ComputerBase Hauptmenü
Aktuelles

Browser Installation ohne UAC

M

mmdj

Lt. Junior Grade
Registriert
Nov. 2025
Beiträge
284
Ich habe mir eine Domäne aufgebaut und habe normale User sowie Adminaccounts. Wenn ich Programme installieren will, dann verlangt es das Admin-PW. Was ich auch so gerne haben möchte.

Wenn ich aber Firefox oder andere Browser installiere, dann kann ich bei der UAC Aufforderung auf "Abbrechen oder Nein" klicken und es installiert trotzdem. Manche Browser kommen nicht mal mit UAC. Ich bin sprachlos wie sowas möglich ist und finde das eine grosse Sicherheitslücke.

Was kann ich aktiv dagegen unternehmen? Muss ich meine Geräte per Intune betreiben, oder muss ich gewisse Pfade zusätzlich per GPO sperren und laufe dann Gefahr, dass bestehende Programminstallationen nicht mehr funktionieren?
 
Der Browser bzw jede andere Software, die diese Art von Installation unterstützt, wird ohne Admin-Rechte nur ins Profil des angemeldeten Nutzers installiert. Also keine systemweite Installation, deswegen auch manchmal keine UAC-Abfrage, außer du startest das Setup "als Administrator".
 
  • Gefällt mir
Reaktionen: N00bn00b, nutrix, redjack1000 und 2 andere
Diese Art des Schutzes kann man nicht pauschal einfach mit der Nutzung einer Domäne etablieren. Hierzu sind weitere Maßnahmen notwendig. Stichworte sind hier "Software Restriction Policies" o. "Applocker".

Edit: Als Warnung vorweg, SRPs o. Applocker werden bei unbedarfter Nutzung zu einiger kaputter Software o. Updatevorgängen führen (vor allem, wenn die ausführenden Dateien sich nicht in den freigegebenen Ordnern befindet). Mehr Infos zu SRPs kannst du dir gern hier anschauen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: redjack1000, aragorn92 und xexex
@mmdj Programme die kein UAC triggern werden halt im User-Scope installiert. Sie benötigen keine systemweiten Adminrechte und verlangen sie daher auch nicht. Sie können aber im Gegenzug eben auch keine Aktionen ausführen, die solche Berechtigungen erfordern würden. Dann käme wieder der UAC Dialog.

Ist aber eigentlich nicht unüblich, solche Tools gibt es halt.
 
  • Gefällt mir
Reaktionen: acidarchangel, N00bn00b, nutrix und 2 andere
"Installieren" muss man eine Anwendung nicht, um sie ausführen zu können. Stichwort "portable apps". Und damit wären wir dann direkt wieder bei @qiller
 
  • Gefällt mir
Reaktionen: qiller, N00bn00b und aragorn92
mmdj schrieb:
oder muss ich gewisse Pfade zusätzlich per GPO sperren und laufe dann Gefahr, dass bestehende Programminstallationen nicht mehr funktionieren?
Zum Vergrößern anklicken....
Dies!

Es ist leider zu einem Unding geworden, dass manche Programme sich schlichtweg ins Benutzerprofil "installieren", wo man den Nutzern nicht die Schreibrechte entziehen kann. Es betrifft nicht nur Firefox, aber hier ist es natürlich besonders blöd, weil der Nutzer so konfigurierte Gruppenrichtlinien für Edge/Chrome umgehen kann.

Richtig blocken kannst du solche Applikationen nur mit Mühe, aber wie @qiller schon schrieb kann man es über Softwarerichtlinien blacklisten. Einfachere Möglichkeit wäre an dieser Stelle vielleicht, den ausgehenden Verkehr für Firefox an der Firewall zu unterbinden, sofern eine solche Möglichkeit bei der eingesetzten Lösung möglich ist.
https://em-soft.si/myblog/elvis/?p=659
 
Drewkev schrieb:
Was dürfte/könnte denn eine Malware deiner Meinung nach ohne Administratorrechte im Benutzerkontext großartig machen?
Zum Vergrößern anklicken....
Alles machen was der angemeldete User darf. Was oft grossen Schaden anrichten kann.

Der einzige Weg solche Sachen in einem AD zuverlaessig zu kontrollieren, sind AppLocker Policies.
Mit AppLocker kann man steuern welche Ausfuehrbaren Dateien ausgefuehr werden duerfen.
Das machen wir zB in der Firma mit den Browsern. Alle Browser die nicht zugelassen sind (Was nur Edge und ein speziell angepasster Chromium sind) werden geblockt.
Installieren kann man sie, aber nicht starten. Und .exe umbenennen reicht nicht um an Applocker vorbeizukommen :P
 
mmdj schrieb:
Ich habe mir eine Domäne aufgebaut und habe normale User sowie Adminaccounts.
Zum Vergrößern anklicken....
Erstmal die Frage: Geht es um eine Firma, sprich wird damit Geld verdient?
 
  • Gefällt mir
Reaktionen: mmdj
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Brave-Browser: Installationsort ändern
Antworten
4
Aufrufe
1.785
FlimFlam
F
T
MX Linux auf Ventoystick, Browser installieren
2
Antworten
20
Aufrufe
2.971
7vor10
7
Chakotay192
Browser mit Add-on Installation, Chrome Webstore
Antworten
4
Aufrufe
586
de_Jo
D
Crizzo
News Corsair Firmware Update Utility: Browser-Tool für Firmware-Updates ohne iCUE-Installation
2 3
Antworten
43
Aufrufe
4.418
AthlonXP
AthlonXP
L
Surfshark ausprobieren: VPN/Installation nur für den Browser/Firefox?
2
Antworten
22
Aufrufe
1.753
CoMo
CoMo
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz