opsiclientd vor Deinstallation durch lokale Admins schützen

[CSI]

Hallo zusammen,

ich greife hier noch einmal die Idee aus dem Beitrag von 2012 auf: viewtopic.php?t=3436

Es wäre schön, wenn die OPSI Kern-Dateien einen zusätzlichen Deinstallationsschutz erhalten könnten, zum Beispiel über das Windows-integrierte TrustedInstaller Konzept. (Informationen zur Verwendung: https://helpdeskgeek.com/how-to/trusted ... tem-files/)

Wie im ursprünglichen Beitrag bereits erwähnt, gehen Menschen mit ihren Rechten nicht immer wie vorgesehen um, sodass eine zusätzliche Hürde wünschenswert wäre.

Ich hoffe, diese Idee findet Anklang.
Beste Grüße

[n.doerrer]

Moin,

danke für die Anregung. Nein, sowas ist im Moment nicht geplant. Durch das Abgeben der ownership an TrustedInstaller würden wir uns fast sicher neue Problem einhandeln und Probleme an dieser Stelle lassen sich nur schwierig wieder automatisiert lösen.

Lokale Administratoren können, wenn sie wollen, ein System kaput machen - das lässt sich im Allgemeinen nur schwer verhindern.

[CSI]

Lokale Administratoren können, wenn sie wollen, ein System kaput machen - das lässt sich im Allgemeinen nur schwer verhindern.

Hallo. Ja, das ist zwar korrekt, allerdings würden wir uns für ein essenzielles Tool wie OPSI wünschen, dass die Deinstallation komplexer ist als nur "Ja" zu drücken.
Es gäbe ja verschiedene Möglichkeiten, da dran zu drehen. Eine anpassbare Warnmeldung bei der Deinstallation, eine Admininfo im opsiconfiged oder eine Mail an eine hinterlegte Mailadresse fallen mir da ein. Es wäre nur schön, irgendeine Möglichkeit zu haben, Dummheit entgegenzuwirken.

[SirTux]

Es wäre nur schön, irgendeine Möglichkeit zu haben, Dummheit entgegenzuwirken.

Admin-Rechte entziehen

[CSI]

Es wäre nur schön, irgendeine Möglichkeit zu haben, Dummheit entgegenzuwirken.

Admin-Rechte entziehen

Okay, lass es mich präziser formulieren: Es wäre schön, entgegenwirken zu können, ohne den Hass hunderter Mitarbeiter auf uns zu ziehen.

[SirTux]

Als Admin muß man sich auch mal durchsetzen können und hat dabei dann auch idealerweise Rückendeckung vom Chef. Hunderte Mitarbeiter mit lokalen Admin-Rechten sind ein großes Sicherheitsrisiko, insbesondere bei Windows-Clients. Falls man sich diesem Aussetzen möchte, da der angenommene Nutzen überwiegt und man von mündigen Nutzern ausgeht (in der Regel dann z.B. Software-Entwickler, aber auch hier gibt es leider Ausnahmen), sollten trotzdem Sanktionsmöglichkeiten bei Mißbrauch drin sein. Und so eine Aktion wie opsiclientd deinstallieren sollte wohl dazu gehören.

[CSI]

Als Admin muß man sich auch mal durchsetzen können und hat dabei dann auch idealerweise Rückendeckung vom Chef. Hunderte Mitarbeiter mit lokalen Admin-Rechten sind ein großes Sicherheitsrisiko, insbesondere bei Windows-Clients. Falls man sich diesem Aussetzen möchte, da der angenommene Nutzen überwiegt und man von mündigen Nutzern ausgeht (in der Regel dann z.B. Software-Entwickler, aber auch hier gibt es leider Ausnahmen), sollten trotzdem Sanktionsmöglichkeiten bei Mißbrauch drin sein. Und so eine Aktion wie opsiclientd deinstallieren sollte wohl dazu gehören.

Exakt das ist das Problem; unser Unternehmen besteht zu 75% aus Software-Entwicklern. Sanktionierungen werden schon durchgesetzt; jedoch nur, wenn wir zufällig herausfinden, dass OPSI deinstalliert wurde. Eine einfache und vermittelbare Möglichkeit, das ohne Drittanbietersoftware herauszufinden, gibt es ja leider nicht; was das eigentliche Problem ist. Deswegen, wie oben schon beschrieben, wäre eine Zuarbeit durch den OPSI client hier wünschenswert.

[n.doerrer]

Ich könnte mir vorstellen, in die Deinstallation einzubauen, dass als letzte Amtshandlung in dem noch funktionalen opsi-client-agent dem server mitgeteilt wird, dass der opsi-client-agent nicht mehr installiert ist. Dann könnte man zumindest recht einfach per configed oder skript alle "clients" finden, die keinen client-agent (win/lin/mac) installiert haben.

[feltel]

Oder aber ein Admin-definierbares Kennwort abfragen, wenn die Deinstallation angestoßen wird. So machen das manche Antivirus-Produkte, um eine unbeabsichtigte oder gescriptete Deinstallation zu unterbinden.

[SirTux]

Von dem Kennwort-Schutz würde ich mir nicht viel versprechen. Dann löschen die Leute halt einfach das komplette Installationsverzeichnis. Mutwillige Sabotage scheint für deine Leuten kein Hindernis zu sein. Da würde ich mir vom "Eintrag im Klassenbuch" mehr versprechen, da die Leute das so zumindest nicht direkt mitkriegen.