Software Frage wie MS Teams und Cisco Webex SRP-konform unter %programfiles% installieren?

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von Bestatter, 22 April 2020.

  1. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    In der Firmendomäne mit Server 2019 Standard sind SRP (System Restriction Policies) mit Pfadregel aktiv.
    Wegen des Parallelbetriebs von Windows 10 Enterprise und Windows 7 Pro ist Applocker (noch) nicht möglich.

    Die Standarduser können durch die Pfadregel Programme und Scripts nur in
    %PROGRAMFILES% - C:\Programme\*
    %PROGRAMFILES(X86)% - C:\Programme (x86)\*
    %SystemRoot% - C:\Windows\*
    %LOGONSERVER%\netlogon\*
    ausführen und haben hier natürlich keine Schreibrechte.

    In allen anderen lokalen oder Netzwerkordnern dürfen sie nichts ausführen.
    Die Domäne ist dadurch sehr sicher!


    Die aktuell gefragten Video-Konferenz-Tools installieren sich in den bislang von mir gefundenen Versionen aber ausschließlich in %appdate% des Users oder %programdata%, wo kein User etwas ausführen darf.

    Vor diesem Hintergrund suche ich eine Möglichkeit Cisco Webex und Microsoft Teams in %PROGRAMFILES% oder %PROGRAMFILES(X86)% zu installieren.


    Von Teams gibt es zwar einen MSI-Installer und die Daten landen dann auch unter %PROGRAMFILES(X86)%.
    Dies ist aber nicht das ausführbare Programm, sondern nur wieder ein selbst nach %temp% entpackender Installer, der jedem sich anmeldenden User die Software wieder nach %appdata% installieren will, was bei uns natürlich scheitert.
  2. Dr.Windos

    Dr.Windos Chef

    Registriert seit:
    13 Mai 2001
    Beiträge:
    712
  3. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    13.944
    Das ändert aber nichts an dem Problem dass in %appdata% installiert wird und nicht in %programmfiles%.
    Obwohl es genau genommen %localappdata% ist.

    Ich sehe nur die Möglichkeit mit einer Art Whitelist zu arbeiten und alles zu verbieten (was ja schon aktiv ist) und dann speziell die einzelnen Dateien zu erlauben, die sich nicht davon überzeugen lassen, einen anderen Installationspfad anzunehmen.

    Hier wird sowas beschrieben.
    https://community.spiceworks.com/ho...ction-policy-to-prevent-cryptolocker-and-more
    Dr.Windos sagt Danke.
  4. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    @Dr.Windos
    Dein Webfund ist exakt das, was ich im Starpost mit der MSI erwähnt hatte.
    Ich bin anfangs auch darauf hereingefallen ...


    Es ist bei Teams ein Mix aus %appdata% und %localappdata%.
    Ohne den Anspruch auf Vollständigkeit:
    %userprofile%\AppData\Local\Microsoft\Teams\*.*
    %userprofile%\AppData\Local\Microsoft\TeamsMeetingAddin\*.*
    %userprofile%\AppData\Local\Microsoft\TeamsPresenceAddin\*.*
    %userprofile%\AppData\Roaming\Microsoft\Teams\*.*
    %userprofile%\AppData\Roaming\Microsoft Teams\*.*
    Bei den letzten beiden Zeilen musste ich zwei mal hinsehen! Gleich? Ach nee, doch nicht ...

    Das Erstellen von Ausnahmeregeln ist dadurch leider unnötig zeitaufwändig und ggf. nach jedem Update von neuem notwendig.

    Ist so etwas mit Applocker einfacher zu handhaben?
    Wenn demnächst die letzten Win7 Pro raus fliegen, besteht eine theoretische Möglichkeit von den SRP zu Applocker zu wechseln.


    Mache eigentlich nur ich mir Gedanken, warum gerade zwei große US-Firmen solche Tools ohne alternativen "Business"-Installer veröffentlichen?
    Gerade Microsoft torpediert damit ja massiv den eigenen - simpel einzuhaltenden - Sicherheits-Standards!
    Ich habe jedenfalls eine GF im Nacken, die mir Fragen wie "Warum können das alle anderen, nur wir nicht?" stellt.
    In vielen Firmen werden dann sicher die SRP unter Zeitdruck deaktiviert - cui bono?
  5. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    13.944
    @Bestatter
    Ich persönlich kenne keine Firma die SRP so rigoros einsetzt wie ihr. Den anderen scheint das wohl nicht ganz so wichtig zu sein. ;)
    Bei uns auf unseren Rechnern wird offiziell Cisco Webex eingesetzt, und bei uns wird jedes Bit zentral verwaltet und installiert. Einzelregelungen gibt es nicht. Software kann nur aus einem Katalog mit getesteten Versionen ausgewählt werden.
    Standardbrowser ist bei uns immer noch der IE, zwar mittlerweise IE11, aber Chrome und Firefox sind erst seit Ende 2019 nachinstallierbar, früher nur mit ausführlicher Begründung.
    Teams habe ich bei mir nachinstalliert, da wir ja sowieso O365 als E-Plan haben. Auch das funktioniert ohne Probleme.

    Warum Microsoft das Office365 in %programmfiles% installiert und nur Teams nicht, wissen vermutlich nur die Spezialisten von Microsoft.

    Und Teams und Windows 7 passt irgendwie nicht zusammen, da ja die Einführung von Teams nach der Abkündigung von Win7 erfolgte. ;)
  6. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    Ich bin froh, dass @DrSnuggles mich mal auf SRP gebracht hat!
    Es gibt kein besseres Tool um Malware von der Clients fern zu halten.
    Außerdem gibt es bei uns eine feste Softwarestruktur und keinen Bedarf, dass die nicht IT-affinen Anwender daran etwas selbst ändern müssen.
    In Unternehmen, wo Außendienst-Mitarbeiter auf ihnen unbekannte Strukturen reagieren müssen, sind natürlich andere Ansätze notwendig.

    Wenn es wirklich keinen Weg zur Installation bestimmter Tools in %PROGRAMFILES% oder %PROGRAMFILES(X86)% gibt, muss ich den Regelsatz von SRP erweitern.
    Gibt es von Euch Erfahrungen, ob diese Tools über die Updates hinweg in unveränderten Pfaden liegen und die selben ausführbaren Dateien haben?

    Die letzten Win7-Pro-Clients haben nichts mit diesen Tools zu tun und ihre Ablösung durch neue mit Win10 Enterprise ist zum Glück absehbar.
  7. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    13.944
    ich wollte dich auch nicht von SRP abbringen.
    Nicht jeder versieht seine Aufgabe als Admin so gewissenhaft wie du.
    Meiner Meinung nach wirst du um die Anpassung der Regeln nicht herum kommen wenn du weiterhin SRP einsetzen willst.

    Bisher konnte ich keine Änderung des Installationspfades feststellen, zumindest nicht in den letzten 15 Monaten.
    Das bedeutet aber bei Microsoft gar nichts, sollte aber für die nächste Zeit reichen.

    Und das mit den Win7-Cliens war auch nicht böse gemeint, ich habe heute bei einem Systemscan laufende XP-Rechner mit Internetzugang ohne Virenschutz oder zusätzliche Firewall gefunden. Ich dachte auch in träume. ;)
    eumel_1 sagt Danke.
  8. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    Da ich Applocker nicht kenne und bislang niemand geschrieben hat, dass es besser / einfacher als die SRP ist, bleibe ich bei SRP und beiße mich durch die Pfadregeln.

    Hat noch jemand eine Idee, ob auch beim Webex-Client die Pfade und Dateien konsistent sind?

    Eine kritische Bemerkung zu Win7-Clients nach Mitte Januar 2020 ist immer angebracht!
    Mein Interesse die los zu werden, ist groß. Aber es passieren manchmal wundersame Dinge ...
  9. SkAvEnGeR

    SkAvEnGeR Master of Tools

    Registriert seit:
    21 Mai 2001
    Beiträge:
    5.728
    Kannst du nicht die MSI von MsTeams mit einem MSI-Editor aka Orca an deine Bedürfnisse anpassen?
    Bestatter sagt Danke.
  10. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    Die MSI packt ja nur einen Click-To-Run-Installer namens Teams.exe und eine json-Datei nach %PROGRAMFILES(X86)%
    Wenn man was anpasst, dann vermutlich diese beiden.

    Momentan habe ich aber weder einen MSI-Editor noch Zeit und so ist - wenn überhaupt - nur der Weg über SRP-Regelergänzungen möglich.
  11. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.193
    @Bestatter:

    Habs nicht mit Teams durchgtestet aber eine Certificate Based Rule als Ergänzung könnte helfen.
    Musst aber genau schauen welche Löcher du dir damit reißt.

    Alterantiv (kostenpflichtig)
    https://www.masterpackager.com/blog...er-should-have-looked-like-from-the-beginning
    oder für feiner Policies (ebenfalls kostenpflichtig)
    Ivanti application control

    PS: Wenn du Windows 10 Enterprise einsetzt dann wäre die beste Lösung der Wechsel von SRP zu Applocker:
    https://docs.microsoft.com/en-us/microsoftteams/applocker-in-teams
    Zuletzt bearbeitet: 24 April 2020
    Dr.Windos und Bestatter sagen Danke.
  12. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.193
    Dr.Windos und Bestatter sagen Danke.
  13. Bestatter

    Bestatter Schwarzfahrer

    Registriert seit:
    30 Mai 2001
    Beiträge:
    5.395
    Die Installation von Office365 packt dann vermutlich auch wieder die Kombi aus Teams.exe und json-Datei in einen Unterordner von %PROGRAMFILES(X86)% und "beglückt" dann jeden sich am System anmeldenden User mit Teams in seinen AppDatas?
  14. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.193
    Kann gut sein. Microsoft bekleckert sich in letzter Zeit vielfach nicht mit Enterprise-Tauglichkeit.
    Schönes Beispiel ist die .Net Core Runtime. Die wird nicht über Windowsupdate gepatcht und hat auch keinen eigenen Patchmechanismus. Ich glaub es hackt.
    Dr.Windos sagt Danke.