Nach Support-Aus: Adobe Flash über Gruppenrichtlinien oder WSUS deaktivieren

    Adobe Flash blockierenAb dem 01.01.2021 stellt Adobe den Support für den Flash-Player ein. Da die Soft­ware schon so unter noto­rischen Sicherheits­problemen litt, ist es nicht rat­sam, sie künftig weiter zu ver­wenden. Die in Windows inte­grierte Ver­sion lässt sich per Update ent­fernen, im Browser kann man Flash über ein GPO blockieren.

    Der große Erfolg von Adobe Flash und seine daraus resultierende weite Verbreitung hat dazu geführt, dass es in allen möglichen Versionen auf diversen Plattformen existiert. Unter Windows ist es nicht nur Teil des Betriebs­systems, sondern kommt auch als integrierte Komponente einiger Web-Browser, darunter Google Chrome.

    Aus diesem Grund finden sich auf den meisten Windows-PCs mehrere Kopien des Flash-Players, die man neutralisieren muss. Im Fall der Web-Browser ist eine Flash-Deinstallation oft nicht möglich, aber man kann die Ausführung des Players über Gruppen­richtlinien ver­hindern.

    Die meisten Browser-Hersteller haben schon vor einiger Zeit damit begonnen, das integrierte Flash-Modul per Voreinstellung zu deaktivieren. Benutzer könnten diese Einstellung jedoch ändern.

    Daher besteht eine wichtige Maßnahme darin, die Ausführung von Flash auf Web-Seiten über ein GPO endgültig zu blockieren. Aktuell muss man zu diesem Zweck für alle Browser außer dem Internet Explorer zuerst die ADMX-Vorlagen herunterladen und im Central Store oder der lokalen Workstation speichern.

    Flash in Chrome und Edge blockieren

    Die Chromium-basierten Browser bieten unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen im Abschnitt Google => Google Chrome bzw. Microsoft Edge einen Ordner Inhaltseinstellungen.

    Dort gibt es die Option "Flash" als Standardeinstellung (Chrome) bzw. Standardeinstellung für Adobe Flash (Microsoft Edge). Über die Auswahl von Adobe Flash-Plug-in blockieren sperrt man die Ausführung des Players.

    Flash für Microsoft Edge mittels Gruppenrichtlinien blockieren

    Wenn allerdings im Unternehmen noch alte Flash-Anwendungen existieren, dann wäre diese Maßnahme zu radikal. Deshalb besteht alternativ die Möglichkeit, ausgewählte URLs über eine Whitelist freizuschalten.

    Diese findet sich ebenfalls in den Inhalts­einstellungen und heißt Das Plug-in "Flash" für diese Websites zulassen (Chrome) bzw. Adobe Flash-Plug-in auf bestimmten Websites zulassen (Edge).

    Über eine Whitelist kann man das Ausführen von Flash auf bestimmte Websites beschränken.

    GPO-Einstellungen für Firefox

    Mozilla sieht für Firefox ebenfalls das Blockieren von Flash vor, und zwar unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Mozilla => Firefox => Flash. Über das Deaktivieren der Einstellung Flash aktivieren kann man den Player vollständig abschalten. Ergänzend dazu sollte man die Flash-Einstellungen über die gleichnamige Option sperren.

    Möchte man einzelne Websites für Flash zulassen, dann erlaubt auch hier eine Whitelist das Ausführen von Flash auf ausgewählten Seiten. Für diesen Fall sollte man dann statt Flash aktivieren die Einstellung Erlaubte Seiten konfigurieren und dort die gewünschten URLs eintragen.

    Durch Anlegen einer Whitelist wird Flash in Firefox auf allen anderen Websites blockiert

    Internet Explorer

    Für den Internet Explorer ist der Flash-Player als ActiveX-Control implementiert. Standardmäßig ist für externe Websites die ActiveX-Filterung aktiv, so dass Flash hier ohnehin nicht laufen würde.

    Wenn man es global blockieren möchte dann findet sich dafür unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Internet Explorer => Sicherheitsfunktionen => Add-on-Verwaltung die Einstellung Deaktivieren von Adobe Flash in Internet Explorer und verhindern, dass Anwendungen Internet Explorer zum Instanziieren von Flash-Objekten verwenden.

    Adobe Flash im Internet Explorer sperren

    Der Internet Explorer bietet darüber hinaus noch weitere Einstellungen, um Flash fein abgestuft über Gruppenrichtlinien zu verwalten (siehe dazu: Adobe Flash-Player über Gruppenrichtlinien deaktivieren).

    Flash aus Windows entfernen

    Adobe Flash ist auch im Betriebssystem enthalten, aber lässt sich nicht einfach als optionale Komponente deinstallieren. Vielmehr sieht Microsoft dafür ein eigenes Update vor. Es handelt sich dabei um KB4577586, das es in Ausführungen für alle aktuell unterstützten Windows-Versionen gibt.

    Aktuell ist dieses nur über den Download vom Update Catalog zu bekommen, von wo man es dann in den WSUS importieren kann. Dies könnte sich nach dem Support-Ende von Flash ändern, so dass man das Update direkt in WSUS erhält.

    Das Update KB4577586 entfernt Adobe Flash unwiederbringlich aus Windows.

    Das Update entfernt den Flash-Player aus Windows, lässt sich selbst aber nicht mehr deinstallieren. Dieser Vorgang lässt somit nicht rückgängig machen. Eine weitere Eigenheit besteht darin, dass sich damit nur die integrierte Flash-Komponente löschen lässt.

    Hat ein Benutzer den Flash-Player selbst installiert, dann benötigt man das Uninstall-Programm von Adobe. Man kann es von der Website des Herstellers herunterladen. Mit dem Aufruf

    uninstall_flash_player.exe -uninstall

    läuft das Programm im Hintergrund durch, so dass es sich in dieser Form auch für Logon-Scripts eignet.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    1 Kommentar

    Stefan sagt:
    27. Januar 2021 - 17:33

    Der Import in WSUS war hier nur möglich nach Registry-Änderung und Reboot:
    reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
    Quelle: https://community.spiceworks.com/topic/2144162-import-to-wsus-fails-dire...