Kan Windows10 normal user toch programma's installeren?

Je probleemomschrijving is nog redelijk vaag. Een beetje iets van "mijn auto start soms niet, hoe kan dat"?

Anyway, je kan zonder administrator rechten gewoon programma's uitvoeren. Pas als je ze installeert in "C:\Program Files" heb je admin rechten nodig. Chrome kan (dacht ik) gewoon geïnstalleerd worden in %APPDATA% van de gebruiker. Als bijvoorbeeld die password manager gewoon een portable programma'tje is, kan je die ook gewoon uitvoeren.

Als je daadwerkelijk het uitvoeren van software wil blokkeren, dan kan je kijken naar AppLocker, maar dat werkt niet op Windows 10 Pro.

Euhm, op duizend manieren.

Bijvoorbeeld als je adminwachtwoord onder de 15 karakters is, kun je de LM gewoon uitlezen. Daar kun je gewoon bij als je geen Bitlocker hebt. Bovendien kunnen users altijd software uit de Windows Store installeren en ook altijd software in de AppData en LocalAppData installeren.

Malware installeert zichzelf overigens altijd op plaatsen waar geen admincredentials voor nodig zijn. Wil je dat voorkomen dan zul je moeten gaan werken met Software Restriction Policies.

Is dit een antwoord op je vraag? Of wil je specifiek weten hoe gebruikers in jouw geval software hebben kunnen installeren? Dan zul je wat logs moeten plaatsen.

[ Voor 16% gewijzigd door Trommelrem op 07-04-2018 10:50 ]

Je moet jezelf de vraag stellen waarom je het je gebruikers niet toestaat om een browser of password manager te installeren. Draai het om en biedt het aan als een service, dan zal een gebruiker ook eerder geneigd zijn zich aan de policies te houden.

DAzN schreef op zaterdag 7 april 2018 @ 10:50:
Je moet jezelf de vraag stellen waarom je het je gebruikers niet toestaat om een browser of password manager te installeren. Draai het om en biedt het aan als een service, dan zal een gebruiker ook eerder geneigd zijn zich aan de policies te houden.

Een vrij irrelevante opmerking. Er kunnen legio redenen zijn waarom je in een zakelijke omgeving niet wilt dat gebruikers programma’s installeren. Om licentieredenen, om te voorkomen dat ze zelf (dure) commerciele software illegaal installeren, om security redenen (om te voorkomen dat ze malware installeren), om de stabiliteit te garanderen (zodat alleen goed geteste software geinstalleerd wordt), voor standaardisatie (zodat jij maar 1 browser hoeft te beheren en niet allerlei verschillende), etc.

Meteen schreef op zaterdag 7 april 2018 @ 11:02:
Dus mijn veronderstelling dat je altijd admin rights nodig hebt om te installeren is niet juist! Althans voor Windows. Voor Linux en OSX geldt dat toch wel?

Bij ongeveer ieder OS kan je gewoon binaries uitvoeren zonder admin rechten.

downtime schreef op zaterdag 7 april 2018 @ 10:58:
[...]

Een vrij irrelevante opmerking. Er kunnen legio redenen zijn waarom je in een zakelijke omgeving niet wilt dat gebruikers programma’s installeren. Om licentieredenen, om te voorkomen dat ze zelf (dure) commerciele software illegaal installeren, om security redenen (om te voorkomen dat ze malware installeren), om de stabiliteit te garanderen (zodat alleen goed geteste software geinstalleerd wordt), voor standaardisatie (zodat jij maar 1 browser hoeft te beheren en niet allerlei verschillende), etc.

Ik vind hem niet zo irrelevant, want het is mogelijk dat TS een probleem probeert op te lossen dat er niet is of niet hoeft te zijn.

Uiteraard zijn er legio legitime redenen waarom je niet wilt dat een gebruiker zelf dingen installeert. Maar de voorbeelden die hier worden genoemd (browser en password manager) vallen daar naar mijn mening niet onder. Sterker nog, als je dat gaat proberen te voorkomen, ga je alleen maar gebruikers krijgen die proberen er omheen te werken.

Door met je gebruikers in gesprek te gaan bereik je naar mijn mening dat er wederzijds respect ontstaat en je kunt tegelijkertijd van de gelegenheid gebruik maken om je dienstverlening te verbeteren.

@Meteen Als je dat niet wilt moet je de gebruikers beperken executables vanuit hun appdata of zelfs user profile uit te voeren. Maar dit kan behoorlijke impact hebben, als je gebruikers hier op voorbereid zijn of als je als IT-afdeling niet snel kan reageren op verzoeken van gebruikers.

Ja, dan is de vraag of je dat moet willen. Ik neem aan dat het dan ook niet veel werkplekken en/of medewerkers zijn. Daar lijkt het me dan redelijk makkelijk afspraken mee maken. Maar zorg dat je luistert naar je gebruikers en hun wensen en groei met ze mee.

Elke gebruiker klikt wel eens ergens op een ransomware.
De truuk is dat jij moet zorgen dat die ransomware geïsoleerd op die PC blijft en niet het netwerk infecteert.
En als het netwerk geinfecteert is, dat je de offline backup terug kan zetten.

Daarna kan je eens kijken of het lukt om de PC's zelf te beveiligen (met de wensen van de gebruikers).

[ Voor 36% gewijzigd door DJMaze op 07-04-2018 12:12 ]

Meteen schreef op zaterdag 7 april 2018 @ 11:02:
Dus mijn veronderstelling dat je altijd admin rights nodig hebt om te installeren is niet juist! Althans voor Windows. Voor Linux en OSX geldt dat toch wel?

Dan maar eens de policies bestuderen!

Da's een foute veronderstelling.
Kijk bijv. eens hoe chrome dat doet; gewoon alle executables in %userprofile%\appdata en parameters in HKCU. Nadrukkelijk bedoeld om in gelockte omgevingen toch te kunnen installeren.

Als je ècht je omgeving wilt locken, dan geef je een whitelist op van executables die je toestaat

DJMaze schreef op zaterdag 7 april 2018 @ 12:08:
Elke gebruiker klikt wel eens ergens op een ransomware.
De truuk is dat jij moet zorgen dat die ransomware geïsoleerd op die PC blijft en niet het netwerk infecteert.
En als het netwerk geinfecteert is, dat je de offline backup terug kan zetten.

Daarna kan je eens kijken of het lukt om de PC's zelf te beveiligen (met de wensen van de gebruikers).

Door je policies goed te configuren kun je voorkomen dat gebruikers uberhaupt iets kunnen uitvoeren wat niet door de beheerder geinstalleerd is. Dat klikken op ransomware kun je gewoon voorkomen.

Ik raad application white-listing aan. Gezien je Windows gebruikt zou je kunnen kijken naar AppLocker. Een must in elke omgeving. Het weerhoud niet alleen gebruikers die executables starten, maar houd ook veel malware tegen.

Het is gratis en makkelijk te implementeren.

https://docs.microsoft.co...plocker/what-is-applocker

Squ1zZy schreef op zaterdag 7 april 2018 @ 15:06:
Ik raad application white-listing aan. Gezien je Windows gebruikt zou je kunnen kijken naar AppLocker. Een must in elke omgeving. Het weerhoud niet alleen gebruikers die executables starten, maar houd ook veel malware tegen.

Het is gratis en makkelijk te implementeren.

https://docs.microsoft.co...plocker/what-is-applocker

Behalve -- zoals ik eerder zei -- onder Windows 10 Home en Pro, en laat TS nou die laatste hebben. Je zou wel kunnen zeggen dat Pro niet zo ontzettend "Pro" is en je als bedrijf beter naar Enterprise kan kijken.

DAzN schreef op zaterdag 7 april 2018 @ 11:09:
[...]

Uiteraard zijn er legio legitime redenen waarom je niet wilt dat een gebruiker zelf dingen installeert. Maar de voorbeelden die hier worden genoemd (browser en password manager) vallen daar naar mijn mening niet onder.

Eerlijk gezegd is juist een browser iets waarvan ik niet zou willen dat mijn gebruikers die "zomaar" installeren. Als die browser niet tip-top gepatched is dan zit je zomaar met een malware besmetting.
Dito met een password manager. Welke garantie heb jij dat die gebruiker niet zijn passwords aan een malafide password manager toevertrouwt?

Daarnaast gaat het natuurlijk niet specifiek om deze voorbeelden. Als die gebruikers een browser kunnen installeren dan kunnen ze een heleboel andere producten ook installeren.

Sterker nog, als je dat gaat proberen te voorkomen, ga je alleen maar gebruikers krijgen die proberen er omheen te werken.

Om te voorkomen dat gebruikers er omheen werken is het belangrijk om draagvlak te creëren. Dus praat met die mensen en probeer ze snel te helpen als ze echt iets nodig hebben.
Maar dat wil niet zeggen dat je daarna achterover leunt en op de intelligentie van de gebruiker vertrouwt. Nadat je draagvlak hebt gecreëerd zul je die mensen actief tegen zichzelf moeten beschermen.

Natuurlijk is context alles: Als jij in een bedrijf werkt waar de data geen waarde heeft, privacy en verwante zaken helemaal geen issue, maar snel kunnen handelen wel cruciaal is dan wil je misschien juist wel dat mensen hun eigen PC beheren en neem je de risico's voor lief. Sommige bedrijven kiezen daarvoor.

TommieW schreef op zaterdag 7 april 2018 @ 15:51:
[...]

Behalve -- zoals ik eerder zei -- onder Windows 10 Home en Pro, en laat TS nou die laatste hebben. Je zou wel kunnen zeggen dat Pro niet zo ontzettend "Pro" is en je als bedrijf beter naar Enterprise kan kijken.

Valt mee. In Pro heb je Software Restriction Policies. De exacte verschillen tussen SRP en AppLocker ken ik niet maar de situatie die hij nu heeft kun je met SRP ook voorkomen.