unter. Wo noch Hauptbenutzer rumschwirren, würde ich von Sicherheitsbedenken gegenüber Adobe Software schnell Abschied nehmen.
Bitte warten ..
Mitglied: 4eversr
14.03.2011 um 12:05 Uhr
@DerWoWusste

Zu allererst muss ich sagen, finde ich deinen Beitrag sehr "angreiferisch" formuliert. Ob das nun unbedingt nötig war...

Wir fahren mit Hauptbenutzerrechten eigentlich sehr gut. - Ich muss erwähnen, dass wir ein kleiner, mittelständischer Betrieb sind. Als ich vor 4 Jahren hier anfing, arbeiteten alle Benutzer mit lokalen Admin-Rechten, was sicherheitstechnisch sicher Irrsinn war, aber auch keinerlei Probleme im Tagesbetrieb machte. Zumal die Benutzer damals keinen Internetzugang hatten. - Natürlich wären "normale Userrechte" sicherer, aber ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.

Was die Ausrollung von Flash-MSIs angeht, haben wir gerade mit den MSIs Probleme eine Ausrollung ohne angemeldete Benutzer zu machen. Wir haben wie gesagt, keine Active Directory, sondern eine Novell edirectory mit Zenworks 7 zur Softwareverteilung, welches Probleme bei der MSI Ausrollung bei nicht angemeldetem Benutzer macht. - Bei Startskripten sehe ich wiederum das Problem der nicht vorhandenen Administratorrechte,die für eine Flash-MSI-Ausrollung nötig wären !? - Vielleicht kannst du hier nochmal einen Tipp geben, wie ein Benutzer-Startskript Adminrechte für eine MSI-Ausrollung bekommt ?

"Warum jede Software aktuell halten" -> Wir schützen unsere Anwender so gut es eben möglich ist, durch aktuellste Software-Patche vor manipulierten PDF/Flash-Seiten, die Viren/Trojaner/Spyware/Bot-Netze enthalten/bilden können. Jeder kleine Patch hilft hier, sofern er eine mögliche Infizierung des Systems dadurch verhindert werden kann. - Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 13:32 Uhr
Hi.

War in der Tat offensiv gemeint, jedoch keineswegs aggressiv

Du machst Dir Sorgen um Sicherheit und zwar auf hohem Niveau - das wollte ich verdeutlichen. Das beißt sich mit den Hauptbenutzern.
ich würde sagen wir haben keine Mitarbeiter die versiert genug wären sich Adminrechte auf dem System zu verschaffen.
Dass die Mitarbeiter es ergooglen ist nicht denkbar? Dann wollen sie es nicht - immerhin. Jedoch sind auch Hauptbenutzer zu stark um sicher zu sein. Schaff die ab, wenn möglich.

Ich würde Flash über ein Startskript installieren, das hat Systemrechte (=höher als Adminrechte).

Warum sollte die IT die Software nicht aktuell halten und eine mögliche Infizierung riskieren, wenn es technisch machbar ist diese zu verhindern ?
Ich hab den Gedanken doch gut geheißen. In Frage stelle ich ihn dennoch, da viele Admins das Updaten überbewerten und dafür banale Dinge (wie Kennwörter oder die Vergabe von Hauptbenutzerrechten oder die physikalische Sicherheit) hintenan stellen. Für mich ist das Updaten von Anwendungen, die nicht vom Netzwerk aus angegriffen werden können (da sie nicht lauschen) ziemlich weit hinten anzusiedeln. Das ist mein Punkt, den ich rüberbringen wollte.
Bitte warten ..
Mitglied: Kirithian
07.10.2013 um 14:46 Uhr
Was mich zu dem WPKG tool interessiert:

Das erinnert mich dann ja schon sehr an die von Windows mögliche programmverteilung über GPO's.
Wo genau liegt der unterschied, bzw der markante vorteil?

Ich suche ähnliches für meine Domänenstruktur, aber bestenfalls etwas in dem ich nicht jede neue Softwareversion
auf dem Server einbinden muss. Gibts nicht etwas welches sich selbst aktualisiert und dies dann an die Clients verteilt??
Bitte warten ..
Mitglied: DerWoWusste
07.10.2013 um 19:17 Uhr
Hi.

Stell eine neue Frage, diesen thread nach 2 1/2 Jahren wiederzubeleben lassen wir mal aus, oder?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
Update Adobe Reader ähnlich WSUS Server (5)

Frage von sockel7 zum Thema Microsoft ...

Windows Server
Windows-Update für Secure-Boot-Fehler macht BIOS-Updates erforderlich (2)

Link von Penny.Cilin zum Thema Windows Server ...

Windows 10
Windows-Update macht Minix-PC unbrauchbar (1)

Link von runasservice zum Thema Windows 10 ...

Windows 10
gelöst Adobe Reader DC macht komische Dinge (2)

Frage von Fenris14 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...