joerg
Goto Top

Dropbox erkennen und verhindern

Hallo zusammen,
wie ja bekannt ist, kann man DropBox auch ohne Admin-Rechte für den angemeldeten User installieren und auch vollumfänglich nutzen...
Kenn jemand eine Möglichkeit dies zu verhindern ohne dass ich ein extra Programm auf jeden Rechner installieren muss?
Zum Beispiel über GPOs etc?
Und nun zur zweiten Herrausforderung: Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden. Hat hier auch jemand eine Idee wie ich dieses Programm durch einen Scan oder Ähnliches erkennen kann? ´
Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
nicht schön aber selten...


Gruß Jörg

Content-ID: 216172

Url: https://administrator.de/forum/dropbox-erkennen-und-verhindern-216172.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

kontext
kontext 05.09.2013 aktualisiert um 08:25:26 Uhr
Goto Top
Moin @joerg,

naja leider verrätst du uns nicht was für ein OS du denn einsetzt ...
... man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker

Alle Applikationen die unter C:\Program Files liegen sind erlaubt - alles andere nicht.
Für die Installation braucht man Admin-Rechte und die hat der User nicht ...
... d.h. wenn er eine exe aufruft, kommt eine Meldung das der User das nicht darf

Ist ja die gleiche Problematik mit Google Chrome oder TeamViewer und Konsorten ...
... sollte jemand das zwingend benötigen kann man eine Applocker-Ausnahme konfigurieren

Gruß
@kontext
departure69
departure69 05.09.2013 aktualisiert um 08:40:59 Uhr
Goto Top
Hallo.

DropBox macht sich den Umstand, daß der User in seinem Profil ("C:\Dokumente und Einstellungen\Username" unter XP, "C:\Users\Username" unter Vista und höher) volle Rechte hat, zunutze. Google Chrome macht das ebenso.

Hier steht was zum Thema "Software Restriction Policies":

http://technet.microsoft.com/en-us/library/bb457006.aspx


Viele Grüße

von

departure
manuel1985
manuel1985 05.09.2013 um 08:48:58 Uhr
Goto Top
Moin,

bitte bedenke bei deinem Vorhaben auch, dass man via Browser auch Daten zu Dropbox hochladen kann, ergo solltest du die Dropbox-Webseiten in deiner Firewall blocken face-wink
joerg
joerg 05.09.2013 um 09:04:46 Uhr
Goto Top
Hallo zusammen,

@kontext: stimmt hab garnicht gesagt wie unsere Umgebung aussieht ;)
Also wir setzten zur zeit eine Windows 2008R2 AD ein mit Windows 7 Clients

@departure: danke für den Link muss ich mich mal einarbeiten, hört sich aber nach einer lösung an

@manuel1985: ja das hab ich schon berücksichtigt aber leider gibt es immer wieder irgendwelche Schlupflöcher an die man nicht denkt :/
108012
108012 05.09.2013 um 09:25:31 Uhr
Goto Top
Hallo,

kauft Euch eine Next Generation Firewall mit AV und Kontentfilter und unterbindet mittels GPOs die Installation dann habt Ihr Ruhe.
- Die Installation kann man sicherlich via GPOs unterbinden
- Mittels der Firewall kann man dann auch auf Applikationsebene und via IP Filtern arbeiten.
- Schulungen und auch sicherlich ein zusätzliche und unterschriebene Arbeitsanweisung sichert das ganze Vorhaben auch noch zusätzlich ab.
- Macht alle USB Ports via GPOs und USB Schlössen dicht und dann kann auch niemand mittels Portable Apps DropBox nutzen!

Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden.
Lass zwei Scripte laufen und eines durchsucht den PC nach Dropbox und schreibt eine Protokolldatei und ein zweites Script
durchsucht die Protokolldatei vom ersten Script und meldet Dir (Euch) dann wenn etwas gefunden wurde, dann kann man auch
über eine Ermahnung und/oder eine Abmahnung nachdenken, wenn vorher eine Arbeitsanweisung unterschrieben wurde!!!!!

Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
..... nicht schön aber selten...
Und wenn es nicht funktioniert dann habt Ihr eine Menge "False Positiv" Meldungen und die Leute werden alle rebellisch,
das ist nichts halbes und nichts ganzes.

Gruß
Dobby
Rudbert
Rudbert 05.09.2013 um 09:31:26 Uhr
Goto Top
Hallo,


würde an den Clients gar nichts machen.

Wie oben schon erwähnt, kann man auch ohne Client Dateien über die Webseite hochladen.

Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.


mfg
Cthluhu
Cthluhu 05.09.2013 um 09:59:52 Uhr
Goto Top
Hi zusammen,

Noch ein Hinweis: es gibt mehr unzählige ähnliche Anbieter die so ein Service wie Dropbox bieten. Die alle zu sperren wird eine Sisyphosarbeit. Dann lieber der Firmenpolicy generell Filesharing-Dienste verbieten.

mfg

Cthluhu
108012
108012 05.09.2013 um 10:35:13 Uhr
Goto Top
Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder obsolet.

Gruß
Dobby
Rudbert
Rudbert 05.09.2013 um 10:39:48 Uhr
Goto Top
Hi,

Zitat von @108012:
> Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln
zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder
obsolet.

verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?

mfg
108012
108012 05.09.2013 um 10:47:20 Uhr
Goto Top
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu geladen wird
und dann bringt Dir der Webfilter nichts.

Gruß
Dobby
Rudbert
Rudbert 05.09.2013 um 10:56:34 Uhr
Goto Top
Hi,


Zitat von @108012:
> verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu
geladen wird
und dann bringt Dir der Webfilter nichts.

du meinst Dienste wie anonymzier.com oder hidemyass.com? Die werden natürlich durch den Webfilter auch blockiert. Die meisten bringen ja (mehr oder weniger vollständige) URL-Filterlisten mit oder lizenzieren diese von Drittanbietern.


---


zum Topic zurück:


Wir sperren bei uns im Netz auf beide Arten:

- Die URLs (Filesharing, Anonymisierer, XXX, ...) über den zentralen Webfilter
- Unerwünschte Applikationen auf dem PC mit dem Virenscanner (Sophos bringt dafür ein Modul mit - Application Control)

Zusätzlich gäbe es noch die Möglichkeit einer DLP-Lösung, welche alle abfliessenden Daten aus dem internen Netz auf vertrauliche Informationen scannt und die Übertragung ggf. blockiert (Auch hier bietet Sophos ein Modul - Data Control iirc - setzen das nicht ein).


mfg
Cthluhu
Cthluhu 05.09.2013 um 10:56:53 Uhr
Goto Top
Zitat von @Rudbert:
> Zitat von @108012:
> > Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit
Regeln
> zu sperren.
> Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon
wieder
> obsolet.

verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?

Ich glaube Dobby meint den Fall, dass nicht du selber Dropbox aufrufst, sondern ein Webserver außerhalb deines Proxy-Einflusses das macht.
Z.b: du rufst example.com auf, welches seinerseits Dropbox aufruft und dir das Dropbox Interface in einem Frame auf example.com anbietet.
Dani
Dani 05.09.2013 um 21:38:04 Uhr
Goto Top
Moin kontext,
man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker
Kann man... mit entsprechender Edition - Klick.


Grüße,
Dani
okoester
okoester 06.09.2013 um 08:54:23 Uhr
Goto Top
Moin zusammen,

ich hatte mal ein ähnliches Problem. Damals ging es um den Chrome Browser, der sich ja genauso ohne Admin-Rechte installieren lässt.

Ich habe mir ein Script gebastelt, das den Chrome auffindet und rigoros löscht. Und zwar abends beim Abmelden oder Morgens als Anmeldescript. Egal.

Es hat ein paar Tage gedauert und ein paar nervige Nachfragen gegeben. Aber dann war das Problem behoben face-wink

Gruß
Olaf
departure69
departure69 06.09.2013 um 09:16:30 Uhr
Goto Top
@okoester:

Hallo.

Wobei mir der Chrome-Browser ansich (obwohl ich Google überhaupt nicht mag) da weniger Sorgen bereitet als beispielsweise der Firefox. Google bietet für den Chrome-Browser ganz offiziell adm(x)-Templates an, mit deren Hilfe ich GPOs erstellen und den Chrome dann zentral, per GPO, verwalten kann (bislang ging das nur mit dem IE). Für den Firefox macht Mozilla in dieser Hinsicht rein gar nichts, die adm-Templates für Firefox, die im Internet rumgeistern, wurden von Privatleuten aus Reg-Einträgen zusammengeschustert (es gibt wohl eine reg2adm-Software, die das kann). In beiden Fällen (egal ob Chrome oder Firefox) gilt aber: kein Support von Microsoft für adm/GPO von/für MS-fremde Produkte.
okoester
okoester 06.09.2013 aktualisiert um 09:49:02 Uhr
Goto Top
@departure:

Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben. Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja genauso lösen face-wink

Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem lösen, dass der User Chrome selbst installieren kann...

Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut. Natürlich gebe ich dir recht, dass es Mist ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr auf den IE angewiesen...

Olaf

Edith: Firefox-Absatz eingefügt.
departure69
departure69 06.09.2013 aktualisiert um 10:48:38 Uhr
Goto Top
Zitat von @okoester:
@departure:

Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben.
Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja
genauso lösen face-wink

Keine Frage, irgendwann sind sie es leid.



Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem
lösen, dass der User Chrome selbst installieren kann...

Nein, dafür ist das Template latürnich nicht, sondern, wie beim IE, dafür, den Chrome-Browser zentral (über GPO) administrieren zu können (Beispiel: Verhindern, daß User Proxy-Einstellungen ändern).

Es gibt vom Chrome übrigens auch eine Enterprise-Version, die sich nicht stümperhaft ins Benutzerprofil installiert, sondern dorthin, wo sie unter Windows eigentlich auch hingehört, nämlich nach C:\Programme ... .


Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht
jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut.

Da würde ich, sofern Google-Dienste verwendet werden (und wenn es nur die Suchmaschine ist), für keinen Browser die Hand ins Feuer legen.

Natürlich gebe ich dir recht, dass es Mist
ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr
auf den IE angewiesen...


Mit dem IE sehe ich ab Version 9 (besser aber 10 oder demnächst 11, zumindest unter Windows 7 & 8) eigentlich keine Probleme mehr (schlank, schnell, funktional und sicher, und hinsichtlich HTML5 fehlt ab Version 10 eigentlich auch nichts kriegsentscheidendes mehr, und es gibt offizielle adm-Templates von Microsoft dafür, die auch supportet werden).


Olaf

Edith: Firefox-Absatz eingefügt.

Viele Grüße

von

departure