Prozessstarts steuern (unterbinden)

Hallo zusammen,

ich stehe vor der Problem, dass für einen festgelegten Kreis von Softwaresetups eine Art Installationsschutz aufgebaut werden soll. Sprich auch wenn jemand Zugriff auf das Setup hat, so soll er es nur ausführen dürfen, wenn für die Person auch eine Lizenz vorgesehen ist.

Es ist jede Nutzer lokaler Administrator an seinem Rechner. Die Setups liegen auf einem beliebigen Netzlaufwerk und sind unterschiedlich Berechtigt.
Es sei gegeben, dass ein Backend zur Verfügung steht, welches die Information liefert, ob ein Nutzer das Setup ausführen darf.

Ich sehe nun folgende Ansätze:

1. Die vermutlich sauberste aber auch aufwändigste Methode wäre wohl das ganze aus einer Kombination aus Kernel Treiber und Service zu lösen. Ich stelle mir da vor, das für "geschützte" Setups das Backend z.B. Checksummen enthält. Der Treiber + Service erstellen für jeden gestarteten Prozess die entsprechende Checksumme und berechtigen so den Zugriff oder eben nicht.

2. Nur ein Service welcher z.B. via WMI oder Hook startende Prozess überwacht und diese ggf. wieder killt.

3. Da die Setups auf Shares auf liegen muss sowieso erst eine Berechtigung vergeben werden.
   Diese soll jedoch nie dauerhaft vergeben werden.
   Es könnte also auch nur ein Frontend geben, welches dem Nutzer die Software anzeigt, welche er (auf dem Rechner) installieren darf. Möchte man geschützte Software installieren oder verändern, so muss man über das Tool gehen und bekommt dann zeitweise Berechtigung auf das entsprechende Setup. Hier müsste entweder über einen Zeitintervall die Dauer des Setupvorganges geschätzt werden oder auch der Setupprozess überwacht werden, sodass die Berechtigung wieder entzogen wird.

Ich selbst tendiere zu Variante 1 oder 2, da bei beiden Varianten nicht in das Standardverhalten von Installationen eingegriffen werden muss (z.B. über Programs and Features) und auch der unsauber "Hack" über die Berechtigungen enthält. Zusätzlich wäre es in dem Momentan meiner Vorstellung nach auch nicht möglich das Setup auszuführen, wenn man doch irgendwoher auf das Setup Zugriff hat. (Oder es lokal hat ... whatever)
Bei 1. sehe ich allerdings das Problem im C Anteil etc.

Welche Möglichkeiten seht ihr/gibt es noch? Richtlinien oder Entzug der Administrationsrechte sind leider keine Optionen.

Danke und Gruß
t0ms3n

Da sich hier noch niemand geäußert hat, nehme ich an, dass es den meisten auch "komisch" vorkommt. (Aber man sich nicht immer alles aussuchen 😃)

Eine weitere Idee die ich noch hatte, wäre es die entsprechenden Setups via WebDAV freizugeben und den Zugriff aufs WebDAV über einen Custom Handler / Custom Module zu steuern. Der Zugriff auf die Verzeichnisse wiederum dann mit einem entsprechend Berechtigten User.
Hat jemand in dieser Richtung schon Erfahrungen gesammelt?

Hallo,

hast du auf das Setupprogramm Einfluss? Dann prüf da, ob der Nutzer installieren darf oder nicht.

Andernfalls wird es fast unmöglich den Anwender (zumal alle Administratoren auf ihren Rechnern sind) diese davon abzuhalten etwas zu installieren. Selbst mit Berechtigungen auf die entsprechenden Verzeichnisse wirst du nicht weit kommen, denn dann "besorgt" man es sich eben von einem Kollegen, der Zugriff hat. Und alles was du lokal installierst auf dem Rechner der Nutzer kann dieser ja auch wieder (Adminrechten sei dank) deinstallieren.

Grüße
Maik

Als ich Dein Posting gestern gelesen habe, habe ich ehrlichgesagt den Sinn dahinter nicht verstanden - und tu es auch nach wie vor nicht.

Ich würde die Setups in jeweils eigene Ordner auf ein Netzlaufwerk packen und nur die Personen auf den jeweiligen Ordner berechtigen, für die eine Lizenz vorhanden ist.

Und nein, damit kannst Du natürlich nicht verhindern, dass Person A (der eine Lizenz dafür hat und auf den Ordner zugreifen darf) das Setup an Person B weitergibt und B das Setup nun doch ausführt.
Das über irgendein Tool auf dem Rechner von B unterbinden zu wollen ist IMHO aber absolut sinnfrei, solange alle User auf ihren Rechnern lokaler Admin sind. Dann holt sich B halt trotzdem von A das Setup, killt Dein High-End-Überwachungstool - und installiert in aller Seelenruhe die Software.

IMHO gibt es nur einen sinnvollen Weg: Berechtigungskonzept auf die Ordner und eine Arbeitsanweisung (ggf. auch in Form einer Richtlinie, die der Mitarbeiter unterschreiben muss), dass nur Software installiert werden darf, auf die man berechtigt ist.

Alles andere ist Kindergarten - und lässt sich eh nicht sicher unterbinden, solange an den Admin-Rechten festgehalten wird.

@Section31:
Nein ich habe keinen Einfluss auf die Setups. Dies sind Installationen wie Visual Studio, Visio und Co.

@SomeoneYouKnow:
Ja Du hast Recht, ja ich sehe das an den meisten Stellen auch so, aber nein ich treffe diese Entscheidung am Ende des Tages eben nicht.

Und ja ich habe diesen Einwand entsprechend eingebracht, dass dies eben über eine entsprechende Richtline und die Berechtigung auf den Verzeichnissen festgelegt ist und fertig.

Die entsprechenden Verzeichnisse sind (immer? aufjedenfall meistens) auch heute schon nur entsprechend berechtigt., dies wird allerdings nciht als ausreichend gesehen.

1. Rechte einschränken (lokal)
2. Zugriff auf die Setups nur temporär zulassen
3. jedem auf die Finger klopfen, der sich nicht dran hält

hab ich noch was vergessen?

ach ja, wenn es um Fremdsoftware geht unterliegt die den jeweiligen Lizenzen. Warum solltest Du dann noch mit eigenen Tools die Installation verhindern? entweder der Nutzer ist berechtigt oder nicht. Siehe dazu Punkt 3.

schnelleHelga

Wenn ich das richtig sehe willst du die Software verwalten, die die Mitarbeiter nutzen. Da gibt es von MS auch schon fertige Lösungen.
System Center 2012 R2 Configuration Manager

(Ich hoffe mal, das war das richtige, sonst selber mal googlen)

Wir setzen SCCM bereits ein, allerdings war die Anforderung damit wohl nicht umsetzbar. Die Gründe dafür habe ich leider nicht mehr im Kopf.

Ich habe derweil die WebDAV Variante etwas evaluiert und dies scheint auch entsprechend zu funktionieren.

(Ja es ist mir bewusst, dass dann der user dennoch die Möglichkeit hat, das Setup zu kopieren etc. dies wird aber akzeptiert, da der User hier bewusst handeln muss. (steinigt mich 😃)

Kann hier jemand etwas dazu sagen, wann dies zu Problemen führen könnte?