Impedire la disinstallazione di Intelligent Hub in Windows 10

E’ possibile proteggere l’Intelligent Hub di Workspace ONE in Windows 10, evitando la disinstallazione da parte degli utenti, vediamo come.

Se vi siete trovati nella situazione di dover gestire del client Windows 10 con Workspace ONE, vi sarà anche capitato di avere degli utenti che hanno privilegi di amministratore della macchina e che disinstallano l’Intelligent Hub. Questo causa l’unenrollment del dispositivo, con tutti gli spiacevoli effetti collaterali che ne derivano.

Dopo aver specificato che la cosa migliore in questo caso è rimuovere i privilegi di amministratore locale agli utenti, vediamo cosa possiamo fare per mitigare la situazione, dato che al momento non c’è modo di proteggere l’Hub con password o sistemi anti-tamper in stile antivirus.

La strategia più efficace è probabilmente nascondere l’installer, rendendo più difficili le cose per quegli utenti che provino a rimuovere l’Hub. E’ ovvio che questo non impedisce ad un utente con una buona conoscenza di Windows di rimuovere il software, ma fortunatamente non è alla portata di tutti farlo.

Va rimossa dai client la chiave di registro seguente negli OS x64:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7C474DC-3891-F2BF-A22A-4FDB9BB65D38}

Questa invece per l’ambiente x86:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A7C474DC-3891-F2BF-A22A-4FDB9BB65D38}

Fatto questo, Intelligent Hub sparirà immediatamente dalla lista dei programmi installati in “Apps and Features” e in “Programs and Features” nel pannello di controllo di Windows, togliendo la possibilità di disinstallarlo agli utenti.

Per automatizzare il tutto, ho preparato uno script di PowerShell che si occupa della cosa, potete recuperarlo qui su GitHub. Lo script elimina la chiave se presente e può essere usato su x86 o x64 indifferentemente.

Basta distribuirlo sui client utilizzando un product contenente un elemento Files/Actions che scarica lo script, lo esegue e poi (consigliabile) elimini lo script dal client.

Alcune note importanti:
– Non sarà più visualizzato l’Hub tra i prodotti installati nella macchina e non apparirà nemmeno in report che elencano il software installato sulle macchine.
– Gli amministratori di Workspace ONE potranno comunque disinstallare l’Hub facendo l’enterprise wipe del dispositivo dalla console o cancellandolo.
– La disinstallazione manuale dell’Hub resta possibile, utilizzando msiexec /X {Guid dell'applicazione}.
Testate sempre il tutto in un ambiente separato prima del deploy in produzione!