17
Dropbox erkennen und verhindern
Hallo zusammen,
wie ja bekannt ist, kann man DropBox auch ohne Admin-Rechte für den angemeldeten User installieren und auch vollumfänglich nutzen...
Kenn jemand eine Möglichkeit dies zu verhindern ohne dass ich ein extra Programm auf jeden Rechner installieren muss?
Zum Beispiel über GPOs etc?
Und nun zur zweiten Herrausforderung: Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden. Hat hier auch jemand eine Idee wie ich dieses Programm durch einen Scan oder Ähnliches erkennen kann? ´
Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
nicht schön aber selten...
Gruß Jörg
wie ja bekannt ist, kann man DropBox auch ohne Admin-Rechte für den angemeldeten User installieren und auch vollumfänglich nutzen...
Kenn jemand eine Möglichkeit dies zu verhindern ohne dass ich ein extra Programm auf jeden Rechner installieren muss?
Zum Beispiel über GPOs etc?
Und nun zur zweiten Herrausforderung: Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden. Hat hier auch jemand eine Idee wie ich dieses Programm durch einen Scan oder Ähnliches erkennen kann? ´
Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
nicht schön aber selten...
Gruß Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 216172
Url: https://administrator.de/contentid/216172
Printed on: April 25, 2024 at 09:04 o'clock
17 Comments
Latest comment
Moin @joerg,
naja leider verrätst du uns nicht was für ein OS du denn einsetzt ...
... man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker
Alle Applikationen die unter C:\Program Files liegen sind erlaubt - alles andere nicht.
Für die Installation braucht man Admin-Rechte und die hat der User nicht ...
... d.h. wenn er eine exe aufruft, kommt eine Meldung das der User das nicht darf
Ist ja die gleiche Problematik mit Google Chrome oder TeamViewer und Konsorten ...
... sollte jemand das zwingend benötigen kann man eine Applocker-Ausnahme konfigurieren
Gruß
@kontext
naja leider verrätst du uns nicht was für ein OS du denn einsetzt ...
... man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker
Alle Applikationen die unter C:\Program Files liegen sind erlaubt - alles andere nicht.
Für die Installation braucht man Admin-Rechte und die hat der User nicht ...
... d.h. wenn er eine exe aufruft, kommt eine Meldung das der User das nicht darf
Ist ja die gleiche Problematik mit Google Chrome oder TeamViewer und Konsorten ...
... sollte jemand das zwingend benötigen kann man eine Applocker-Ausnahme konfigurieren
Gruß
@kontext
Hallo.
DropBox macht sich den Umstand, daß der User in seinem Profil ("C:\Dokumente und Einstellungen\Username" unter XP, "C:\Users\Username" unter Vista und höher) volle Rechte hat, zunutze. Google Chrome macht das ebenso.
Hier steht was zum Thema "Software Restriction Policies":
http://technet.microsoft.com/en-us/library/bb457006.aspx
Viele Grüße
von
departure
DropBox macht sich den Umstand, daß der User in seinem Profil ("C:\Dokumente und Einstellungen\Username" unter XP, "C:\Users\Username" unter Vista und höher) volle Rechte hat, zunutze. Google Chrome macht das ebenso.
Hier steht was zum Thema "Software Restriction Policies":
http://technet.microsoft.com/en-us/library/bb457006.aspx
Viele Grüße
von
departure
Moin,
bitte bedenke bei deinem Vorhaben auch, dass man via Browser auch Daten zu Dropbox hochladen kann, ergo solltest du die Dropbox-Webseiten in deiner Firewall blocken
bitte bedenke bei deinem Vorhaben auch, dass man via Browser auch Daten zu Dropbox hochladen kann, ergo solltest du die Dropbox-Webseiten in deiner Firewall blocken
Hallo zusammen,
@kontext: stimmt hab garnicht gesagt wie unsere Umgebung aussieht ;)
Also wir setzten zur zeit eine Windows 2008R2 AD ein mit Windows 7 Clients
@departure: danke für den Link muss ich mich mal einarbeiten, hört sich aber nach einer lösung an
@manuel1985: ja das hab ich schon berücksichtigt aber leider gibt es immer wieder irgendwelche Schlupflöcher an die man nicht denkt :/
@kontext: stimmt hab garnicht gesagt wie unsere Umgebung aussieht ;)
Also wir setzten zur zeit eine Windows 2008R2 AD ein mit Windows 7 Clients
@departure: danke für den Link muss ich mich mal einarbeiten, hört sich aber nach einer lösung an
@manuel1985: ja das hab ich schon berücksichtigt aber leider gibt es immer wieder irgendwelche Schlupflöcher an die man nicht denkt :/
Hallo,
kauft Euch eine Next Generation Firewall mit AV und Kontentfilter und unterbindet mittels GPOs die Installation dann habt Ihr Ruhe.
- Die Installation kann man sicherlich via GPOs unterbinden
- Mittels der Firewall kann man dann auch auf Applikationsebene und via IP Filtern arbeiten.
- Schulungen und auch sicherlich ein zusätzliche und unterschriebene Arbeitsanweisung sichert das ganze Vorhaben auch noch zusätzlich ab.
- Macht alle USB Ports via GPOs und USB Schlössen dicht und dann kann auch niemand mittels Portable Apps DropBox nutzen!
durchsucht die Protokolldatei vom ersten Script und meldet Dir (Euch) dann wenn etwas gefunden wurde, dann kann man auch
über eine Ermahnung und/oder eine Abmahnung nachdenken, wenn vorher eine Arbeitsanweisung unterschrieben wurde!!!!!
Und wenn es nicht funktioniert dann habt Ihr eine Menge "False Positiv" Meldungen und die Leute werden alle rebellisch,
das ist nichts halbes und nichts ganzes.
Gruß
Dobby
kauft Euch eine Next Generation Firewall mit AV und Kontentfilter und unterbindet mittels GPOs die Installation dann habt Ihr Ruhe.
- Die Installation kann man sicherlich via GPOs unterbinden
- Mittels der Firewall kann man dann auch auf Applikationsebene und via IP Filtern arbeiten.
- Schulungen und auch sicherlich ein zusätzliche und unterschriebene Arbeitsanweisung sichert das ganze Vorhaben auch noch zusätzlich ab.
- Macht alle USB Ports via GPOs und USB Schlössen dicht und dann kann auch niemand mittels Portable Apps DropBox nutzen!
Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden.
Lass zwei Scripte laufen und eines durchsucht den PC nach Dropbox und schreibt eine Protokolldatei und ein zweites Scriptdurchsucht die Protokolldatei vom ersten Script und meldet Dir (Euch) dann wenn etwas gefunden wurde, dann kann man auch
über eine Ermahnung und/oder eine Abmahnung nachdenken, wenn vorher eine Arbeitsanweisung unterschrieben wurde!!!!!
Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
..... nicht schön aber selten...Und wenn es nicht funktioniert dann habt Ihr eine Menge "False Positiv" Meldungen und die Leute werden alle rebellisch,
das ist nichts halbes und nichts ganzes.
Gruß
Dobby
Hallo,
würde an den Clients gar nichts machen.
Wie oben schon erwähnt, kann man auch ohne Client Dateien über die Webseite hochladen.
Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.
mfg
würde an den Clients gar nichts machen.
Wie oben schon erwähnt, kann man auch ohne Client Dateien über die Webseite hochladen.
Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.
mfg
Hi zusammen,
Noch ein Hinweis: es gibt mehr unzählige ähnliche Anbieter die so ein Service wie Dropbox bieten. Die alle zu sperren wird eine Sisyphosarbeit. Dann lieber der Firmenpolicy generell Filesharing-Dienste verbieten.
mfg
Cthluhu
Noch ein Hinweis: es gibt mehr unzählige ähnliche Anbieter die so ein Service wie Dropbox bieten. Die alle zu sperren wird eine Sisyphosarbeit. Dann lieber der Firmenpolicy generell Filesharing-Dienste verbieten.
mfg
Cthluhu
Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder obsolet.Gruß
Dobby
Hi,
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
mfg
Zitat von @108012:
> Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln
zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder
obsolet.
> Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln
zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder
obsolet.
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
mfg
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu geladen wirdund dann bringt Dir der Webfilter nichts.
Gruß
Dobby
Hi,
du meinst Dienste wie anonymzier.com oder hidemyass.com? Die werden natürlich durch den Webfilter auch blockiert. Die meisten bringen ja (mehr oder weniger vollständige) URL-Filterlisten mit oder lizenzieren diese von Drittanbietern.
---
zum Topic zurück:
Wir sperren bei uns im Netz auf beide Arten:
- Die URLs (Filesharing, Anonymisierer, XXX, ...) über den zentralen Webfilter
- Unerwünschte Applikationen auf dem PC mit dem Virenscanner (Sophos bringt dafür ein Modul mit - Application Control)
Zusätzlich gäbe es noch die Möglichkeit einer DLP-Lösung, welche alle abfliessenden Daten aus dem internen Netz auf vertrauliche Informationen scannt und die Übertragung ggf. blockiert (Auch hier bietet Sophos ein Modul - Data Control iirc - setzen das nicht ein).
mfg
Zitat von @108012:
> verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu
geladen wird
und dann bringt Dir der Webfilter nichts.
> verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu
geladen wird
und dann bringt Dir der Webfilter nichts.
du meinst Dienste wie anonymzier.com oder hidemyass.com? Die werden natürlich durch den Webfilter auch blockiert. Die meisten bringen ja (mehr oder weniger vollständige) URL-Filterlisten mit oder lizenzieren diese von Drittanbietern.
---
zum Topic zurück:
Wir sperren bei uns im Netz auf beide Arten:
- Die URLs (Filesharing, Anonymisierer, XXX, ...) über den zentralen Webfilter
- Unerwünschte Applikationen auf dem PC mit dem Virenscanner (Sophos bringt dafür ein Modul mit - Application Control)
Zusätzlich gäbe es noch die Möglichkeit einer DLP-Lösung, welche alle abfliessenden Daten aus dem internen Netz auf vertrauliche Informationen scannt und die Übertragung ggf. blockiert (Auch hier bietet Sophos ein Modul - Data Control iirc - setzen das nicht ein).
mfg
Zitat von @Rudbert:
> Zitat von @108012:
> > Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit
Regeln
> zu sperren.
> Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon
wieder
> obsolet.
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
> Zitat von @108012:
> > Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit
Regeln
> zu sperren.
> Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon
wieder
> obsolet.
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Ich glaube Dobby meint den Fall, dass nicht du selber Dropbox aufrufst, sondern ein Webserver außerhalb deines Proxy-Einflusses das macht.
Z.b: du rufst example.com auf, welches seinerseits Dropbox aufruft und dir das Dropbox Interface in einem Frame auf example.com anbietet.
Moin kontext,
Grüße,
Dani
man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker
Kann man... mit entsprechender Edition - Klick.Grüße,
Dani
Moin zusammen,
ich hatte mal ein ähnliches Problem. Damals ging es um den Chrome Browser, der sich ja genauso ohne Admin-Rechte installieren lässt.
Ich habe mir ein Script gebastelt, das den Chrome auffindet und rigoros löscht. Und zwar abends beim Abmelden oder Morgens als Anmeldescript. Egal.
Es hat ein paar Tage gedauert und ein paar nervige Nachfragen gegeben. Aber dann war das Problem behoben
Gruß
Olaf
ich hatte mal ein ähnliches Problem. Damals ging es um den Chrome Browser, der sich ja genauso ohne Admin-Rechte installieren lässt.
Ich habe mir ein Script gebastelt, das den Chrome auffindet und rigoros löscht. Und zwar abends beim Abmelden oder Morgens als Anmeldescript. Egal.
Es hat ein paar Tage gedauert und ein paar nervige Nachfragen gegeben. Aber dann war das Problem behoben
Gruß
Olaf
@okoester:
Hallo.
Wobei mir der Chrome-Browser ansich (obwohl ich Google überhaupt nicht mag) da weniger Sorgen bereitet als beispielsweise der Firefox. Google bietet für den Chrome-Browser ganz offiziell adm(x)-Templates an, mit deren Hilfe ich GPOs erstellen und den Chrome dann zentral, per GPO, verwalten kann (bislang ging das nur mit dem IE). Für den Firefox macht Mozilla in dieser Hinsicht rein gar nichts, die adm-Templates für Firefox, die im Internet rumgeistern, wurden von Privatleuten aus Reg-Einträgen zusammengeschustert (es gibt wohl eine reg2adm-Software, die das kann). In beiden Fällen (egal ob Chrome oder Firefox) gilt aber: kein Support von Microsoft für adm/GPO von/für MS-fremde Produkte.
Hallo.
Wobei mir der Chrome-Browser ansich (obwohl ich Google überhaupt nicht mag) da weniger Sorgen bereitet als beispielsweise der Firefox. Google bietet für den Chrome-Browser ganz offiziell adm(x)-Templates an, mit deren Hilfe ich GPOs erstellen und den Chrome dann zentral, per GPO, verwalten kann (bislang ging das nur mit dem IE). Für den Firefox macht Mozilla in dieser Hinsicht rein gar nichts, die adm-Templates für Firefox, die im Internet rumgeistern, wurden von Privatleuten aus Reg-Einträgen zusammengeschustert (es gibt wohl eine reg2adm-Software, die das kann). In beiden Fällen (egal ob Chrome oder Firefox) gilt aber: kein Support von Microsoft für adm/GPO von/für MS-fremde Produkte.
@departure:
Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben. Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja genauso lösen
Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem lösen, dass der User Chrome selbst installieren kann...
Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut. Natürlich gebe ich dir recht, dass es Mist ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr auf den IE angewiesen...
Olaf
Edith: Firefox-Absatz eingefügt.
Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben. Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja genauso lösen
Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem lösen, dass der User Chrome selbst installieren kann...
Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut. Natürlich gebe ich dir recht, dass es Mist ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr auf den IE angewiesen...
Olaf
Edith: Firefox-Absatz eingefügt.
Zitat von @okoester:
@departure:
Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben.
Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja
genauso lösen
@departure:
Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben.
Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja
genauso lösen
Keine Frage, irgendwann sind sie es leid.
Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem
lösen, dass der User Chrome selbst installieren kann...
Nein, dafür ist das Template latürnich nicht, sondern, wie beim IE, dafür, den Chrome-Browser zentral (über GPO) administrieren zu können (Beispiel: Verhindern, daß User Proxy-Einstellungen ändern).
Es gibt vom Chrome übrigens auch eine Enterprise-Version, die sich nicht stümperhaft ins Benutzerprofil installiert, sondern dorthin, wo sie unter Windows eigentlich auch hingehört, nämlich nach C:\Programme ... .
Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht
jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut.
Da würde ich, sofern Google-Dienste verwendet werden (und wenn es nur die Suchmaschine ist), für keinen Browser die Hand ins Feuer legen.
Natürlich gebe ich dir recht, dass es Mist
ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr
auf den IE angewiesen...
ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr
auf den IE angewiesen...
Mit dem IE sehe ich ab Version 9 (besser aber 10 oder demnächst 11, zumindest unter Windows 7 & 8) eigentlich keine Probleme mehr (schlank, schnell, funktional und sicher, und hinsichtlich HTML5 fehlt ab Version 10 eigentlich auch nichts kriegsentscheidendes mehr, und es gibt offizielle adm-Templates von Microsoft dafür, die auch supportet werden).
Olaf
Edith: Firefox-Absatz eingefügt.
Edith: Firefox-Absatz eingefügt.
Viele Grüße
von
departure
