Hallo zusammen
Ich denke ich bin nicht der einzige mit diesem Problem, aber vielleicht hat ja jemand schon Erfahrungen.

Folgendes:
Bei uns im Netzwerk haben die Mitarbeiter AdminRechte auf Ihren Clients. Dadurch können Sie natürlich auch (bewusst oder unbewusst) Software installieren. Da ist es natürlich auch so, dass auf den Clients Spyware landet.

Nun meine Frage:
Wie geht Ihr mit dieser Problematik um? Ich denke es macht wenig Sinn Spybot oder sonst ein FreewareTool auf allen Clients zu installieren, zumal Spybot ja auch nicht alles findet.

Mir schwebt da ein Produkt vor welches ich wie z.B. Officescan von TrendMicro über eine zentrale Console verwalten und verteilen kann.
Gibt es solche Produkte und falls ja, habt Ihr Erfahrungen damit?

Oder mach ich einen Denkfehler, gibt es andere Möglichkeiten zu verhindern dass sich Spyware auf den Clients installiert (Nein, die AdminRechte kann ich den Usern nicht entziehen).

Vielen Dank für Eure Inputs und Denkanstösse.

Gruss, Stephan

PS. und mit diesem Beitrag habe ich nun meine ersten 100 Beiträge zusammen :-)

Warum haben eigentlich alle User Adminrechte? Hat das einen besonderen Grund? Weil am besten würdest du die begrenzen!

Wenn du den Usern die Adminrechte nicht entziehen kann empfehle ich eine intensive Benutzerschulung über dieses Thema.

Hallo zusammen

Wenn es nach mir ginge, würde ich den Usern nur Gastrechte geben, aber da die User selber Applikationen installieren müssen und z.B. auch der SUS die Rechte benötigt, kann ich die Rechte nicht zurückschrauben.

@Trainer
Ob eine Schulung hilft wage ich zu bezweifeln, da es ziemlich schwierig ist im voraus zu checken, ob jetzt die eine oder andere Software Daten sammelt.

Der Punkt ist nicht ob ich den Usern die Rechte entziehen kann, sondern ob es in dieser Konstellation eine Lösung gibt oder ob ich das Thema hinnehmen muss.

Gruss, Stephan

Ausser schulen sehe ich keine grosse Chance.

Einzig bei der Norman AntiVirus-Lösung gibts ein Adaware Plugin.
http://www.norman.com/Product/Home_H...yware/17211/ch
Ob andere Hersteller ähnliches Anbieten weiss ich leider nicht.

Die Mitarbeiter werden euch die Schulung danken, ihr müsst sie einfach für den "Privatbereich" tarnen

Cello

Du machst den gleichen Überlegungsfehler wie die meisten "Computerknechte". Der Mensch ist nicht dumm sondern versteht nicht allzuviel von der "Materie". Wird er seriös ausgebildet und auf Gefahren sensibilisiert ist dein Problem gelöst. Du bist ja auch nicht als Admin oder Supporter auf die Welt gekommen.

Also SUS sollte doch im Hintergrund ablaufen und keine LocalAdmin-Rechte benötigen? so viel ich weiss !

Aber ich muss da wohl Trainer zu stimmen und eine Schulung empfehlen.

Danke Jungs

Ich werde wohl doch ein wenig in Schulungen investieren müssen.
Mit meiner Aussage wollte ich nie behaupten, dass User dumm sind. Viel mehr ist es die Ignoranz gegenüber der Materie welche die User an den Tag legen. Ausserdem herrscht bei uns auch die Mentalität das es "bloss" der Arbeitsrechner ist und da kann man ja schnell was testen. Die "Computerknechte" kommen dann ja vorbei und helfen, sollte durch die Installation der User was schief gelaufen sein.

Bezüglich des SUS ist es so (zumindest meines Wissenstandes nach), dass wenn niemand angemolden ist die Patches zum vorgegebenen Zeitpunkt installiert werden. Sobald aber ein User eingeloggt ist, muss dieser Adminrechte haben, damit die Patches installiert werden ansonsten der Installationszeitpunkt auf den nächsten Termin verschoben wird.

Ich hab mich auch noch schlau gemacht und falls es jemand interessiert habe ich hier noch zwei Links auf solche Spyware-Consolen:
CounterSpy von Sunbelt
http://www.sunbelt-software.com/product.cfm?id=400

eTrust PestPatrol Anti-Spyware Corporate Edition von CA
http://www3.ca.com/Solutions/Product.asp?ID=5222


@Cello
Norman haben wir infolge schlechten Erfahrungen vor 4 Monaten durch TrendMicro ersetzt.

Gruss Stephan

SUS kann via GPO konfiguriert werden, dass auf dem Client keine Admin-Rechte benötigt werden. Man kann sogar den Neustart erzwingen.
Damit die User Software installieren können, könntest Du ihnen lokale Admin-Rechte geben. Dann wäre Deine Domäne um einiges sicherer.

Grs Jürg

Ich würde es nicht Ignoranz nennen, für die User ist das halt ein Gerät wie alles andere nur das halt der Techniker immer vor ort ist.

Bei uns sind die User nur Hauptbenutzer und das reicht vollkommen incl. Sus

@sidi
Kannst Du mir sagen, wo ich in den GPO angeben kann, dass die Patches ohne Adminrechte installiert werden? Diese Einstellung habe ich bei mir nicht gefunden.
Ausserdem haben unsere User natürlich nur lokale Adminrechte. Alles andere wäre ja Selbstmord.

Gruss, Stephan

Und das andere ist Arbeitsbeschaffung

Das Update über SUS geht auch ohne lokalen Admin-Rechte. Dazu musst du in der GPO folgende Einstellung in den Computerrichtlinien korrigieren:

“Automatische Updates konfigurieren“ - "4 - Autom. Downloaden und laut Zeitplan installieren"

Damit werden die Patches im Sytem-Kontext installiert.

Cello