[English]Ich muss mal wieder den Blog als Honeypot verwenden und das Schwarm-Wissen der Leserschaft anzapfen. Ein Blog-Leser und Administrator in einer Unternehmensumgebung hat mich gerade per E-Mail über eine unschöne Beobachtung informiert. Der Google Chrome-Browser legt in deren Windows-Umgebung selbsttätig Verknüpfungen an oder installiert eigene Apps. Die Frage ist, ob andere das auch beobachtet haben und ob es eine Möglichkeit gibt, dies zu verhindern. Ergänzung: Inzwischen liegen mir mehrere unabhängige Bestätigungen vor, wo Administratoren in Unternehmensumgebungen das Verhalten beobachten. Und es gibt eine Rückmeldung, dass das Problem auch unter Ubutu/Linux auftritt.
Anzeige
Eine Lesermeldung
Blog-Leser Andreas G. arbeitet im IT-Bereich einer Organisation, bei der der Google Chrome wohl im Einsatz ist. Die Verteilung der MSI-Installationen für den Google Chrome-Client erfolgt über eine Unified Endpoint Management-Lösung von baramundi.
Bei der baramundi Management Suite handelt es sich um einen Software zum Desktop- bzw. Client-Management der baramundi software GmbH. Die Lösung ermöglicht es, Routineaufgaben wie Installation, Verteilung, Inventarisierung, Schutz und Backup zu automatisieren. Als großer Vorteil wird die Reduzierung des Arbeitsaufwands genannt.
In seiner Mitteilung berichtet Andreas über eine unschöne Beobachtung, die Administratoren in Unternehmensumgebungen Probleme verursachen:
Hallo Herr Born,
wir haben seit einigen Tagen das Phänomen, dass Google Chrome automatisch eigene Apps/Verknüpfungen auf unseren Windows Clients installiert.
Die Installation erfolgt meist wahllos , dabei ist es egal ob Chrome erst gerade installiert wurde oder schon länger auf den Computer vorhanden ist.
Da es sich um Unternehmensgeräte handelt, sind diese Verknüpfungen nicht gewünscht, da sie zum Nutzen dieser Dienste anregen.
Google Chrome wird bei uns über GPOs verwaltet, wir konnten bisher keine Einstellungen finden, die diese "Installation" unterbindet.
Vielleicht haben Sie die Möglichkeit durch Ihre Reichweite mehr in Erfahrung zu bringen, da wir bisher im Netz dazu nichts passendes gefunden haben.
P.S. die Chrome MSI wird uns durch/über Baramundi zur Verfügung gestellt.
Obiger Screenshot zeigt, dass der Chrome-Browser Apps aus der GSuite auf dem Client installiert hat. Es gibt von Google zwar den Beitrag Richer UI install available for desktop von Ende April 2023. Aber mir ist bei einer schnellen Recherche nichts an Treffern untergekommen, die auf obiges Problem der automatischen App-Installation eingehen. Lediglich dieser reddit.com-Post fragt, wie Google Webanwendungen ohne Zustimmung des Nutzers installieren kann, bezieht sich aber auf eine aktuelle Google Chrome Beta unter Ubuntu.
Frage an die Blog-Leser: Ist das noch jemandem aufgefallen, und falls ja, hängt das mit baramundi zusammen? Ist eine Lösung bekannt, um diese Installation per Gruppenrichtlinien zu unterbinden? Diesen Google-Supportbeitrag, den ich auf die Schnelle gefunden habe, liefert keinen wirklichen Hinweis, da er sich auf Mobilgeräte-Web-Apps bezieht. Und im Beitrag Richtlinien für Chrome-Apps und ‑Erweiterungen festlegen (Windows) konnte ich auf die Schnelle auch nichts finden, gehe aber davon aus, dass dem Betroffenen das bekannt ist.
Weitere Bestätigungen
Ergänzung: Nachdem der Beitrag online ging, habe ich in nachfolgenden Kommentaren, auf Twitter und auf Facebook Bestätigungen dieser Beobachtung gemeldet bekommen (danke dafür). Ein Abriss externer Bestätigungen findet sich in diesem Sammel-Kommentar von mir.
Treffer bei Microsoft Answers
Zudem hat mir die Suche nach "Chrome has installed apps Windows" den (auch von HugBunter0815 in diesem Kommentar ebenfalls erwähnten) Treffer auf den MS-Answers-Forenpost Chrome has installed shortcuts as apps in Add/Remove Programs. Some of these shortcuts/apps will not uninstall. How do I get rid of them? ausgeworfen. Dort heißt es am 4. Juli 2023:
Most of these shortcuts/apps uninstalled, but some still remain. Right-clicking>uninstall is not removing them from the list. Any suggestions?
Der Hinweis auf einen infizierten Chrome lässt sich im Kontext ausschließen, der Betroffene verweist auf einen MSI-Installer von Google, der verwendet wurde.
Treffer bei Google nach Hack
Zudem hat mir eine neue Suche mit obigem Muster den vom 4. August 2023 resultierenden Post im Google Support-Forum zu Tage gefördert, aus dem ich nun einige relevante Passagen herausgezogen habe:
Anzeige
Google web apps keep installing on their own sneakily onto my Windows devices.
Dear Google Android,
My Gmail account recently has got hacked and Google didn't notify me. The scammer is now in my Google proxy network but Google Play scanner couldn't identify any harmful apps at all.
On 28th July 2023, one of my home PCs connected to Google services, with Passkeys registered, was scammed and hacked in a way out of sudden, my Windows 10 pro device with almost complete Google manipulation in the Windows Registry, installed by itself, without my consent, authorization, knowing and awareness, the following Google apps and programms onto my machine.
The unauthorized installation of Google apps included:
YouTube, Slides Sheets, Docs, Google Drive, Gmail etc.
The official Chrome web app page should appear with its interface by default but acts strangely recently.
At first the page appeared with default but duplicated apps both colored and uncolored of the app logos themselves, which page I bookmarked for long on my Google Chrome home page.
Due to the strange behaviors of Chrome web app page, I deleted and eradicated all apps and everything in fear of and being skeptical that my Passkeys had brought and redirected me to a zee Google Chrome home page.
Das wäre dann wieder das Thema "Google Konto gehackt" und irgend etwas infiziert. Hier bin ich aber nicht sicher, ob der Fall die obige Beobachtung trifft. Betroffene mögen die Textwand, die der obige Poster bei Google auf den Supportseiten hinterlassen hat, diesbezüglich selbst durchgehen. Eine Antwort hat es da bisher noch keine gegeben.
Ergänzung: Im englischsprachigen Blog hat ein Leser mir noch einen Link auf den Google Forenbeitrag How to prevent Chrome from Auto Installing Web Apps gepostet. Der Eintrag stammt vom 16. August 2023 und beschreibt den gleichen Sachverhalt, hat aber noch keine Antwort, außer einem Rückverweis auf meinen Blog-Beitrag. Auf administrator.de findet sich zudem dieser Beitrag mit einer ähnlichen Beobachtung.
Auch Linux betroffen
Ergänzung 2: Blog-Leser Benjamin hat mich per E-Mail kontaktiert und schrieb mir, dass er die gleiche Beobachtung auch unter Ubuntu gemacht habe:
Ich habe letzte Woche meinen Rechner mit der aktuellen Ubuntu LTS neu aufgesetzt und dann das Google Linux Repository eingebunden, danach habe ich Google Chrome installiert und die ganzen Google Verknüpfungen wie von dir im Screenshot dargestellt tauchten auch bei mit unter Gnome auf.
Bei der Installation von Chrome unter Ubuntu legt Google dabei Verknüpfungen auf sämtliche Apps unter ~/.local/share/applications/ ab. Was du bei mir siehst, ist die verbliebene für Chrome selbst.
Benjamin schreibt, dass alles ohne root Rechte funktioniert (danke für die Rückmeldung). Damit kann man meine nachfolgenden Theorien über bestimmte Windows-Software als Verursacher wohl knicken. Es scheint wirklich irgendwo im Chrome Installer zu stecken.
Ergänzung 2: Es gibt Rückmeldungen im englischen Blog, dass die Apps auch unter macOS installiert werden.
Die Frage nach der Ursache
Jetzt bleibt die spannende Frage, ob sich mit Hilfe der Leserschaft eine Ursache für dieses Verhalten herausfinden lässt. Betroffene sollten klären, ob Malware oder ein Kontenhack die Ursache sein kann (halte ich aus dem Kreis der Administratoren im Firmenumfeld für weniger wahrscheinlich, aber nicht ausgeschlossen).
In einem der nachfolgenden Kommentare erwähnt Bernd ist noch den "Lenovo View Driver" als möglichen Verursacher. Hier wäre die Frage, ob alle anderen Betroffenen auch auf Lenovo-Maschinen unterwegs sind.
Ich habe mal einen Bug-Report beim Chromium Projekt eingereicht und auch auf patchmanagement.org diesen Eintrag verfasst.
2015
Apps und Erweiterungen zulassen oder blockieren
funzt bisher einwandfrei und es installiert sich auch nix selbstständig/ungewollt!
Weitere Bestätigungen
Nachdem ich das Ganze heute früh auf Facebook in meinem Profil sowie in geschlossenen Gruppen für Admins eingestellt habe, gab es fix zwei Bestätigungen:
Admin #1: Kann ich bestätigen! Wenn man den Chrome Enterprise installiert, werden die Google Apps für YouTube, Dokumente etc. mit installiert, sie können zwar über die Systemsteuerung deinstalliert werden, aber ärgerlich ist es trotzdem.
Admin #2: Ja, das Problem haben wir auch
Auf Twitter habe ich die Rückmeldung "Haben wir ebenfalls auf diversen Clients (Win10&Win11)" erhalten.
An dieser Stelle mein expliziter Dank an die nachfolgenden Kommentatoren, die konstruktiv beitragen und/oder Bestätigungen gepostet haben.
Wenig zielführende Kommentare
Der Beitrag ist – so steht es auch im Text – als Honeypot angelegt, um herauszufinden, ob es Betroffene gibt. Leider schlagen nun Kommentare auf, die an der konkreten Frage vorbei gehen und wenig zielführend sind. Ich habe diese einfach hier mal herausgezogen – damit sie nicht untergehen – und mit Antworten eingeordnet – so kann der schnelle Leser das überspringen, ohne sich durch zig Blah-blah-Posts lesen zu müssen.
@Informationstechniker:
Antwort GB: Null zielführend, dieser Kommentar, was die initiale Fragestellung betrifft – sorry. Zum Inhaltlichen erspare ich mir Antworten, da vermutlich sinnfrei.
@Betram:
Antwort GB: Nichts für ungut, aber der Kommentar bringt nun genau nichts. Ich habe einen groben Überblick über das Umfeld des Betroffenen, der saugt sich so was nicht aus den Fingern. Dass etwas gezielt passiert, schließe ich aus der Beschreibung aus. Was bleibt: Ein Bug, eine Fehlinterpretation oder ein Konflikt mit anderer Software wie Baramundi. Daher wurde eine konkrete Frage gestellt, ob jemand das auch beobachtet hat. Im Übrigen ist deine Position in meinen Augen durch die inzwischen eingetrudelten Kommentare widerlegt.
@Peter:
Antwort GB: Ist zwar nachvollziehbar und würde dir zustimmen – aber a) wer sagt denn, dass der Betroffene da nicht schon angefragt hat? und b) mit dem Blog-Artikel ist eine Chance gegeben, dass es breiter gelesen wird und der Honeypot funktioniert – speziell, da sich herauskristallisiert, dass es nicht auf baramundi beschränkt ist. Die Bestätigungskommentare zeigen, dass da irgend etwas ist – jetzt gilt es den Verursacher herauszufinden.
Nur einfach als Anmerkung zu solchen Kommentaren – seht es nicht als Fundamentalkritik. Aber man möge sich vorstellen, der Beitrag hier bekommt auf die Frage "hat das noch jemand beobachtet" keinen einzigen Kommentar. Dann wäre es Einzelfall, Thema also erledigt. Oder es gibt 10 Kommentare "ja, haben wir auch, xyz könnte Ursache sein" – ist dann die Bestätigung eines Problems und macht es für Leser zudem einfach und zielführend, die Kommentare durchzugehen, um sich ein Bild zu verschaffen. So muss sich der geneigte Leser durch zig Kommentare wühlen, ohne eine weitere Erkenntnis zu bekommen – schade!
PS: Und wer sich die letzten beiden "Honeypot"-Beiträge anschaut, sieht eventuell, dass es funktioniert und das Schwarm-Wissen genau die eine erklärende/benötigte Antwort geliefert hat:
Outlook: Body zugesagter Termine nicht mehr änderbar; Office August 2023-Update schuld -> Kommentar mit Lösung
Edge 116.0.1938.54 freigegeben, Probleme mit ignorierten Richtlinien bei Anmeldung am Benutzerkonto? -> Kommentar mit Lösung
Günni ganz ehrlich…mal nicht so garstig hier zu den lieben Usern, welche ebenso wie du mit ihrem Schwarmwissen zur Beliebtheit deines Blogs beitragen.
Dann lies dir bitte nochmals die konkrete Fragestellung meines Beitrags sowie die gestellten Fragen durch, und schaue dir bitte auch nochmals die von mir bekrittelten Kommentare an.
Dann stellst Du dir bitte die Frage: "Wie helfen mir diese bekrittelten Kommentare, wenn ich von dem Effekt betroffen bin". Ist in etwa so, als wenn jemand mit Herzinfarkt zum Notarzt kommt und dieser dann über Prinzipien der gesunden Lebensführung diskutieren möchte, ohne zum akuten Fall tägig zu werden.
Klingt möglicherweise schroff, was ich im Kommentar formuliert habe – ist so nicht gedacht/ gewollt – aber ich mache das ja nicht aus Jux und Dollerei. Es hat mich jetzt fast eine Stunde gekostet, die Kommentare zu sichten und dann das Ganze in bereinigter Form in obigem Post einzufangen.
Als der Beitrag online ging, hing das Thema ja komplett in der Luft. Nach wenigen Stunden kristallisiert sich heraus: Es gibt das Problem – wo es hakt, ist noch unklar. Also hat es sich gelohnt, den Beitrag aufzubereiten. Keiner der bekrittelten Kommentare hat uns diesbezüglich einen Deut weiter gebracht.
Warum bin ich heute ziemlich rigoros in der obigen Form vorgegangen? Am einfachsten wäre es für mich, wenn ich nur SEO-Spam bekämpfen müsste, und ansonsten die erwachsenen Leser dieses Blogs beim Kommentieren sich selbst überlasse.
Da erfahrungsgemäß eine Reihe Leute in den letzten Jahren dazu neigen, die Kommentarfunktion im Blog für Grundsatzdiskussionen und Off-topic-Kommentare (teilweise zu) missbrauchen, und das für Mitleser und für mich als Blog-Betreiber zunehmend schwieriger wird, die Spreu vom Weizen in den Kommentaren zu trennen, muss ich schlicht handeln.
Mir wäre es lieber, wenn erwachsene Leute hier zielgerichtet auf den Punkt diskutieren.
Schaue ich mir die Zahl der Kommentare hier im Beitrag an, die zur originären Fragestellung genau Null beitragen, wird der "geneigte User" mir möglicherweise zustimmen (und ich versuche ja bereits "einzufangen").
Mag aber sein, dass ich als Digisaurier, inzwischen aus der Zeit gefallen bin und es heute wichtiger ist, über Befindlichkeiten oder Sichtweisen zu diskutieren, als in der Sache auf den Punkt zu kommen. Ich bin vor 30 Jahren aus dem Management ausgestiegen (damals hatte ich keine Zeit auf unzählige Diskussionsrunden zur Selbstdarstellung, wenn es in Projekten gebrannt hat). Hat mich möglicherweise zu stark geprägt – wurde uns in den Management-Grundkursen aber auch eingebleut.
Es ist kein einfacher Weg als Blog-Betreiber, einerseits möchte ich wenig redigieren oder zensieren. Andererseits bleibt mir inzwischen nichts anderes übrig, als an machen Stellen, die Zügel rigoros anzuziehen. Das war vor zwei, drei Jahren deutlich entspannter. Nur mal die Sicht von der anderen Seite des Bildschirms.
"…(damals hatte ich keine Zeit auf unzählige Diskussionsrunden zur Selbstdarstellung…"
Heute wird sowieso viel zu oft über Befindlichkeiten oder Sichtweisen diskutiert…Selbstdarstellung wo man hinschaut, umgesetzt wird kaum noch was. Aber diskutieren…wie die grossen…
Ich finds super wie Sie das machen! Danke für den Beitrag!
Würde man das löschen von BlaBla welches nicht mit dem Thema zu hat, konsequent durchziehen, müsste man nicht unnötige Suchergebnis via Suchmaschine überfliegen um eine Antwort auf seine Frage zu bekommen.
Danke dafür!
Setze kein Chrom ein, weder bei mir noch bei den Kunden. Daher leider kein Positive oder Negative Antwort.
Hallo zusammen,
wir hatten dieses Problem auch. Wir haben zwar kein Baramundi im Einsatz, verteilen Chrome aber auch per MSI.
Vor zwei Wochen haben wir ein neues Notebookmodell von Lenovo getestet (L15 Gen4 (21H3)).
Nach der Windowsanmeldung erschien dann im Startmenü ein neuer Ordner "Chrome-Apps" mit u.a. "Dokumenten", Gmail", "Tabellen" etc.
Die Icons erschienen aber auch nur, wenn man sich mindestens einmal lokal am System anmeldet. Beim Anmelden per RDP waren die Icons nicht da.
Bei älteren Lenovo-Modellen bzw. nicht-Lenovos konnte ich das Phänomen nicht nachstellen.
Bei uns werden nach der Windows-Installation die Treiber und Firmware automatisch aktualisiert.
Nach einigen Tests hat sich herausgestellt, dass der "Lenovo View Driver" bei uns daran schuld ist.
Den "Lenovo View Driver" habe ich vorerst von der Aktualisierung ausgenommen, seitdem sind die Chrome-Apps weg.
Viele Grüße
Bernd
Super, wäre ein Hinweis für die Betroffenen.
Ich habe hier keine Verteilung über MSI; Chrome wurde "von Hand" installiert. Und auf dem Rechner verändert sich nichts, weder neue Verknüpfungen, noch neue Apps tauchen auf. Sicher, dass das Problem nicht an der Verteilung liegt, weil Google mal wieder an den Optionen der Installation Veränderungen vorgenommen hat?
Wir nutzen ebenfalls Baramundi zur Softwareverteilung – dieses Verhalten ist uns aber bisher weder aufgefallen noch berichtet worden. Auch konnte ich in den Inventarisierungsdaten gerade keine Ungereimtheiten bzgl. weiterer Google Apps finden.
Da hier ja aber ein laufender Wartungsvertrag existiert (sonst hat man auch keinen Zugang zur sogenannten ManagedSoftware) und die gesamte Installationsroutine von Baramundi bereitgestellt wird, wäre das Baramundi Forum oder der Support sicherlich auch ein guter Ansprechpartner für das Problem.
Danke für die Information – ob es an Baramundi liegt, muss aktuell offen bleiben – es deutet sich aber an, dass es auch ohne diese Umgebung auftritt.
@Florian Huber @Günter Born
Vielen Dank für den Beitrag, wir haben aktuell herausfinden das diese "Apps" Benutzerbezogen installiert werden, deshalb findet Baramundi diese Apps nach einer Inventarisierung auch nicht.
Ich habe hier aktuell ein Client wo die Apps bei User A installiert sind, melde ich mich am gleichen Client mit User B an, werden die Apps in der Systemsteuerung/Startmenü nicht angezeigt.
Wir verwenden auch baramundi und haben dieses Verhalten von Chrome bisher nicht feststellen können. Vielleicht gibt es da einen Zusammenhang mit GSuite-Accounts. Wir verwenden keine.
Luzifer hat das hierfür relevante bereits erwähnt. Chrome Enterprise wird hier mittels msi verteilt, Gruppenrichtlinien verhindern eine Installation auf den Clients.
Ich halte es für eine extreme "Bad Practice", daß Personen/Unternehmen die Verwaltung ihrer Systeme an Fremdfirmen/Fremdprodukte auslagern. Praktisch null Kontrolle über die Installationen und ein Quasi-Garant für feindliche Angriffe (letztlich kann man doch einbringen, was man will: Ransomware läßt grüßen).
*Vertrauen* hat in diesem Umfeld nichts, aber auch rein gar nichts zu suchen.
Moin,
verteile über Microsoft Configuration Manager das MSI, und kann das verhalten nicht nachvollziehen.
MFG
Andre
bei einigen Clients sind bei uns nach manueller "Chromestandalloneenterprise64.msi" installation auch unerwünschte Google Apps aufgetaucht :(
wie ich finde ein sehr bedenkliche sache!
Danke für die Bestätigung!
Die von Google (wie auch die von Mozilla) verbrochenen *.MSI sind üble MOGEL[UMVER]PACKUNGEN; sie enthalten deren PROPRIETÄRE Installations-PROGRAMME, die sie entpacken und dann per "Custom Action" ausführen.
JFTR: sowohl die von Googles selbstgefrickeltem Omaha als auch von dem von Mozilla missbrauchten NSIS ausgekotzten Programme sind UNSICHER und trivial angreifbar!
KURZ: Finger weg von solchem SCHROTT!
Wir deployen Chrome ebenfalls über baramundi und vereinzelt sind die Verknüpfungen auch hier vorhanden. Ein Muster lässt sich allerdings nicht erkennen – bei 2 von 4 identisch installiert RDS-Hosts war es auf einmal vorhanden, auf den anderen beiden nicht…
baramundi verwendet als Installationsfile die "GoogleChromeStandaloneEnterprise64.msi" – mag hier dann ein Zusammenhang bestehen?
Im baramundi Forum ist diesbezüglich auch noch nichts zu finden.
Ich seh das Problem bei Baramundi … die haben das "falsche" msi genommen …
Kann er das baramundi msi File mal "händisch" auf ein Testsystem installieren ?
Kommen dann Checkboxen zur Auswahl ?
Nachtrag:
Das msi enthält eine GoogleChromeInstaller.exe.
Diese wird nach Umgebungsprüfung (Neuinstallation, Update, .. evtl. nicht Enterprise vorinstalliert?)
nicht immer (Logikverzweigung … ) mit dem Aufrufparameter "/enterprise" gestartet.
Evtl. ist das die Ursache …
Hallo,
auf einem meiner 3 Windows 11 Pro Geräte ist vorgestern das gleiche passiert, nach dem ich das System neu aufgesetzt hatte und Chrome installierte.
Auf den anderen bestehenden Systemen bisher nicht.
Finde dieses Verhalten auch sehr bedenklich und hätte mir vorher wenigstens einen Hinweis oder eine Nachfrage seitens des Browsers gewünscht.
Da ist man erst mal verwirrt, wenn plötzlich diese Verknüpfungen im Startmenü und auch in der Systemsteuerung unter Programme auftauchen.
Habe gestern dazu diesen Eintrag bei Microsoft gefunden:
Chrome has installed shortcuts as apps in Add/Remove Programs. Some of these shortcuts/apps will not uninstall. How do I get rid of them?
In diesem Video auf Youtube sieht man auch die Verknüpfungen, werden aber nicht Thematisiert:
Achso, Installation erfolgte bei mir manuell via ChromeSetup.exe von Google direkt.
Danke für den Link auf MS Answers – den habe ich bei einer Suche die Nacht leider nicht gefunden. Heute habe ich die Google-Suche erneut verwendet, aber die "Vergangenheitsform has im Suchmuster" angegeben, und schon bin ich auf den Eintrag gestoßen.
Die Frage & Feststellung zum Einsatz von Chrome finde ich durchaus interessant, auch wenn sie offtopic ist und Antworten direkt darauf blockiert werden. Immerhin würde es auch bedeuten, dass der Update/Patchmanager ein Softwarepaket weniger hat, was er betreuen muss, eins was SEHR oft Updates bekommt, die wegen der meist schweren Sicherheitslücken kurzfristig verteilt werden müssen, und im Zweifelsfall erstmal gegen unternehmenskritische Webseiten getestet werden müssen. Und Microsoft muss man sowieso vertrauen, wenn man Windows einsetzt, der Verzicht auf Chrome wäre ein Datensammler weniger. Allerdings muss man leider auch feststellen, dass Edge bei den aus Chromium geerbten Sicherheitsupdates immer ein paar Tage hinterher hinkt und dass gewisse Google-Dienste (z.B. Meet) immer noch besser in Chrome funktionieren als in Edge (oder gar Firefox). Aber wie gesagt, das wäre ein Extra-Thema, was man durchaus mal ausführlicher diskutieren könnte.
Der Punkt "Off topic" trifft den Nagel auf den Kopf! Daher habe ich den Punkt eingefangen. Ich postuliere, dass die Administratoren, die solche Fragen an mich herantragen, erwachsene Menschen sind, die sich Gedanken machen, warum und weshalb Chrome zum Einsatz kommt. Da haben Punkte, die sehr schnell auf Glaubenskrieg hinauslaufen, schlicht nichts verloren. Es geht hier um einen konkreten Sachverhalt, den ich aufgeklärt haben möchte – sofern es möglich ist.
Hoffe diesbezüglich auf das Verständnis der Mitleser – mir helft ihr mit solchen Diskussionen eher weniger – der Edge ist wegen seines übergriffigen Verhaltens hier nicht im Einsatz und ansonsten kommt Ungoogled zum Einsatz. Aber ich bin auch kein Unternehmens-Admin – Ziel des Blogs bzw. solcher Beiträge ist aber, Betroffenen möglicherweise mit Schwarmwissen zu helfen. Da sind diese Pirouetten auf Nebenkriegsschauplätzen nur noch ermüdend – und ich versuche das inzwischen rigoros abzuwürgen bzw. einzufangen.
Und noch eine Offtopic-Feststellung: Die Softwareverteilung Baramundi bezieht die Updatepake vom Hersteller Baramundi, welcher die Updates erst prüft und evtl. neu packetiert? Das ist natürlich praktisch, weil es weniger Aufwand beim Patchmanagement bedeutet. Aber es eröffnet auch völlig neue Angriffspunkte als Supply-Chain-Attack, wird bei vielen anderen Patchmanagement-Systemen nicht anders sein, einmal bei so einem Hersteller eingehackt und die Wege zu unzähligen Kunden sind offen. Man sollte bei solch einem Produkt darauf achten, dass das Patchmanagement nur Referenzen auf die Originaldateien bei den jeweiligen Softwareherstellern nutzt und die Originaldateien direkt von dort herunter lädt. Das schließt natürlich nicht aus, dass der Hersteller des Patchmanagement diese Updates vorher selbst ausprobiert und frei gibt, bevor es die Patchmanagement-Plattform vor Ort beim Kunden das Update verteilt. Auch solche Lösungen gibt es, teilweise integrieren die sich sogar in ein MECM, so dass keine zusätzlichen Agents* oder Remote-Steuerungs-Mechanismen mit lokalen Andimrechten o.ö. usw. notwendig sind, der Firefox usw. wird dann per Windows-Update-Funktion verteilt, sehr schick! Solch ein Vergleich von verschiedenen Lösungen wäre evtl. auch mal was für diesen Blog.
* Ich kenne Umgebungen, auf denen auf den Clients und Servern mehr Monitoring/Logging/Update/Sicherheitsagents/AVs laufen als eigentliche Anwendungen…
Gerade bei Firefox per Baramundi kommen User Beschwerden weil, wie Du schreibst, baramundi "einfach" das originale Setup auf den Client als Update packt… Der User verliert jedesmal seine persönlichen Einstellungen wie z.B. sein dezidiertes Download-Verzeichnis…
Das muß er bei jedem Update durch Baramundi neu einstellen.
Er beschwert sich aber inzwischen nicht mehr…ist ja auch zwecklos da die IT hilflos ist und nichts ändern kann/darf/will. Bedauerliches Einzel-Schicksal. Wenn 5000 andere User kein Problem haben…
Hallo
Mir ist das vor 2-3 Wochen schon mal untergekommen, mit den Google Apps, hatte aber gedacht ich hätte was falsch gemacht … war wohl doch nicht so.
Und noch dazu:
>>So muss sich der geneigte Leser durch zig Kommentare wühlen, ohne eine weitere Erkenntnis zu bekommen – schade!<<
Danke für diese absolut zutreffende Zusammenfassung.
Es könnte alles so einfach sein. Aber dann wäre es ja langweilig …
Ich habe jetzt mal in unserem Netzwerk einige Checks laufen lassen und einige Inventory Reports studiert. Ich konnte bei rund 30 Clients (Alles HP Intel und AMD), und eine Hand voll VMs nichts dazu finden. Wir verwenden dafür Configuration Manager, aktuelle Version zur Softwareverteilung. Alle Clients sind Windows 10 Enterprise aktuelles Build. Google Chrome wird immer über die Google Chrome Enterprise Seite als MSI Package bezogen und hat ist auf Version 116.0.5845.111 (es ist aktiv das er sich selber Updaten darf im Usercontext).
Evt hilft das etwas dabei, gewisse Punkte auszuschließen.
Soeben 2 Clients neu aufgesetzt…per baramundi wurde die Version 114 installiert, danach manuell über den Browser upgedatet. Nach dem Update fand ich den Ordner im Startmenü. Auf dem einen Client waren diese auch in der Systemsteuerung zu finden, auf dem anderen nicht.
Testweise nun direkt die v116 installiert. Da scheint nichts zu passieren. Irgendwie scheint mir das etwas random.
Auf dem Client, wo die Verknüpfungen nur im Startmenü zu finden sind, tauchen sie unter einem anderen Benutzerkonto (egal ob lokal oder Domäne) aber nicht auf , nur bei dem einen Benutzerkonto.
Ziemlich schräges Verhalten würd ich sagen…
Ach ja…wir nutzen praktisch nur Lenovo-Clients. Verteilen aber per baramundi keine Managed Software sondern laden die Pakete bei den Herstellern herunter.
Nichts für ungut aber das ist doch einfach Computersabotage, in DE Strafbahr, wie wäre es mal mit aller macht des Gesetzes google mal ordentlich Vercknacken, einpaar MRD strafzahlung + schadensersatz für alle betroffenen.
Würde den Stiefel aktuell noch nicht anziehen – aktuell ist mir unbekannt, wieso das auftritt. Wenn Vorsatz nachgewiesen werden könnte, wäre dies für mich ein Grund, Beschwerde bei der EU-Kommission wegen Wettbewerbsverzerrung einzureichen.
So wie ich das hier großteils verfolgt habe, kommt bei mir eher das Gefühl hoch, das es sich hierbei um einen Bug unter sehr begrenzten Umständen handelt.
Um das genauer zu verifizieren, müsste man schon tiefer graben, zb nicht nur den Rechner-Hersteller, sondern den genauen Typ, heutzutage würde ich sogar die Biosversion hinzuziehen. Welches Windows in welcher Version ist installiert, welche Installationsmethode wird verwendet, wie wird es generell verwaltet usw.
Aber für mich sind hier zwei Punkte schon groß ins Auge gesprungen.
Lenovo und baramundi.
Mein Ansatz wäre hier, wie Daniela S, eine andere/neuere Version von baramundi auszuprobieren. Desweiteren würde ich mal prüfen, ob es für die Lenovo Geräte irgendwelche Updates gibt und sei es noch so Augenscheinlich unrelevante.
So würde ich vorgehen.
Danke für die Inputs.
Neuere Version von baramundi gibt es zur Zeit nicht, wir verwenden 2023 R1.
Lenovo Updates prüfe ich noch. Habe aber bei meinen 2 Tests 2 baugleiche Lenovos verwendet…Trotzdem anderes verhalten.
Das ist sicher lästig, aber "Sabotage" ist ein übertrieben hartes Wort. Es geht ja nichts kaputt, sondern es wird nur eine Verknüpfung zu etwas erstellt, was man eigentlich nicht haben will.
Wir nutzen den WPP für den WSUS zur Softwareverteilung und verteilen die GoogleChromeStandaloneEnterprise64.msi an die Rechner. Dort auch keine Bloatware mitgekommen, nur die Chrome-Verknüpfung auf dem Desktop.
Und: Danke Günter für den Rant. Ich mag auch teilweise schon nichtmal mehr Beiträge öffnen, weil mich darunter sehr viele nicht zielführende Kommentare einfach nur langweilen. Dies/Das ist besser als und die üblichen Microsoft-Beschimpfungen.
Ich kann das Verhalten bestätigen:
Auf 87 PC verteilen sich die Versionen wie folgt:
116.0.5845.111 – 57
116.0.5845.97 – 30
=> Die .111 wird derzeit automatisch per Patch-Management verteilt, nicht alle Rechner sind derzeit eingeschaltet.
Von den bereits aktualisierten 57 Rechnern haben nun 4 folgende Einträge:
YouTube GoogleChrome
Gmail GoogleChrome
Tabellen GoogleChrome
Google DriveGoogleChrome
Präsentationen GoogleChrome
Dokumente GoogleChrome
Auffällig ist das die vier Geräte (alles Notebooks) aus der Elektroabteilung stammen. Die haben lokale Adminrechte, da für Siemens SPS und CO oft Netzwerkeinstellungen geändert werden müssen.
Vielleicht ein Zusammenhang mit den Rechten?
Gruß Singlethreaded
Guter Einwand. Dazu möchte ich zu meinem Beitrag was hinzufügen. Kein User, auch nicht die IT User haben lokal Admin. Wird durch einen extra User gesteuert, wenn Adminrechte notwendig sind. Alles reguläre Domain-User.
Man hat 2 Möglichkeiten Desktop Links einzutragen:
Einmal nur für den aktuellen User und
einmal für alle User.
Das letztere benötigt Admin-Rechte.
Würde also erklären, warum nicht alle Clients das Problem haben das Chrome wohl auch ohne Admin Rechte geupdatet werden kann.
Barracuda wird wohl immer mit Admin Rechten ausgeführt.
Man müsste halt mal gucken wo die Lnk im Dateisystem liegen.
Bin mir nicht sicher ob es tatsächlich damit zu tun hat…
Ja, von baramundi wird logischerweise über einen lokalen Installationsbenutzer installiert. Da waren die Links aber noch nicht zu sehen. Erst, als ich als Domänen User (ohne lokale Adminrechte) das Chrome Update gemacht habe, sind die Links nach dem Update erschienen.
Logge ich mich nachträglich als lokaler Admin ein, erscheinen diese Links NICHT! Da müssten sie nach dieser Logik ja aber dann auftauchen, oder?
Chrome installiert aber auch einen Update Service. Nur so kann ein normaler User Chrome im Programme Ordner aktualisieren. Der Service stellt die Rechte für die Update Installation.
Ich denke nicht, dass es an Barracuda liegt. Wir sind auch betroffen und haben kein Barracuda im Einsatz.
Ich habe mir gerade mal in einer VmWare VM mit einem Windows 10, 22H2, x64, dt, Patchstand Juli, volle Admin Rechte, den aktuellen ChromEnterprise als MSI heruntergeladen und installiert.
So wie er kommt out of den Box!
Interessant beim Start ist die Ersteinrichtung, wo schon mal verlinkungen (Youtube, Gmail) angelegt werden können – diese tauchen dann in der Leiste im Chrome auf.
Allerdings sind KEINE Apps nachgezogen worden, auch beim Surfen nicht. War mal hier auf der BornCity Seite unterwegs.
Ich habe mich aber auch bei Google nicht angemeldet.
Guten Tag
Wir hatten das Problem ebenfalls. Bis zur Version 115 steuerten wir das Startverhalten mit dem File master_preferences und hatten nicht mitbekommen, dass Google seit der Version 91 einen Wechsel auf initial_preferences geplant hat.
https://support.google.com/chrome/a/answer/187948?hl=en
Mit der Version 115 zogen dann die Settings nicht mehr an. Daraufhin haben wir das File initial_preferences verwendet und Chrome reagiert nun wieder wie früher.
Warum macht ihr das nicht über Gruppenrichtlinien? Ist doch viel eleganter!
Das mit dem master_preferences habe ich auch nicht mitbekommen, danke dafür. :-D
Wir setzen das hier:
{"browser":{"check_default_browser":false},"distribution":{"msi":true,"system_level":true,"verbose_logging":true,"make_chrome_default":true,"do_not_create_desktop_shortcut":true},"protocol_handler":{"excluded_schemes":{"receiver":false}}}
Kannst du mir sagen, inwiefern dich ein Setting im neuen File initial_preferences hilft, dass keine Chrome Apps installiert werden?
Sorry. Die beiden Beiträge um 1408 waren bei mir noch nicht zusehen.
Das Problem ist dann ja gelöst.
Ebenfalls betroffen und so skuril als wäre Chrome von Microsoft entwickelt worden.
Zwei gesharte RDS Server, Chrome Enterprise per MSI installiert, FSLogix Profile, Chrome per GPO eingeschränkt. Ergibt dass etwa die hälfte der User die Apps bekommen haben und die anderen nicht. Alle Profil wurden auf nur einem Server initial eingerichtet. -> Absolut keine Nachverfolgbarkeit woher das kommt.
Das war letzten Monat noch nicht der Fall bei einer anderen Installation.
In wiefern ist das Problem gelöst? Die initial_preferences kann ja alternativ zum Enterprise-Bundle verwendet werden. Hat von den Betroffenen jemand das aktuelle Enterprise-ADMX installiert? Jemand schrieb, es sei nur ein Benutzer betroffen, dann liegt das Programmverzeichnis wohl unter AppData – Ist das anderswo genauso?
Ich kann das Problem bestätigen, auch bei uns werden die Verknüpfungen
auf einzelnen Clients angelegt.
Auch wir verteilen den Chrome per .msi über unsere UEM-Lösung bzw. die
integrierte Softwareverteilung, eingesetzt wird hier Empirum von Matrix42.
Dabei wird die .msi über die msiexec.exe mit den Standardparametern unter dem
lokalen System Account installiert.
Das es daran liegt, halte ich für eher unwahrscheinlich.
Da unser Inventory auch Software inventarisiert, die unter dem Benutzer installiert wird, also Software unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
habe ich soeben eine exemplarische Suche nach dem DisplayName "Gmail" angestoßen.
Installiert ist das Programm auf 18 Clients von ca. 550, also wie erwähnt nur vereinzelnd.
Zusätzlich findet unser Inventory das Programm bzw. die Verknüpfungen auch für einzelne User auf unseren Citrix-Terminalservern.
Wir haben 10 Terminalserver im Einsatz, ca. 3 bis 5 User pro Terminalserver haben Gmail installiert.
Einen Zusammenhang zwischen den Usern kann ich nicht feststellen.
Auch auf den 18 Clients kann ich auf Anhieb keine Gemeinsamkeit feststellen.
LENOVO kann ich ausschließen, da 2 Clients DELL-Notebooks sind.
Auch für mich ist die daher Sache rätselhaft.
Meine Vermutung:
Die Appps werden beim Aufruf einer bestimmten Webseite installiert.
Interessant an dieser Stelle ist auch, wie kann ich die Apps unbeaufsichtigt bzw. im silent Modus wieder entfernen?
Gemäß Registry (UninstallString)
"C:\Program Files\Google\Chrome\Application\chrome.exe" –profile-directory=Default –uninstall-app-id=%AppID%
Die %AppID% für die einzelnen Apps:
Dokumente: mpnpojknpmmopombnjdcgaaiekajbnjb
Gmail: fmgjjmmmlfnkbppncabfkddbjimcfncm
Google Drive: aghbiahbpaijignceidepookljebhfak
Präsentationen: kefjledonklijopmnomlcbpllchaibag
Tabellen: fhihpiojkbmbpdjeoajapmgkhlnakfjf
YouToube: agimnkijcaahngcdmfeangaknmldooml
Eine Lösung habe ich bisher nicht gefunden, siehe auch:
https://superuser.com/questions/1731577/command-line-to-silently-remove-google-chrome-apps-pwa
Ist es eventuell denkbar, das auf den Clients / RDS Server Benutzer jemand mit einem Google Konto (privat / geschäftlich) angemeldet ist, die Apps bsp. via Android nutzt oder ausprobiert hat, und der GoogleChrome stellt dem Anwender "seine Anwendungen" automatisch zur Verfügung – sozusagen als "Service"?
Oder kann das generell ausgeschlossen werden?
In unserem Fall kann ich das ausschließen,
Ich nutze privat Google Chrome und habe dort Apps installiert auf meinem privaten Client.
Mit dem genau gleichen Google Account bin ich auch auf dem Geschäftslaptop eingeloggt im Browser und erhalte die Apps NICHT im Startmenü.
Nur als Info-Splitter, da ich es nicht separat im Blog aufgegriffen habe. Der Microsoft Edge 116 scheint den Google Chrome mal wieder als "schädlich" geflaggt zu haben. Windows Latest hat hier einen Artikel samt Screenshot dazu veröffentlicht. Im aktuellen Fall würde ich nun sagen "ist ein Körnchen Wahrheit" bei, wenn die Edge Warnung, dass der Download schädliche Inhalte aufweisen kann, sicher anders gemeint ist.
Selbes Problem hier, ganz normales Verteilen über SCCM mit der aktuellen Enterprise MSI. Kann nicht nachvollziehen, wo und wann die "Apps" dazu installiert werden, bissl nervig…
Verteilen hier ebenfalls via SCCM , sowohl 32 / 64 bit ( je nach bedarf) tritt sporadisch und ohne vollziehbarer Logik auf…
die Verteilungsplattform Baramundi scheint mir genauso wenig schuld, wie die Hardware – bei mir trats auf meiner TestVM beim Paket testen erstmalig auf – ich kann es aber mit installation/ reinstallation nicht reproduzieren..
Für Hinweise /schalter /configs die das unterbinden wäre ich ebenfalls dankbar :)
Naja, Microsoft kämpft gerade auch wieder aktiv gegen Chrome, diesmal auch mit eigener Adware:
https://answers.microsoft.com/en-us/windows/forum/all/how-to-get-rid-of-bgaupsell/7ef24c3d-47e3-4a85-921e-f2d9d9ed064e
Ist heute bei mir selbst aufgetaucht, da hatte ich mal gesucht und direkt die obigen Beschwerden einiger Leute gefunden.
Das ist wie die Wahl zwischen Pest und Cholera…
Hoi zäme
Ich bin mir sehr sicher, dass ihr Baramundi ausschliessen könnt.
Wir haben das gleiche Problem bei einzelnen Clients mit SCCM:
Wir verteilen ein uraltes MSI (v77.x) googlechromestandaloneenterprise64.msi als Application mit dem ConfigMgr und lassen Chrome dann via GPO (Target Version) auf 116 aktualisieren.
Sehr wenige, einzelne Clients haben ebenfalls diese Apps. Aber ein Muster erkenne ich bisher auch nicht. Ein betroffener Client ist eine VMWare VM – darum würde ich auch den Lenovo Treiber ausschliessen.
Aber was es sonst sein könnte, da fehlt mir im Moment die Vorstellungskraft. :-D
Danke für die Ergänzung – den Gedanken hatte ich gestern im Nachtrag oben im Text eingepflegt, als mit ein Nutzer den Effekt unter Ubuntu beschrieb. Es deutet alles auf Googles Installationspaket als Übeltäter hin – entweder Bug oder Vorsatz. Mal schauen, ob mein Bug-Report was ergibt. Habe auf jeden Fall Kollegen Lawrence Abrams von Bleeping Commputer die Nacht noch eine diesbezügliche Info geschickt – mal schauen, ob er es aufgreift.
Eben nochmal probiert, frische Windows 11 Installation auf einem NUC.
Dann Chrome mit der ChromeSetup.exe installiert, und nach kurzer Zeit tauchten wieder selbstständig die Verknüpfungen und der besagte Chrome-Apps Ordner auf.
Scheint also nicht Hard- oder Software spezifisch zu sein, gleichzeitig aber auch total willkürlich. -.-
Mir schießt da "ein A/B-Test" (wie man bei bei Microsoft kennt) durch den Kopf.
Als Betatester oder so würde ich mir das ja noch gefallen lassen, aber das Verhalten der Hersteller wird immer dreister!
Hi,
Wir haben das Problem auch.
Wir verwenden baramundi und heute ist uns aufgefallen das die WebApps installiert waren (bisher nur auf einem Client aber ich lasse gerade ein Software Inventarisierung laufen). Das ist (war da ich testweise mal außerplanmäßig gepatcht habe) die Chrome Version 115.0.57.97.110
Edit: Wir haben Fujitsu im Einsatz und ich denke man kann damit etwas Hersteller-abhängiges ausschließen
Our UEM also distributed without any in depth quality check – Manage Engine. Seeing all the examples, perhaps google released a bad Enterprise MSI. In my case, the UEM failed to test, and out it went, because it was "trusted". Same similar thing with SCCM. The the SCCM environment didn't test thoroughly first (that's an in house issue), then the fault lies there, similar to UEM management systems. Also, if your environment is allowing Chrome to auto update by not settings GPO's correctly, then you'll start to get your mixed results with your chrome updating itself, or initiated by user. So, what version of google chrome was the culprit? Google won't respond. Good luck with that. It's Google's fault. Google is evil…
So the next issue is, what is exactly needed to clean the entire mess up and move on? What's the cleaning script going to look like for all user directories and reg entries? What will be your new methods of testing before releasing browsers going forward within your environments?
Now starting back up near the top of this article, was HugBunter815 using the preview build at that time?? Says their problem started around July 4th…
"Hit at Microsoft Answers
Also, searching for "Chrome has installed apps Windows" gave me the hit (also mentioned by HugBunter0815 in this comment) on the MS Answers forum post Chrome has installed shortcuts as apps in Add/Remove Programs. Some of these shortcuts/apps will not uninstall. How do I get rid of them? ejected. There it says on July 4, 2023"
If that was in reference to an early beta versions that was released, our actual issue began happening around July 28th…
Google Chrome 115.0.5790.110
First began picking up google apps on affected machines Jul 28, 2023
Google Drive and others.
Google release seems to have allowed user profile to install chrome apps.
Shortly after that release (or near) the issue stopped.
64 bit Google LLC MSI installations – 32 bit Google\Chrome installs.
can anyone else pinpoint that with your UEM or SCCM inventory and installation stats?
EDIT – Disregard – FAIL. I just had another machine where the client had patched earlier on another date to 115.0.5790.171 and everything was fine.
I just manually updated it to 116.0.5845.141 by opening Chrome, Settings, selecting About Chrome… and all of the Chrome Apps in Programs installed and appear in Programs and Features.
Going back to what Lucifer said in the beginning, and also setting restrictions on all update avenues. Must control by UEM/SCCM and be sure things are tested before release. No more UEM auto updates.
Hallo,
ich kann dieses Verhalten auch bestätigen, sowohl im Privatem als auch im Enterprise-Bereich. Die Installation dieser zusätzlichen Apps (Docs, GMail, Drive, Presentations, Tables und Youtube) erfolgt immer nach dem Abschluss der Aktualisierung von Chrome auf Version 116.0.5845.180. Vorher sind diese nicht vorhanden. Dabei spielt es offenbar auch keine Rolle, von welcher Version aus man updatet.(getestet mit V116.0.5845.179, 115.x, 111.x und 108.x)
Allerdings handelt es sich nicht direkt um vollwertige Anwendungen. Es werden lediglich die Einträge unter "Installierte Programme" gesetzt und zusätzlich Verknüpfungen im Startmenü angelegt. Diese verweisen und starten dann aber immer den Chrome, mit entsprechendem Befehlssatz zur Öffnung der "App" im Chrome.
Bei uns sind die Apps mit der Version: 116.0.5845.141 aufgetaucht (ebenfalls MSI und GPOs, Keine Google Admin Konsole), es ist nicht bei allen Personen gleich. ADMX ebenfalls aktualisiert und auch in den Releasenotes nichts dazu gefunden. Per Appwiz auf deinstallieren entfernt die Apps aus dem Startmenü. Jedoch wollen wir die gar nicht erst haben, wir setzen auf Microsoft Produkte was Office angeht. Und sobald es im Startmenü enthalten ist, gehen die Mitarbeiter davon aus es ist OK…
Habe noch keine Setting gefunden welche passen könnte.
If anyone needs for testing – be sure to backup users bookmarks first!!! And use these at your own risk..
—————————————–
:: To clear corrupt un-installable Google Chrome Versions…
"C:\Program Files (x86)\Google\Chrome\Application\**101.0.4(whatever version number exists here)951.41**\Installer"
or
"C:\Program Files\Google\Chrome\Application\**101.0.4(whatever version number exists here)951.41**\Installer"
:: Open admin cmd window from that installer location, and run this:
setup.exe –uninstall –multi-install –chrome –msi –system-level –force-uninstall
REBOOT machine when done – then this in a bat…
taskkill /F /IM chrome.exe
rmdir %userprofile%\appdata\local\google /S /Q
rmdir C:\Program Files\Google\Chrome /S /Q
rmdir C:\Program Files (x86)\Google /S /Q
***get all your references of GOOGLE off machine…
———————————
:: If you wanted to stop google from updating itself…
:: Test if your UEM/SCCM over-rides once added…
:: These go in BAT – could run last after another fresh install to keep at current version.
REG ADD "HKLM\SOFTWARE\Policies\Google\Update" /v UpdateDefault /t REG_DWORD /d 0 /f
REG ADD "HKLM\SOFTWARE\Policies\Google\Update" /v DisableAutoUpdateChecksCheckboxValue /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Policies\Google\Update" /v AutoUpdateCheckPeriodMinutes /t REG_DWORD /d 0 /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Google\Update" /v UpdateDefault /t REG_DWORD /d 0 /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Google\Update" /v DisableAutoUpdateChecksCheckboxValue /t REG_DWORD /d 1 /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Google\Update" /v AutoUpdateCheckPeriodMinutes /t REG_DWORD /d 0 /f
:: To Remove User based install separate bat
IF EXIST "%LOCALAPPDATA%\Google\Chrome\Application\%version%\Installer\setup.exe" "%LOCALAPPDATA%\Google\Chrome\Application\%version%\Installer\setup.exe" –uninstall –chrome –force -uninstall
:: To Remove System based installs separate bat –
IF EXIST "%ProgramFiles%\Google\Chrome\Application\%version%\Installer\setup.exe" "%ProgramFiles%\Google\Chrome\Application\%version%\Installer\setup.exe" –uninstall –multi-install –chrome –system-level –force-uninstall
IF EXIST "%ProgramFiles(x86)%\Google\Chrome\Application\%version%\Installer\setup.exe" "%ProgramFiles(x86)%\Google\Chrome\Application\%version%\Installer\setup.exe" –uninstall –multi-install –chrome –system-level –force-uninstall
***Replace the version numbers per machine need… you may need to move logic around to fit your situations.
Hallo Günter,
das mit dem weglassen von "Lenovo View Driver" hat bei mir Anfang August reproduzierbar funktioniert.
Mittlerweile erscheinen die Chrome-Apps auch bei uns auf anderen Geräten. Hat also nicht unmittelbar mit Lenovo zu tun…
Inzwischen gibt es wohl bei Google auch einen Bug-Report
Well imagine that ;)
Danke Günter, dass Du darüber berichtetet hast.
Wir haben gerade im Unternehmen die folgende GPO von Reddit.com und bugs.chromium.org getestet – damit geht alles so, wie es soll (Text aus dem Forum übernommen):
https://www.reddit.com/r/sysadmin/comments/15yzno9/how_do_you_prevent_chrome_from_installing_google/
We already had this reg location because we have a forced Extension so it might require one of the admx's if you don't have the path at all.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\
Then you create a key
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist
Here is the fix:
1= Gmail
2= Google Drive
3= Docs
4= Sheets
5= Slides
6= YouTube
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallBlocklist]
"1"="pjkljhegncpnkpknbcohdijeoejaedia"
"2"="apdfllckaahabafndbhieahigkjlhalf"
"3"="aohghmighlieiainnegkcijnfilokake"
"4"="felcaaldnbdncclmgdcncolpebgiejap"
"5"="aapocclcgogkmnckokdopfmhonfmgoek"
"6"="blpcfgokakmgnkcojhhkbfbldkacnbeo"
When you the registry keys are in place, the next launch of Chrome it will uninstall the Apps from chrome://apps/ AND it will remove the shortcuts from the Start Menu!
Noch ein kurzer Kommentar: die Werte 1-6 waren bei uns an einem Test-System abweichend von denen, die im englischen Forum beschrieben waren – deshalb haben wir diese in der GPO noch um die bei uns gefundenen ergänzt.
Test war im Anschluss erfolgreich
Vielen Dank!
Ich werde das in der nächsten Woche mal testen und ein Feedback geben.
Soeben getestet, funktioniert einwandfrei, die Verknüpfungen der Apps im Startmenü und die RegKeys der Apps unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
werden gelöscht.
Verteilung per GPO, unter:
Lokale Computerkonfiguration > Administrative Vorlagen > Google > Google Chrome > Erweiterungen >
Sperrliste für Installation von Erweiterungen konfigurieren
die entsprechenden IDs eintragen.
Laut Chromium Bug Tracker, soll das Problem mit der Version 118 nicht mehr auftreten:
https://bugs.chromium.org/p/chromium/issues/detail?id=1476987#c60
(siehe Kommentar 60 vom 26.09.23).
…and 118 itself doesn't uninstall anything previously placed…
Es könnte eventuelle Abhilfe schaffen wenn man diese Schritte umsetzt:
Um die automatische Installation von Apps und Verknüpfungen durch Google Chrome zu verhindern, können Sie die Chrome-Installation mit einem Parameter starten. Dies geht am bequemsten über eine neue Verknüpfung. Hier sind die Schritte, um die automatische Installation von Apps und Verknüpfungen in Chrome zu deaktivieren:
Klicken Sie mit der rechten Maustaste auf den Desktop und wählen Sie "Neu – Verknüpfung" aus.
Wählen Sie die Programmdatei von Google Chrome aus und ergänzen Sie im Feld für den Speicherort den Parameter "–autoplay-policy=user-required". Der Standard-Speicherort für Chrome ist "C:\Program Files (x86)\Google\Chrome".
Dies ist eine Anleitung von der GPT-Copilot-Bing.