tuefaeli
Goto Top

Downloads in der Firma, wie weiter?

Client XP Pro, MS Server 2003, keine Proxy oder ähnliches

Hallo Admins

ich habe eine Frage; wie soll ich mit dem Problem umgehen?
Arbeite in einer Firma als Admin (bin noch neu), alle User haben leider noch zu viele Rechte, dass heisst sie können selber SW installieren, obwohl ich es schon mal dazu gebracht habe, dass sie es mir wenigstens melden. Unser Grouppolicy greifft leider nicht, sonst hätte ich bestimmt weniger Probleme. Nun mein Problem; mehrere User downloaden während den Geschäftszeiten und weekend, ich möchte das stoppen, könnt ihr mir ev eine kostengüstige Lösung verraten? ich weiss nicht weiter, da ich nicht täglich lust habe den Usern dies und jenes heimlich zu löschen...
ich bin noch dran ein neues Konzept bezüglich Rechte und Co zu erarbeiten, aber das dauert bestimmt noch seine Zeit, bis es umgesetzt ist.
ich würde aber gerne schon mal solche Sachen unterbinden...
wie kann ich hierbei vorgehen, was ist erlaubt, und was wäre empfehlenswert? GL rundschreiben bringt wie immer nicht viel...bin echt verzweifelt...

danke für jeden Lösungsvorschlag und Hilfe!!!

gruss
t.

Content-ID: 117406

Url: https://administrator.de/contentid/117406

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

gogoflash
gogoflash 03.06.2009 um 18:24:40 Uhr
Goto Top
Hallo tuefaeli,

bevor Du irgendetwas anfängst. Sollest Du reden, reden und reden. Rede über deine Probleme mit der Geschäftleitung.
Ist der Geschäftsleitung auch dieses Problem bekannt und sieht Sie auch Handlungsbedarf? Wenn sie davon nichts wissen, werden deine Aktionen u.u. nicht verstehen.

Wenn ja kannst Du erstmal anregen, dass es eine betriebliche Vereinbarung geben soll, die jeder Mitarbeiter zu unterschreiben hat.Beinhaltet Nutzung des Internets sowie Softwareinstallation. Es würde schon reichen ein Verbot der privaten Nutzung des Internets im Betrieb festzulegen.
Die Mitarbeiter werden so erstmal sensibilisiert und im zweiten Schritt kannst Du Dir einige Mechanismen zur Absicherung überlegen.

Anderes Thema die Gruppenrichtlinien können im ersten Schritt auch mit lokalen Adminrechten genutzt werden. Deswegen meine Frage was klappt nicht?


Gruß Miguel
Cubic83
Cubic83 03.06.2009 um 18:28:50 Uhr
Goto Top
Du musst das abschaffen. Lokale Admins haben in einem Betrieb nichts verloren. Gut, überall gibt es die ein oder andere Ausnahmen, aber das darf nicht zur Gewohnheit werden. Du bist ja verantwortlich für das Funktionnieren des Systems. Das kannst du so nicht. Also muss was verändert werden.

Wenn die PCs an der Domaine angemeldet sind, kannst du über die Computerrichtlinien steueren dass der Windows Installer blockiert wird. Und sonst ist es am besten erstmal alles zuzumachen, was du für nötig empfindest und dann nach und nach das erlauben was nötig ist.

Ansonsten kannst du schauen ob du einen Proxy zwischenklemmen kannst. Aber das behept nur die Symptome, denn SOftware kriegst du überall runter zu laden.


Zitat von @tuefaeli:
Unser Grouppolicy greifft leider nicht,

Warum nicht?
Weasel1969
Weasel1969 03.06.2009 um 18:33:34 Uhr
Goto Top
Hy,

du solltest dir mal das Thema Gruppenrichtlinien näher bringen.
Hhier kannst du Userseitig einiges an Restriktionen einstellen.

Was die Downloads angeht fällt mir ad hoc jetzt keine GPO in, aber unter www.gruppenrichtlinien.de findest du sicher Hinweise.

Was die Installationen angeht: mach die User zu Hauptbenutzern oder noch weiter eingeschnürt zu Benutzern. Kann aber u.U. zu Problemen bei div. Software führen face-sad
Jedoch kannst du untern den GPO Installationen unterbinden.

Gruß,
Andy
gogoflash
gogoflash 03.06.2009 um 18:34:35 Uhr
Goto Top
Hallo Cubic83,

so imperativ würde ich das nicht sehen.

Das "Du musst es abschaffen" sollte schon von jemanden abgesegnet werden. Wenn es der Unternehmenskultur erheblich entgegenläuft (so welche Firmen kenne ich auch) wirst Du mit diesem MUSS nicht weit kommen.

Wichtig ist das die Nutzer wissen müssen, was sie dürfen und was nicht. Und im zweiten Schritt kommen die Rechte, Richtlinien und Proxys.


Gruß Miguel
HightopOne
HightopOne 03.06.2009 um 18:50:20 Uhr
Goto Top
Guten Nabend,

reden ist schon einmal das A&O damit kann man schon einmal viel Gewinnen,dann als nächstes herausfinden warum die GPOs nicht greifen und die Gruppenzugehörigkeiten der User abklären.(mögliche Fehlerursachen)( ich habe auch schon Unternehmen Administriert,wo der Admin der dort vorher Tätig war alle mal pauschal zu Dom-Admins gemacht hat,weil es ja so herrlich einfach war und alles dann lief*seufz*)

Ports an der FW,ISA,etc. sperren, vornehmlich die ,die für emule und co genutzt werden.

Im Zweifelsfall auch mit fixen Profilen anfangen und dort festlegen,wer was darf und Dementsprechend anpassen,zur not auch über die Registry(ich weiß,dass ist viel Arbeit,aber manchmal muss sie sein)

Mit Proxy Arbeiten und ISA (oder auch anderes)einsetzen und mit White und Blacklist arbeiten.

Herausfinden,wer da Fleißig am Downloaden ist mit Netzwerkscannern und die Leute zur rede stellen mit der Deutlichkeit es auch dem Vorgesetzten notfalls zu melden,wenn keine Besserung eintritt und auch darauf aufmerksam,dass Notfalls die Strafbehörden eingeschaltet werden müssen,wenn es sich um Illegale Downloads handelt und parallel dazu,dann die Kündigung mit ins Gewicht fällt.(das lässt Menschen Nachdenken,wenn sie mit Geldstrafen und mehr zu Rechnen haben,inklusive des Arbeitsplatzverlustes).

Kurz gesagt,erst Reden und Deutlich machen,dass es so nicht geht,weil die Sicherheit der Firma und überhaupt auf dem Spiel steht und dann als nächstes mit einigen Handlungen zeigen,dass du es unterbinden kannst und zu guter letzt ihnen von den Vorgesetzten in den Hintern treten lassen bis sie es verstanden haben.(auf diesen Wege hab ich in einer Firma 800 Usern beigebracht,dass die dort nicht alles machen können was sie wollen,Erfolgreich!,wenn auch mit viel Fleißarbeit und konsequenten handeln)

gruß

Hightop
Cubic83
Cubic83 03.06.2009 um 18:51:03 Uhr
Goto Top
Selbstverständlich hast du Recht. Gerade als Neuling sollte man nicht ohne Unterstützung der GL an die Sache ran gehen.

Das setze ich mal vorraus.

mfG
mrtux
mrtux 03.06.2009 um 19:35:38 Uhr
Goto Top
Hi !

Zitat von @Weasel1969:
Was die Installationen angeht: mach die User zu Hauptbenutzern oder

Das ist ein ganz schlauer Vorschlag, dann kann er sie auch gleich zum Admin hochstufen. face-wink

Erstmal einen Termin mit der Geschäftsführung ansetzen. Die Risiken, Gefahren und Konsequenzen (Malware, Datenklau, Urheberrecht z.B. bei Filesharing usw.) durchsprechen. Natürlich solltest Du dich ein wenig auf den Termin vorbereiten. Je kompetenter Du wirkst, desto besser kannst Du deine Argumente in der Realität auch umsetzen.

Bei dem Termin einfach mal die Frage in den Raum werfen, was die hohen Herren oder Damen meinen, was es kostet, wenn die IT mal einen Tag (z.B. wegen Malware) komplett steht oder Du mehrere Tage brauchst, um sie wieder in einen stabilen Zustand zu bringen (Datensicherungen einspielen oder evt. Systeme neu aufsetzen). Und ganz klar darauf Hinweisen, dass Du als Admin keine Verantwortung für die IT-Anlage übernehmen und auch die Stabilität nicht versprechen kannst, solange die Mitarbeiter solche Spielchen treiben können. Ist das alles geklärt und schriftlich festgehalten, dann kannst Du dich an die technische Umsetzung machen und nicht vorher.

mrtux
RAINERR
RAINERR 04.06.2009 um 06:36:26 Uhr
Goto Top
Hallo tuefaeli,

als erstes müssen immer die rechtlichen Rahmenbedingungen für ein Verbot und die Überwachung dieses Verbotes geschaffen werden. Dies kann man mit einer Nutzungsvereinbarung. Mach Deine GL darauf aufmerksam, dass Sie immer mithaften wenn nichts vereinbart wurde und nichts nachvollzogen werden kann. Das wirkt meistens. Dann lass die Nutzungsvereinbarung unterschreiben und erkläre den Leuten warum und wieso (strafrechtliche Folgen wie oben schon jemand erklärt hat) so ein "Schei..." eingeführt wird.
Erst dann kannst Du wirklich rechtssicher tätig werden. Ports sperren kannst Du natürlich schon früher.
Dann kannst Du in Angriff nehmen, die lokalen Adminrechte zu nehmen. Meistens wurden die Rechte nur wegen ein zwei Programmen gewährt. Bei uns war es weil Nutzer Vollzugriff auf ein paar bestimmte Registry-Keys benötigten. Bekommt man aber auch über GPO geregelt.
Ich würde dann noch einen Proxy installieren wie auch schon jemand oben erläutert hat.

Grüße

Rainer
tuefaeli
tuefaeli 04.06.2009 um 08:53:47 Uhr
Goto Top
wow, danke für die vielen Inputs. werde also mal reden und eins nach dem anderen angehen... thx
Gagarin
Gagarin 04.06.2009 um 09:02:09 Uhr
Goto Top
Ein weiteres Argument koennte fuer dich das Problem der downloads.

Wenn einer deiner Nutzer illigal etwas aus eine Tauschboerse downloaded dann ist es immer rech unangenehm wenn die Geschaeftsfuehrung sich der Staatsanwaltschaft erklaeren muss.
Kekskiller
Kekskiller 05.06.2009 um 13:34:26 Uhr
Goto Top
Ich kann mich meinen Vorrednern größtenteils anschließen. Natürlich muß man darüber reden und alle Risiken herausstellen und offenlegen. Vor allem aber mußt Du Dich in den Gesprächen absichern und darauf hinweisen, daß Du keine Verantwortung für diese Systeme übernehmen kannst, wenn diese Rechtestrukturen erhalten bleiben. Wie der Kollege schon erwähnte: bereite Dich gut vor, am besten mit einer Liste und eventuell auftretenden Szenarien wie Systemausfälle, Malwarespreading, Urheberrechtsverletzungen (hier haftet in erster Linie die Geschäftsführung) durch Filesharing o.ä., etc. Außerdem solltest Du neben den "klassischen" Risiken erwähnen, daß eine solch unsichere Gesamtstruktur bei einer Infektion mit Schädlingssoftware gegebenenfalls sämtliche Firmeninterna "bösen Buben" preisgibt (Kundendaten, Rechnungen, Know-How, Mails, und und und...). Je nach Branche (z.B. Entwicklung, Konstruktion, ...) kann somit auch die Arbeit von mehreren Jahren (oder tausenden von Arbeitsstunden) in die falschen Hände geraten.

Last but not least: findet ein solches Gespräch mit der GF statt, laß es Dir protokollieren und gegenzeichnen. Das mag für manche Kollegen übertrieben wirken, aber im Normalfall sollte das keine Probleme mit "den Oberen" geben und trägt der eigenen Absicherung bei.

Gruß
Larz
Larz 08.06.2009 um 09:22:20 Uhr
Goto Top
Noch eine Ergänzung, damit auch mal ein "Tool" genannt wird. Zur Überwachung welche Programme installiert sind und zur Unterbindung des Starts nicht erwünschter könnte man die kostenpflichtige Software "Miss Marple" der Firma Adlon einsetzen. Das Programm ist in erster Linie für die Inventarisierung und Überwachung von Lizenzen gedacht, kann aber auch den Start unerwünschter, bzw. nicht freigegebener Software unterbinden. So hättest Du bzw. die GL die Möglichkeit, viele Tauschbörsenprogramme, Spiele, Alternative Browser o.ä. von vornherein auszusperren. Wir setzen die Software u.a. auch diesen Gründen bei uns ein, das wir viele Benutzer haben, die unglücklicherweise tatsächlich lokale Admin-Rechte benötigen, damit gewissen Fachprogramme auf dem PC vernünftig funktionieren...

Gruß
Larz
Alphavil
Alphavil 08.06.2009 um 10:54:03 Uhr
Goto Top
Dazu gibt es auch OpenSource Tools :

- OPSI: http://www.uib.de/www/produkte/opsi/index.html


Etwas gewöhnungsbedürftig und nicht von heut auf morgen eingerichtet bzw. benötigt es eine gewisse Einarbeitungszeit


Greetz André