30
User auf TS für das Internet sperren
Guten Morgen,
wir würden gern einen User auf dem Terminalserver (2016) für die Nutzung des Internet sperren, wissen aber nicht so recht, wie wir es anstellen sollen.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Für einen klugen Rat wäre ich sehr dankbar
wir würden gern einen User auf dem Terminalserver (2016) für die Nutzung des Internet sperren, wissen aber nicht so recht, wie wir es anstellen sollen.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Für einen klugen Rat wäre ich sehr dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394641
Url: https://administrator.de/contentid/394641
Printed on: April 16, 2024 at 13:04 o'clock
30 Comments
Latest comment
Moin,
ohne den Einsatz eines Proxyservers wirst du das wohl eher nicht realisiert bekommen.
Gruß
ohne den Einsatz eines Proxyservers wirst du das wohl eher nicht realisiert bekommen.
Gruß
Hi,
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.
wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.
Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.
wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.
Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Gruß A.
Gruß A.
Hallo RP-Berlin,
ist nur eine Idee, kenn mich da aber nicht so aus.
MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?
grüße vom it-frosch
ist nur eine Idee, kenn mich da aber nicht so aus.
MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?
grüße vom it-frosch
Zitat von @GrueneSosseMitSpeck:
Hi,
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.
wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.
Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.
Hi,
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.
wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.
Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.
Frage nicht vollständig gelesen?
Er möchte doch das auf dem Terminalserver nur ein bestimmter Nutzer nicht mehr ins Internet kommt.
Wenn du das Default Gateway wegnimmst kommt auf der Kiste niemand mehr ins Internet.
Zitat von @137846:
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Gruß A.
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Gruß A.
Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Zitat von @it-frosch:
Hallo RP-Berlin,
ist nur eine Idee, kenn mich da aber nicht so aus.
MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?
grüße vom it-frosch
Hallo RP-Berlin,
ist nur eine Idee, kenn mich da aber nicht so aus.
MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?
grüße vom it-frosch
Würde so nicht funktionieren ;)
Die GPO Einstellungen für die Windows Firewall sind im GPO Editor ausschließlich unter Computerkonfigurationen zu finden, nicht unter Benutzerkonfigurationen.
Und betreffend allen Konfigurationen die sich in Computerkonfiguration befindet kannst du bei der GPO ja bekanntlich nur nach Computer Filtern, nicht nach Nutzern.
Die GPO würde als gar nicht greifen.
AFAIK geht das wie Kraemer schon gesagt hat nur mit einem Proxy.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser.
Für sowas gibt es Applocker, gehört für mich auf eimem TS eigentlich immer aktiviert.
Zitat von @Bem0815:
Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Tab: Authorized UsersWäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Zitat von @137846:
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Mir ist so, als wenn das nur im Zusammenhang mit IPSec relevant ist, also nur dabei greift.Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Zitat von @137846:
Zitat von @Bem0815:
Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Tab: Authorized UsersWäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Das was du hier meinst funktioniert nur zwischen Domänen mit Vertrauensstellung, Authentifizierung der User und der verwendung des IPsec Protokolls. Damit kannst du keine Regel erstellen die dem User den Zugriff auf das Internet blockiert, da es zum Internet natürlich keine Vertrauensstellung geben kann.
Details kann man hier finden:
https://docs.microsoft.com/en-us/powershell/module/netsecurity/set-netfi ...
Guten Tag,
Proxy mit User Authentifizierung ist hier das Stichwort. Mit Bordmitteln nicht (sinnvoll) umsetzbar.
Proxy mit User Authentifizierung ist hier das Stichwort. Mit Bordmitteln nicht (sinnvoll) umsetzbar.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @Freak-On-Silicon:
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Zitat von @Bem0815:
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.Zitat von @Freak-On-Silicon:
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Zitat von @Freak-On-Silicon:
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Zitat von @Bem0815:
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.Zitat von @Freak-On-Silicon:
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.
Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.
Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.
Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.
Hallo,
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
Zitat von @117471:
Hallo,
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
Per BrieftaubeHallo,
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
Zitat von @117471:
Und genau darin sehe ich den Lösungsansatz.
https://de.m.wikipedia.org/wiki/SarkasmusUnd genau darin sehe ich den Lösungsansatz.
https://de.m.wikipedia.org/wiki/Security_through_obscurity
Zitat von @117471:
Hallo,
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
Hallo,
wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?
Gruß,
Jörg
Was soll es denn bringen hier theoretische Szenarien zu nennen bei denen das genannte vorgehen nicht klappt wenn diese möglichen Szenarien einfach unwahrscheinlich sind.
Da könnte ich auch gleich sagen "wie soll er denn einen portablen Browser auf den Rechner bekommen wenn das nur ein C64 ist."
Die Realität wird wohl anders aussehen.
Zitat von @Bem0815:
Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.
Zitat von @Freak-On-Silicon:
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Zitat von @Bem0815:
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.Zitat von @Freak-On-Silicon:
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.
Ja, das ist mir schon klar, aber wie gesagt in unseren Fall alles nicht möglich, einerseits setzen wir, wie unten schon erwähnt tatsächlich viele Igel ein und andererseits sind die USB gesperrt auf den PCs.
Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.
Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.
Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.
Sorry falls ich mich dumm anstelle, aber ich kapiers immer noch nicht.
Ob er in ein TimeOut landet oder durch richtige Authentifizierung das Internet gesperrt ist, ist doch egal, kommt ja das Selbe dabei raus?
Btw hier hab ich eh einen richtigen Proxy.
EDIT: Habs gerade getestet mit Firefox Portable.
Wenn ich irgendeinen Phantasie Proxy eintrage schreibt er nur "Netzwerk-Zeitüberschreitung".
Interessanterweise schreibt der Edge "Mit dem Proxyserver kann keine Verbindung hergestellt werden."
Mit dem richtigen Proxy meldet sich dann halt meine Sophos.
Hallo,
Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.
Ich wüsste nicht, was das mit Sarkasmus zu tun hat.
Gruß,
Jörg
Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.
Ich wüsste nicht, was das mit Sarkasmus zu tun hat.
Gruß,
Jörg
Zitat von @Freak-On-Silicon:
Ja, das ist mir schon klar, aber wie gesagt in unseren Fall alles nicht möglich, einerseits setzen wir, wie unten schon erwähnt tatsächlich viele Igel ein und andererseits sind die USB gesperrt auf den PCs.
Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.
Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.
Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.
Sorry falls ich mich dumm anstelle, aber ich kapiers immer noch nicht.
Ob er in ein TimeOut landet oder durch richtige Authentifizierung das Internet gesperrt ist, ist doch egal, kommt ja das Selbe dabei raus?
Btw hier hab ich eh einen richtigen Proxy.
EDIT: Habs gerade getestet mit Firefox Portable.
Wenn ich irgendeinen Phantasie Proxy eintrage schreibt er nur "Netzwerk-Zeitüberschreitung".
Interessanterweise schreibt der Edge "Mit dem Proxyserver kann keine Verbindung hergestellt werden."
Mit dem richtigen Proxy meldet sich dann halt meine Sophos.
Zitat von @Bem0815:
Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.
Zitat von @Freak-On-Silicon:
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Zitat von @Bem0815:
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.Zitat von @Freak-On-Silicon:
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.
Hab ich so in einer Schule für die Schularbeitsuser.
Zitat von @RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.
Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.
Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.
Ja, das ist mir schon klar, aber wie gesagt in unseren Fall alles nicht möglich, einerseits setzen wir, wie unten schon erwähnt tatsächlich viele Igel ein und andererseits sind die USB gesperrt auf den PCs.
Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.
Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.
Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.
Sorry falls ich mich dumm anstelle, aber ich kapiers immer noch nicht.
Ob er in ein TimeOut landet oder durch richtige Authentifizierung das Internet gesperrt ist, ist doch egal, kommt ja das Selbe dabei raus?
Btw hier hab ich eh einen richtigen Proxy.
EDIT: Habs gerade getestet mit Firefox Portable.
Wenn ich irgendeinen Phantasie Proxy eintrage schreibt er nur "Netzwerk-Zeitüberschreitung".
Interessanterweise schreibt der Edge "Mit dem Proxyserver kann keine Verbindung hergestellt werden."
Mit dem richtigen Proxy meldet sich dann halt meine Sophos.
Gut wenn du einen richtigen Proxy hast dann geht das natürlich so.
So war das auch in meinem Szenario gemeint.
Ich ging bei deinem Szenario aber davon aus, dass kein richtiger Proxy existiert und du bei dem PC der keinen Zugriff erhalten sollte dann einen nicht existierenden Pseudo Proxy per GPO eintragen würdest und das ändern des Proxys auch per GPO sperren.
Dann gäbe es einen Timeout, würde der User aber einen Portable Browser verwenden bei dem er den Proxy selbst einstellen kann könnte er diesen Browser ohne Proxy Eintrag benutzen und würde durch fehlenden echten Proxy natürlich hier ins Internet kommen.
Gleicher Fall wäre es auch wenn es einen echten Proxy gibt, dieser aber keine Authentifizierung benötigt. Dann könnte der Schüler einfach den korrekten Proxy Eintrag von einem Schul PC notieren und in seinen Portable Browser eintragen.
Einzig ein Proxy mit Authentifizierung würde hier also 100% Schutz bieten.
Zitat von @117471:
Hallo,
Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.
Ich wüsste nicht, was das mit Sarkasmus zu tun hat.
Gruß,
Jörg
Hallo,
Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.
Ich wüsste nicht, was das mit Sarkasmus zu tun hat.
Gruß,
Jörg
Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Zitat von @Bem0815:
Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Weil ein verantwortungsvoller Admin minimale Applocker-Policies für den TS durchsetzt. Wäre ja noch schöner wenn jeder auf dem TS ausführt was er will.Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Zitat von @137846:
Zitat von @Bem0815:
Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Weil ein verantwortungsvoller Admin minimale Applocker-Policies für den TS durchsetzt. Wäre ja noch schöner wenn jeder auf dem TS ausführt was er will.Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich. Sonst geht's dir aber noch gut?
Wenn du meinst, dass du die Zeit hast bei zig Kunden Applocker zu benutzen und ständig die Regeln anzupassen weil mal doch wieder eine Software dazu gekommen ist, dann viel Spaß dabei.
In der Praxis bedeutet Applocker leider in vielen Szenarien einfach zu häufig zu viel administrativen Aufwand.
Zitat von @Bem0815:
Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Nun "Applocker" war nur "ein" Beispiel von vielen wie man User beschränken kann was sie am TS so ausführen. Aber wer die User alles am TS ausführen lässt ist nun wirklich selbst schuld, warum haben wir wohl so viele Infektionen in DE ... Sicherheits-Aspekte sind eben noch nicht bei jedem angekommen.Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Sonst geht's dir aber noch gut?
Mir geht's hervorragend, und dir?Wenn du meinst, dass du die Zeit hast bei zig Kunden Applocker zu benutzen und ständig die Regeln anzupassen weil mal doch wieder eine Software dazu gekommen ist, dann viel Spaß dabei.
Kein Problem, wird bei über 200 Kunden erfolgreich umgesetzt, bisher kein Thema wenn man weiß wie.In der Praxis bedeutet Applocker leider in vielen Szenarien einfach zu häufig zu viel administrativen Aufwand.
Wenn man es naiv angeht und nicht gut plant sicherlich. Wir wollen es jedenfalls nicht mehr missen und unsere Kunden sind mehr als zufrieden.Einen produktiven TS ohne eine solche Art Absicherung oder APPv-Virtualisierung habe ich seit min. 5 Jahren persönlich nicht mehr gesehen.
Zitat von @137846:
Zitat von @Bem0815:
Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Nun "Applocker" war nur "ein" Beispiel von vielen wie man User beschränken kann was sie am TS so ausführen. Aber wer die User alles am TS ausführen lässt ist nun wirklich selbst schuld, warum haben wir wohl so viele Infektionen in DE ... Sicherheits-Aspekte sind eben noch nicht bei jedem angekommen.Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Es gibt genügend andere Variante wie man Schädlinge verhindern kann.
Bei uns läuft z.B. seit Jahre der TS problemlos ohne Applocker.
Die ordentlich konfigurierte Sophos UTM mit Verwendung unter anderem als E-Mail Gateway sowie Webproxy hält uns soweit alles fern.
Einen produktiven TS ohne eine solche Art Absicherung oder APPv-Virtualisierung habe ich seit min. 5 Jahren persönlich nicht mehr gesehen.
Wohl nicht viel rumgekommen, was?
War ja klar das wieder so ein Kommrntar von dir kommt. Aber wenn's dich interessiert, vermutlich in weit größeren Gefilden als deiner einer, Sophos UTM wenn ich das schon höre... Kinder-Spielzeug für KMUs 
.
Naja jedem das seine, ###vergleich bringt hier niemanden was.
.Naja jedem das seine, ###vergleich bringt hier niemanden was.
Zitat von @137846:
Naja jedem das seine, ###vergleich bringt hier niemanden was.
Naja jedem das seine, ###vergleich bringt hier niemanden was.
Warum machst du sie dann?
Aber gut egal, lassen wir das. Wird hier langsam eh zu Off Topic.
Richtig! KMUs, was soll diese Arroganz dabei?
Andere Voraussetzungen, passende Lösungen. Darauf kommt es an und vermutlich würdest Du eine Firma mit 5 oder auch 20 Mitarbeitern mit Deinem Ansatz in den Ruin, oder einen anderen Dienstleister treiben.