Tags: Web-Browser, Gruppenrichtlinien, Sicherheit
Ab dem 01.01.2021 stellt Adobe den Support für den Flash-Player ein. Da die Software schon so unter notorischen Sicherheitsproblemen litt, ist es nicht ratsam, sie künftig weiter zu verwenden. Die in Windows integrierte Version lässt sich per Update entfernen, im Browser kann man Flash über ein GPO blockieren.
Der große Erfolg von Adobe Flash und seine daraus resultierende weite Verbreitung hat dazu geführt, dass es in allen möglichen Versionen auf diversen Plattformen existiert. Unter Windows ist es nicht nur Teil des Betriebssystems, sondern kommt auch als integrierte Komponente einiger Web-Browser, darunter Google Chrome.
Aus diesem Grund finden sich auf den meisten Windows-PCs mehrere Kopien des Flash-Players, die man neutralisieren muss. Im Fall der Web-Browser ist eine Flash-Deinstallation oft nicht möglich, aber man kann die Ausführung des Players über Gruppenrichtlinien verhindern.
Die meisten Browser-Hersteller haben schon vor einiger Zeit damit begonnen, das integrierte Flash-Modul per Voreinstellung zu deaktivieren. Benutzer könnten diese Einstellung jedoch ändern.
Daher besteht eine wichtige Maßnahme darin, die Ausführung von Flash auf Web-Seiten über ein GPO endgültig zu blockieren. Aktuell muss man zu diesem Zweck für alle Browser außer dem Internet Explorer zuerst die ADMX-Vorlagen herunterladen und im Central Store oder der lokalen Workstation speichern.
Flash in Chrome und Edge blockieren
Die Chromium-basierten Browser bieten unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen im Abschnitt Google => Google Chrome bzw. Microsoft Edge einen Ordner Inhaltseinstellungen.
Dort gibt es die Option "Flash" als Standardeinstellung (Chrome) bzw. Standardeinstellung für Adobe Flash (Microsoft Edge). Über die Auswahl von Adobe Flash-Plug-in blockieren sperrt man die Ausführung des Players.
Wenn allerdings im Unternehmen noch alte Flash-Anwendungen existieren, dann wäre diese Maßnahme zu radikal. Deshalb besteht alternativ die Möglichkeit, ausgewählte URLs über eine Whitelist freizuschalten.
Diese findet sich ebenfalls in den Inhaltseinstellungen und heißt Das Plug-in "Flash" für diese Websites zulassen (Chrome) bzw. Adobe Flash-Plug-in auf bestimmten Websites zulassen (Edge).
GPO-Einstellungen für Firefox
Mozilla sieht für Firefox ebenfalls das Blockieren von Flash vor, und zwar unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Mozilla => Firefox => Flash. Über das Deaktivieren der Einstellung Flash aktivieren kann man den Player vollständig abschalten. Ergänzend dazu sollte man die Flash-Einstellungen über die gleichnamige Option sperren.
Möchte man einzelne Websites für Flash zulassen, dann erlaubt auch hier eine Whitelist das Ausführen von Flash auf ausgewählten Seiten. Für diesen Fall sollte man dann statt Flash aktivieren die Einstellung Erlaubte Seiten konfigurieren und dort die gewünschten URLs eintragen.
Internet Explorer
Für den Internet Explorer ist der Flash-Player als ActiveX-Control implementiert. Standardmäßig ist für externe Websites die ActiveX-Filterung aktiv, so dass Flash hier ohnehin nicht laufen würde.
Wenn man es global blockieren möchte dann findet sich dafür unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheitsfunktionen => Add-on-Verwaltung die Einstellung Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden.
Der Internet Explorer bietet darüber hinaus noch weitere Einstellungen, um Flash fein abgestuft über Gruppenrichtlinien zu verwalten (siehe dazu: Adobe Flash-Player über Gruppenrichtlinien deaktivieren).
Flash aus Windows entfernen
Adobe Flash ist auch im Betriebssystem enthalten, aber lässt sich nicht einfach als optionale Komponente deinstallieren. Vielmehr sieht Microsoft dafür ein eigenes Update vor. Es handelt sich dabei um KB4577586, das es in Ausführungen für alle aktuell unterstützten Windows-Versionen gibt.
Aktuell ist dieses nur über den Download vom Update Catalog zu bekommen, von wo man es dann in den WSUS importieren kann. Dies könnte sich nach dem Support-Ende von Flash ändern, so dass man das Update direkt in WSUS erhält.
Das Update entfernt den Flash-Player aus Windows, lässt sich selbst aber nicht mehr deinstallieren. Dieser Vorgang lässt somit nicht rückgängig machen. Eine weitere Eigenheit besteht darin, dass sich damit nur die integrierte Flash-Komponente löschen lässt.
Hat ein Benutzer den Flash-Player selbst installiert, dann benötigt man das Uninstall-Programm von Adobe. Man kann es von der Website des Herstellers herunterladen. Mit dem Aufruf
uninstall_flash_player.exe -uninstall
läuft das Programm im Hintergrund durch, so dass es sich in dieser Form auch für Logon-Scripts eignet.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine
- Edge-Browser für Unternehmen: Mehr GPO-Einstellungen, Sandbox mit Hyper-V
- Google Chrome über GPOs konfigurieren: URLs, Erweiterungen und Cookies blockieren, Startseiten festlegen
- Sicherheitseinstellungen für Windows verwalten: Ansible und Gruppenrichtlinien im Vergleich
Weitere Links
1 Kommentar
Der Import in WSUS war hier nur möglich nach Registry-Änderung und Reboot:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Quelle: https://community.spiceworks.com/topic/2144162-import-to-wsus-fails-dire...