Verhinderung Installation von Apps auf einem Client

[RAMSoße]

Hallo Zusammen

Frage in die verschneite Runde: Wie löst ihr das in eurem Unternehmen oder zu Hause.
Ich möchte gern verhindern das User auf ihrem Client z.B. portable Apps installieren oder diese gar ausführen.

Meine Überlegungen wäre:

Über GPO bzw. Software Restriction Policies. Die KI schreibt, dass man dies über Hashwerte der Datei realisieren kann.
Was prinzipiell schon ganz gut klingt, aber wenn sich der Hashwert ändert, weil z.B. eine Neue Version zum download steht, steht man wieder da.

Grüße und vielen Dank

 

[Cyronis]

Applocker oder WDAC (Windows Defender Application Control) wenns auf Windows ist
wobei Applocker vermutlich einfacher zum erstellen geht

Dort dann die Apps per Publisher, Path oder File Hash blockieren

Ich würds halt mal Lokal ausprobieren obs passt und dann wellen ausrollen über GPO

 

[nebulein]

Nur Admins dürfen Software installieren. Das über GPO als Richtlinie verteilen, fertig.

 

[bondki]

Das geht mit portable Versionen aber nicht, da die meist ohne Installation auskommen

 

[RAMSoße]

@Cyronis

wunderbar. kannte ich nicht. Vielen Dank

 

[Mr.Seymour Buds]

Vergiss nicht den guten, alten Vertrag. Schreib in den Arbeitsvertrag, dass jede Installation durch Mitarbeiter untersagt ist.

 

[Aduasen]

Das sollte grundsätzlich in jedem Mitarbeitervertrag drin stehen.

 

[RAMSoße]

Bezüglich Vertrag, klar, dass ist wohl bei jedem größerem Unternehmen jetzt standart. Aber was da drin steht und wie gehandelt wird, sind zwei unterschiedliche Paar Schuhe. Wenn man das genau nehmen würde, hätten einige Firmen keine Mitarbeiter mehr. Oder alle hätten einen Grant auf die IT-Abteilung. Da will keiner so streng sein. Lieber die Möglichkeit unterbinden wie danach "bestrafen". Hat ja auch einen psychologischen Effekt.

 

[Pako1997]

Wenn es der psychologische Effekt sein soll:
Jede Anfrage auf portableapps.com und wie die ganzen Seiten alle heißen zusätzlich noch per DNS blocken oder eine Warnung anzeigen. Das löst definitiv nicht dein Problem, aber zeigt doch eben was nicht erlaubt ist.

 

[RAMSoße]

ist schon umgesetzt. nur bekommt man die Dinger ja auch über heise.de usw.

wenn ich das mit dem Applock hinbekommen habe, werde ich mal berichten

 

[micha`]

Jede Anfrage auf portableapps.com und wie die ganzen Seiten alle heißen

Ich würde vermuten, dass das vergeudete Zeit ist. Die 08/15 Nutzer, die das hier treffen soll, kennen diese Seiten in aller Regel eh nicht. Du bekommst diese Versionen mittlerweile oftmals direkt beim Hersteller und die Nutzer klicken dann einfach 3x ohne Nachzudenken.

Grüße

 

[RAMSoße]

@micha`

wie hast du das gelöst?

 

[Aduasen]

Das Unternehmen, in dem ich 32 Jahre lang gearbeitet habe, hat das mit den Arbeitsverträgen geregelt und zusätzlich halt festgeschrieben, dass für beruflich genutzte Rechner NULL private Software aufgespielt werden darf.
Die Smartphones, die Nutzer bekamen, die im Außendienst tätig waren, sind Eigentum des Unternehmens gewesen und wurden von der IT-Abteilung eingerichtet, bevor sie an die Kollegen übergeben wurden.
Und ja - es gehen dann halt ab und an Kollegen, die renitent gegen ihre Arbeitsverträge verstoßen.

 

[Conqi]

Das Unternehmen, in dem ich 32 Jahre lang gearbeitet habe, hat das mit den Arbeitsverträgen geregelt und zusätzlich halt festgeschrieben, dass für beruflich genutzte Rechner NULL private Software aufgespielt werden darf.

Das ist halt keine gute Lösung aus meiner Sicht, weil es immer Leute gibt, die das wissentlich oder unwissentlich umgehen. Für sowas braucht es einfach technische Maßnahmen, sonst räumt man permanent hinter den Leuten her. Oder man tut es nicht und hat haufenweise Schrottsoftware auf den Rechnern.

In der Betriebsanweisung und im Arbeitsvertrag sollte es natürlich trotzdem drinstehen, aber das ist genau so eine "Lösung" wie "Geld nehmen verboten" an den offenen Safe zu kleben.

 

[darkalucard87]

Also wir sperren bei uns z.B. Browser die sich in den User-Kontext installieren, indem wir per Software Restriction Policy die entsprechenden Verzeichnisse in %Appdata% sperren.

Portable Programme wären schon schwieriger.
Ich bin ehrlich gesagt nicht mehr ganz im Thema was die Limitierungen der SRP / Applocker (2.0) sind,
aber was du versuchen könntest:

1) Blacklisting: Sperren von bestimmten ausführbaren Dateitypen aus den User-Verzeichnissen (Downloads, Desktop, etc)
2) Whitelisting: nur ausführung aus Windows \ Program Files \ etc. zulassen + Ausnahmen

Hier muss man aber je nachdem recht vorsichtig sein. Als ich mit Applocker versucht habe bestimmtes zu sperren, hat öfters mal das Startmenu nicht mehr geladen. Ich meine da gings aber um Powershell / Windows-Apps wo die Richtlinie ein bisschen zu viel gesperrt hatte ^^'

 

[Evil E-Lex]

Ich möchte gern verhindern das User auf ihrem Client z.B. portable Apps installieren oder diese gar ausführen.

Warum nur portable Apps?

Ich kann auf meinem Domänen-PC

• keine ausführbaren Dateien herunterladen
• keine ausführbaren Dateien per E-Mail empfangen/versenden
• keine ausführbaren Dateien per USB auf den Rechner transferieren
• ein optisches Laufwerk ist nicht eingebaut

Adminrechte gibt's natürlich auch nicht, sonst wären die restlichen Einschränkungen wertlos.

Schon stellt sich das Problem nicht.

 

[Ranayna]

Das ist halt keine gute Lösung aus meiner Sicht, weil es immer Leute gibt, die das wissentlich oder unwissentlich umgehen.

Bei einem unwissentlichem Umgehen hilft ein aufklaerendes Gespraech. Da darf man als ITler hat nicht sofort patzig um die Ecke kommen und einen User der sowas gemacht hat direkt zur Schnecke machen.

Passiert das dann wieder, erst dann kann man ueberhaupt von wissentlich sprechen, gibts dann einen weiteren, dann nicht mehr so freundlichen Hinweis, und danach eine Meldung an den Vorgesetzten, der dann disziplinarische Massnahmen ergreifen kann, oder Ausnahmen definiert das die Software ggf. offiziell freigegeben wird.

Eine Einfuehrung von Applocker ist ein grosses Unterfangen, wenn man es vernuenftig machen will.
Da gilt es "Testen, Testen, Testen", und "pflegen, pflegen, pflegen", denn mit einmal Einrichten ist es bei sowas wie Applocker ja nicht getan, das muss gepflegt werden.
Sonst entstehen entweder Luecken, wenn zu wenig geblockt wird, oder die Rechner funktionieren nicht mehr, wenn zu viel geblockt wird.
Fuer kleinere interne IT-Abteilungen wird das schnell zu viel, insbesondere wenn das Softwareportfolio gross ist.

 

[RAMSoße]

Applocker funktioniert leider nur mit Enterprise Lizenzen. mhhh
Dann muss vielleicht doch eine andere Lösung her. GPO oder gar gleich die Firewall