Hallo liebes opsi Team.
Zuerst ein großes Lob, großartige Software, robust und schon auf einem beachtlichen Entwicklungsstand. Die Arbeit damit macht Spaß, ich bin gespannt auf die Weiterentwicklung.
Eine Frage zum opsiclientd. Ist es bereits möglich die Deinstallation mit einem Passwort zu schützen? Ich kenne das von unserem Kaspsersky Client-Agent, der die Kommunikation zwischen Virenscanner auf dem Client und zentralem Kaspersky Server sicherstellt. Eine Deinstallation (über Systemsteuerung>Software) ist nur mit einem Passwort möglich, dass über eine Kaspersky-Gruppenrichtlinie (hat nix mit den Windows GPOs zu tun) verteilt wird. Das garantiert mir, dass auch User (mit eigentlich zu vielen Rechten) diese grundlegende Software Komponente nicht entfernen können. Leider ist dies vorgekommen...
Ist das möglich, bzw. in Planung?
Vielen Dank,
Grüße
opsiclientd mit Passwort vor Deinstallation schützen
-
opsi-Neuling
- Beiträge: 16
- Registriert: 04 Jul 2011, 19:09
Re: opsiclientd mit Passwort vor Deinstallation schützen
Hi,
hmm - nein in Planung ist das nicht.
Ich bin mir auch nicht sicher ob ich das 'schön' finde (auch wenn ich das praktische Problem verstehe).
Man verläßt halt mit einer solchen Lösung die Standards wie eigentlich Sicherheit zu produzieren ist
in dem man den Administrator account vermeidet.
gruss
d.oertel
hmm - nein in Planung ist das nicht.
Ich bin mir auch nicht sicher ob ich das 'schön' finde (auch wenn ich das praktische Problem verstehe).
Man verläßt halt mit einer solchen Lösung die Standards wie eigentlich Sicherheit zu produzieren ist
in dem man den Administrator account vermeidet.
gruss
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
-
opsi-Neuling
- Beiträge: 16
- Registriert: 04 Jul 2011, 19:09
Re: opsiclientd mit Passwort vor Deinstallation schützen
Hallo.
Es ist absolut richtig, Sicherheit wird in einem Windows System anders erreicht. Leider entspricht dies nicht immer dem was in der Praxis tatsächlich umgesetzt wird.
Sonst würde eine Benutzerkontensteuerung einem Admin wohl nicht die Adminrechte entziehen.
Es wird in jeder Firma PCs/VMs geben auf dem User zumindest lokale Administrator Rechte erhalten. Mit dem Kaspersky Agent sieht man, dass es eine Lösung gibt. Da ich den opsiclientd als kritische Anwendung einstufen würde, genau wie den Kaspersky Agenten, hätte ich mir ein Kennwort gewünscht.
http://support.kaspersky.com/learning/c ... 4/section3
Schade,
Grüße
Es ist absolut richtig, Sicherheit wird in einem Windows System anders erreicht. Leider entspricht dies nicht immer dem was in der Praxis tatsächlich umgesetzt wird.
Sonst würde eine Benutzerkontensteuerung einem Admin wohl nicht die Adminrechte entziehen.
Es wird in jeder Firma PCs/VMs geben auf dem User zumindest lokale Administrator Rechte erhalten. Mit dem Kaspersky Agent sieht man, dass es eine Lösung gibt. Da ich den opsiclientd als kritische Anwendung einstufen würde, genau wie den Kaspersky Agenten, hätte ich mir ein Kennwort gewünscht.
http://support.kaspersky.com/learning/c ... 4/section3
Schade,
Grüße
Re: opsiclientd mit Passwort vor Deinstallation schützen
Hi,
nicht gleich Aufgeben ....
Wenn jede system relevante software noch ihren eigenen UAC erfindet und eine eigene Passwortverwaltung hat
dann wird sysadmin für windows zu sein endgültig zum Albtraum.
Was man also bräuchte wäre eine Lösung, welche sich an einen existierenden Passwortmechanismus ankoppelt.
Vielleicht hat ja einer eine Idee ?
gruss
d.oertel
nicht gleich Aufgeben ....
Wenn jede system relevante software noch ihren eigenen UAC erfindet und eine eigene Passwortverwaltung hat
dann wird sysadmin für windows zu sein endgültig zum Albtraum.
Was man also bräuchte wäre eine Lösung, welche sich an einen existierenden Passwortmechanismus ankoppelt.
Vielleicht hat ja einer eine Idee ?
gruss
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
-
opsi-Neuling
- Beiträge: 16
- Registriert: 04 Jul 2011, 19:09
Re: opsiclientd mit Passwort vor Deinstallation schützen
Hallo noch mal.
Sehe ich anders. Ein Alptraum wird es nur dann, wenn es nicht ausreichend dokumentiert ist. Das ist in unserem Firmennetzwerk aber sichergestellt.
Ich finde es an dieser Stelle auch nicht schlimm, wenn dieses Passwort eine "Insel" darstellt, solange ich es zentral vom opsiserver administrieren kann. Der Charme an opsi ist ja eben die Eigenständigkeit und Unabhängigkeit von einer Windows Domäne und eines ADs. Ein eigenes Passwort nur für den opsiclientd, zur Absicherung des Client Agenten vor Deinstallation ist in meinen Augen nichts verwerfliches, zumal Antivirenhersteller diesen Weg gehen. Antivir bietet die Möglichkeit ebenfalls seinen Agenten über ein Passwort zu schützen.
Ich würde also sehr für diese Feature votieren, weil es das System robuster machen würde, da der Faktor übereifriger User entfällt.
Grüße
Sehe ich anders. Ein Alptraum wird es nur dann, wenn es nicht ausreichend dokumentiert ist. Das ist in unserem Firmennetzwerk aber sichergestellt.
Ich finde es an dieser Stelle auch nicht schlimm, wenn dieses Passwort eine "Insel" darstellt, solange ich es zentral vom opsiserver administrieren kann. Der Charme an opsi ist ja eben die Eigenständigkeit und Unabhängigkeit von einer Windows Domäne und eines ADs. Ein eigenes Passwort nur für den opsiclientd, zur Absicherung des Client Agenten vor Deinstallation ist in meinen Augen nichts verwerfliches, zumal Antivirenhersteller diesen Weg gehen. Antivir bietet die Möglichkeit ebenfalls seinen Agenten über ein Passwort zu schützen.
Ich würde also sehr für diese Feature votieren, weil es das System robuster machen würde, da der Faktor übereifriger User entfällt.
Grüße
Re: opsiclientd mit Passwort vor Deinstallation schützen
Hi,
wenn der user Admin Rechte hat und ich verhindere das das normale deinstallations programm läuft,
so kann er doch C:\programme\opsi.org löschen (ok - unter windows xp zerbröselt er dabei den Rechner).
Die Frage ist also ob hier tatsächlich die Sicherheit erhöht wird.
Ein Virenschutzprogramm kann so etwas über seinen Zugriffsscanner verhindern - opsi nicht.
gruss
d.oertel
wenn der user Admin Rechte hat und ich verhindere das das normale deinstallations programm läuft,
so kann er doch C:\programme\opsi.org löschen (ok - unter windows xp zerbröselt er dabei den Rechner).
Die Frage ist also ob hier tatsächlich die Sicherheit erhöht wird.
Ein Virenschutzprogramm kann so etwas über seinen Zugriffsscanner verhindern - opsi nicht.
gruss
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
-
opsi-Neuling
- Beiträge: 16
- Registriert: 04 Jul 2011, 19:09
Re: opsiclientd mit Passwort vor Deinstallation schützen
Wenn man will, schafft man es den Kaspersky Agenten auch lahm zu legen. Eine 100%ige Sicherheit gibt es nicht, es ging nur darum eine Möglichkeit mehr als Schutz zu haben... Aber ich sehe ein, dass es vielleicht nicht dem Königsweg entspricht und anscheinend keine Basis für dieses Feature existiert. Ich wollte es wenigstens mal angesprochen haben.
Danke trotzdem!
Danke trotzdem!