Software Frage wie MS Teams und Cisco Webex SRP-konform unter %programfiles% installieren?

Bestatter

Schwarzfahrer
In der Firmendomäne mit Server 2019 Standard sind SRP (System Restriction Policies) mit Pfadregel aktiv.
Wegen des Parallelbetriebs von Windows 10 Enterprise und Windows 7 Pro ist Applocker (noch) nicht möglich.

Die Standarduser können durch die Pfadregel Programme und Scripts nur in
%PROGRAMFILES% - C:\Programme\*
%PROGRAMFILES(X86)% - C:\Programme (x86)\*
%SystemRoot% - C:\Windows\*
%LOGONSERVER%\netlogon\*
ausführen und haben hier natürlich keine Schreibrechte.

In allen anderen lokalen oder Netzwerkordnern dürfen sie nichts ausführen.
Die Domäne ist dadurch sehr sicher!


Die aktuell gefragten Video-Konferenz-Tools installieren sich in den bislang von mir gefundenen Versionen aber ausschließlich in %appdate% des Users oder %programdata%, wo kein User etwas ausführen darf.

Vor diesem Hintergrund suche ich eine Möglichkeit Cisco Webex und Microsoft Teams in %PROGRAMFILES% oder %PROGRAMFILES(X86)% zu installieren.


Von Teams gibt es zwar einen MSI-Installer und die Daten landen dann auch unter %PROGRAMFILES(X86)%.
Dies ist aber nicht das ausführbare Programm, sondern nur wieder ein selbst nach %temp% entpackender Installer, der jedem sich anmeldenden User die Software wieder nach %appdata% installieren will, was bei uns natürlich scheitert.
 

dr_tommi

alter Oldie
Das ändert aber nichts an dem Problem dass in %appdata% installiert wird und nicht in %programmfiles%.
Obwohl es genau genommen %localappdata% ist.

Ich sehe nur die Möglichkeit mit einer Art Whitelist zu arbeiten und alles zu verbieten (was ja schon aktiv ist) und dann speziell die einzelnen Dateien zu erlauben, die sich nicht davon überzeugen lassen, einen anderen Installationspfad anzunehmen.

Hier wird sowas beschrieben.
https://community.spiceworks.com/ho...ction-policy-to-prevent-cryptolocker-and-more
 

Bestatter

Schwarzfahrer
@Dr.Windos
Dein Webfund ist exakt das, was ich im Starpost mit der MSI erwähnt hatte.
Ich bin anfangs auch darauf hereingefallen ...


Es ist bei Teams ein Mix aus %appdata% und %localappdata%.
Ohne den Anspruch auf Vollständigkeit:
%userprofile%\AppData\Local\Microsoft\Teams\*.*
%userprofile%\AppData\Local\Microsoft\TeamsMeetingAddin\*.*
%userprofile%\AppData\Local\Microsoft\TeamsPresenceAddin\*.*
%userprofile%\AppData\Roaming\Microsoft\Teams\*.*
%userprofile%\AppData\Roaming\Microsoft Teams\*.*
Bei den letzten beiden Zeilen musste ich zwei mal hinsehen! Gleich? Ach nee, doch nicht ...

Das Erstellen von Ausnahmeregeln ist dadurch leider unnötig zeitaufwändig und ggf. nach jedem Update von neuem notwendig.

Ist so etwas mit Applocker einfacher zu handhaben?
Wenn demnächst die letzten Win7 Pro raus fliegen, besteht eine theoretische Möglichkeit von den SRP zu Applocker zu wechseln.


Mache eigentlich nur ich mir Gedanken, warum gerade zwei große US-Firmen solche Tools ohne alternativen "Business"-Installer veröffentlichen?
Gerade Microsoft torpediert damit ja massiv den eigenen - simpel einzuhaltenden - Sicherheits-Standards!
Ich habe jedenfalls eine GF im Nacken, die mir Fragen wie "Warum können das alle anderen, nur wir nicht?" stellt.
In vielen Firmen werden dann sicher die SRP unter Zeitdruck deaktiviert - cui bono?
 

dr_tommi

alter Oldie
@Bestatter
Ich persönlich kenne keine Firma die SRP so rigoros einsetzt wie ihr. Den anderen scheint das wohl nicht ganz so wichtig zu sein. ;)
Bei uns auf unseren Rechnern wird offiziell Cisco Webex eingesetzt, und bei uns wird jedes Bit zentral verwaltet und installiert. Einzelregelungen gibt es nicht. Software kann nur aus einem Katalog mit getesteten Versionen ausgewählt werden.
Standardbrowser ist bei uns immer noch der IE, zwar mittlerweise IE11, aber Chrome und Firefox sind erst seit Ende 2019 nachinstallierbar, früher nur mit ausführlicher Begründung.
Teams habe ich bei mir nachinstalliert, da wir ja sowieso O365 als E-Plan haben. Auch das funktioniert ohne Probleme.

Warum Microsoft das Office365 in %programmfiles% installiert und nur Teams nicht, wissen vermutlich nur die Spezialisten von Microsoft.

Und Teams und Windows 7 passt irgendwie nicht zusammen, da ja die Einführung von Teams nach der Abkündigung von Win7 erfolgte. ;)
 

Bestatter

Schwarzfahrer
Ich bin froh, dass @DrSnuggles mich mal auf SRP gebracht hat!
Es gibt kein besseres Tool um Malware von der Clients fern zu halten.
Außerdem gibt es bei uns eine feste Softwarestruktur und keinen Bedarf, dass die nicht IT-affinen Anwender daran etwas selbst ändern müssen.
In Unternehmen, wo Außendienst-Mitarbeiter auf ihnen unbekannte Strukturen reagieren müssen, sind natürlich andere Ansätze notwendig.

Wenn es wirklich keinen Weg zur Installation bestimmter Tools in %PROGRAMFILES% oder %PROGRAMFILES(X86)% gibt, muss ich den Regelsatz von SRP erweitern.
Gibt es von Euch Erfahrungen, ob diese Tools über die Updates hinweg in unveränderten Pfaden liegen und die selben ausführbaren Dateien haben?

Die letzten Win7-Pro-Clients haben nichts mit diesen Tools zu tun und ihre Ablösung durch neue mit Win10 Enterprise ist zum Glück absehbar.
 

dr_tommi

alter Oldie
ich wollte dich auch nicht von SRP abbringen.
Nicht jeder versieht seine Aufgabe als Admin so gewissenhaft wie du.
Meiner Meinung nach wirst du um die Anpassung der Regeln nicht herum kommen wenn du weiterhin SRP einsetzen willst.

Bisher konnte ich keine Änderung des Installationspfades feststellen, zumindest nicht in den letzten 15 Monaten.
Das bedeutet aber bei Microsoft gar nichts, sollte aber für die nächste Zeit reichen.

Und das mit den Win7-Cliens war auch nicht böse gemeint, ich habe heute bei einem Systemscan laufende XP-Rechner mit Internetzugang ohne Virenschutz oder zusätzliche Firewall gefunden. Ich dachte auch in träume. ;)
 

Bestatter

Schwarzfahrer
Da ich Applocker nicht kenne und bislang niemand geschrieben hat, dass es besser / einfacher als die SRP ist, bleibe ich bei SRP und beiße mich durch die Pfadregeln.

Hat noch jemand eine Idee, ob auch beim Webex-Client die Pfade und Dateien konsistent sind?

Eine kritische Bemerkung zu Win7-Clients nach Mitte Januar 2020 ist immer angebracht!
Mein Interesse die los zu werden, ist groß. Aber es passieren manchmal wundersame Dinge ...
 

Bestatter

Schwarzfahrer
Die MSI packt ja nur einen Click-To-Run-Installer namens Teams.exe und eine json-Datei nach %PROGRAMFILES(X86)%
Wenn man was anpasst, dann vermutlich diese beiden.

Momentan habe ich aber weder einen MSI-Editor noch Zeit und so ist - wenn überhaupt - nur der Weg über SRP-Regelergänzungen möglich.
 

DrSnuggles

Xanatos
@Bestatter:

Habs nicht mit Teams durchgtestet aber eine Certificate Based Rule als Ergänzung könnte helfen.
Musst aber genau schauen welche Löcher du dir damit reißt.

Alterantiv (kostenpflichtig)
https://www.masterpackager.com/blog...er-should-have-looked-like-from-the-beginning
oder für feiner Policies (ebenfalls kostenpflichtig)
Ivanti application control

PS: Wenn du Windows 10 Enterprise einsetzt dann wäre die beste Lösung der Wechsel von SRP zu Applocker:
https://docs.microsoft.com/en-us/microsoftteams/applocker-in-teams
 
Zuletzt bearbeitet:

Bestatter

Schwarzfahrer
Warum Microsoft das Office365 in %programmfiles% installiert und nur Teams nicht, wissen vermutlich nur die Spezialisten von Microsoft.
Die Installation von Office365 packt dann vermutlich auch wieder die Kombi aus Teams.exe und json-Datei in einen Unterordner von %PROGRAMFILES(X86)% und "beglückt" dann jeden sich am System anmeldenden User mit Teams in seinen AppDatas?
 

DrSnuggles

Xanatos
Kann gut sein. Microsoft bekleckert sich in letzter Zeit vielfach nicht mit Enterprise-Tauglichkeit.
Schönes Beispiel ist die .Net Core Runtime. Die wird nicht über Windowsupdate gepatcht und hat auch keinen eigenen Patchmechanismus. Ich glaub es hackt.
 

MPe

Neues Mitglied
Hallo zusammen, ich klinke mich mal mit ein und hoffe ihr seid noch aktiv am Thema dran. Auch wir nutzen SRP und ich halte es für unverzichtbar. Es erhöht die Sicherheit im Netzwerk extrem, vorausgesetzt man investiert etwas Zeit in den Aufbau der Regeln.
Allerdings komme ich mit dem Webmeeting Zeugs nicht um aufwändige Anpassungen herum und die Freigabe von Pfaden bzw. explizite Freigabe von Anwendungen im Profilordner des Users wird notwendig. Microsoft mit Office 365 / Teams ist dabei noch völlig unproblematisch. Kopfzerbrechen bereiten mir Anwendungen wie Webex , welche ständig die Pfade ändern. Ich bekomme das mit SRP nicht zum Laufen, sei denn es werden komplette Unterordner freigegeben. Dadurch werden alle Sicherheitsaspekte außer Kraft gesetzt. Zur Zeit muss ich leider diesen Kompromiss gehen, denn die Anwendung drängt neben Zoom und Teams stark auf den Markt. Welche Erfahrung macht ihr in Bezug auf SRP mit diesen Anwendungen, welche im Profilordner des Users rumwildern und sich aufgrund der sich ständig ändernden Pfadstruktur mit keiner Regel greifen lassen ? Gruß MPe
 
Zuletzt bearbeitet:

Bestatter

Schwarzfahrer
Cisco Webex Meetings "beziehe" ich inzwischen von hier:
Die Datei-Version der MSI entspricht der Build, momentan also 40.9.3.20.
Die Installation erfolgt unter c:\Program Files (x86)\Webex\, macht also keine Probleme bei den SRP.

Ausnahmeregeln für Teams habe ich nicht eingerichtet, weil ohne Zertifikat sonst jede Software dort startbar wird.
Ein Umstieg zu Applocker könnte das Problem wohl lösen.
 

MPe

Neues Mitglied
Morning, danke für den Hinweis, die MSI Version hatte ich noch nicht geprüft. Sehr oft gehen die Leute selbstständig über den Browser was dann zum Scheitern führt. Applocker kann ich leider mit W10Pro nicht nutzen.
 
Oben Unten