11
Internet an aus für Lehrsäle
Hallo,
wir benötigen für unsere Dozenten ein "Tool", welches mit nur einem Mausklick, das Internet der Clientrechner sperrt und entsperrt. Am besten eine Desktopverknüpfung mit Internet an / Internet aus. Hintergrund ist der, dass unsere Dozenten hier zu wenig Plan haben um eine FW zu bedienen...
folgende Konstellation:
- verschiedene Lehrsäle mit durchschnittlich 20 PC´s
- eingesetzte Programme: PC Sheriff, NetSupport (Internetsperre vorhanden - leider haben wir 2 Räume wo die PC´s das Programm nicht mehr packen)
- Windows 2008 R2 Server (Domäne)
- FW Fortinet
- Schüleraccounts ohne besondere Rechte
- Lehreraccounts mit Administratorrechten
Habe schon div. Sachen getestet z.B
- div. Netsh Batches leider keine Reaktivierung mehr möglich
- PSExec und Batch, welche einen Regschlüssel mit einem "toten" Proxy setzt - geht nicht, da Aufruf immer nur auf HKEY LM zugreift, aber IE nutzt die CU Schlüsseln
Bin um jeden Tip/Ansatz dankbar.
Grüße
Florian
wir benötigen für unsere Dozenten ein "Tool", welches mit nur einem Mausklick, das Internet der Clientrechner sperrt und entsperrt. Am besten eine Desktopverknüpfung mit Internet an / Internet aus. Hintergrund ist der, dass unsere Dozenten hier zu wenig Plan haben um eine FW zu bedienen...
folgende Konstellation:
- verschiedene Lehrsäle mit durchschnittlich 20 PC´s
- eingesetzte Programme: PC Sheriff, NetSupport (Internetsperre vorhanden - leider haben wir 2 Räume wo die PC´s das Programm nicht mehr packen)
- Windows 2008 R2 Server (Domäne)
- FW Fortinet
- Schüleraccounts ohne besondere Rechte
- Lehreraccounts mit Administratorrechten
Habe schon div. Sachen getestet z.B
- div. Netsh Batches leider keine Reaktivierung mehr möglich
- PSExec und Batch, welche einen Regschlüssel mit einem "toten" Proxy setzt - geht nicht, da Aufruf immer nur auf HKEY LM zugreift, aber IE nutzt die CU Schlüsseln
Bin um jeden Tip/Ansatz dankbar.
Grüße
Florian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235719
Url: https://administrator.de/contentid/235719
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Florian,
es müsste doch gehen wenn ihr die route zu 0.0.0.0 ändert bzw löscht. Das Müste mit einem Batsh File und diesem Tool XCMD.EXE machbar sein.
es müsste doch gehen wenn ihr die route zu 0.0.0.0 ändert bzw löscht. Das Müste mit einem Batsh File und diesem Tool XCMD.EXE machbar sein.
Danke für die schnelle Antwort.
Entschuldigung, ich habe vergessen zu sagen, dass die Netzwerkverbindung und Zugriff an den File Server bestehen bleiben muss.
Es soll wirklich nur das Internet deaktiviert werden.
Zudem, wenn ich hergehe, und die Route 0.0.0.0, welche zum GW deutet lösche bzw. entferne, sind hier keine Zugriffe auf Dateien auf einem Server mehr möglich.
Oder täusche ich mich da?
Kann es imo nicht testen, weil ich erst morgen wieder in dem betreffenden Standort bin.
Grüße
Entschuldigung, ich habe vergessen zu sagen, dass die Netzwerkverbindung und Zugriff an den File Server bestehen bleiben muss.
Es soll wirklich nur das Internet deaktiviert werden.
Zudem, wenn ich hergehe, und die Route 0.0.0.0, welche zum GW deutet lösche bzw. entferne, sind hier keine Zugriffe auf Dateien auf einem Server mehr möglich.
Oder täusche ich mich da?
Kann es imo nicht testen, weil ich erst morgen wieder in dem betreffenden Standort bin.
Grüße
Guten Morgen Florian,
dann Fragen wir mal die Eckdaten des Netzes ab: Wird zwischen PCs und Server geroutet? Wenn nein: 1. Grundwissen, 2. genannte Lösung machbar, auch wenn es wohl nicht wirklich schön ist, man denke dabei an AV und andere Updates. Besser wäre wohl ein Skript, dass die FW auf den PCs ausgehend (port 80/443) sperrt.
Grüße
dann Fragen wir mal die Eckdaten des Netzes ab: Wird zwischen PCs und Server geroutet? Wenn nein: 1. Grundwissen, 2. genannte Lösung machbar, auch wenn es wohl nicht wirklich schön ist, man denke dabei an AV und andere Updates. Besser wäre wohl ein Skript, dass die FW auf den PCs ausgehend (port 80/443) sperrt.
Grüße
1
Hi
Sofern die in einem anderen Subnetz sind, dann ja.
Anderer Vorschlag. Squid aufsetzen und Firewall so konfigurieren dass nur der Squid ins INternet darf. Dann den Proxy bei allen Clients hinterlegen.
Ich hatte mal ein Skript (habs aber leider nicht mehr) mit dem man per Website (PHP) das Config File des Squid ändern konnte. MIt etwas PHP und einem Apache sollte man das aber locker hinbekommen
LG
Zudem, wenn ich hergehe, und die Route 0.0.0.0, welche zum GW deutet lösche bzw. entferne, sind hier keine Zugriffe auf Dateien auf einem Server mehr
möglich.
möglich.
Sofern die in einem anderen Subnetz sind, dann ja.
Anderer Vorschlag. Squid aufsetzen und Firewall so konfigurieren dass nur der Squid ins INternet darf. Dann den Proxy bei allen Clients hinterlegen.
Ich hatte mal ein Skript (habs aber leider nicht mehr) mit dem man per Website (PHP) das Config File des Squid ändern konnte. MIt etwas PHP und einem Apache sollte man das aber locker hinbekommen
LG
Also 0.0.0.0 Zeigt auf ALLE IP Adressen (Default Gateway), wenn das weg ist kann der Rechner erst mal nirgendwo hin außer zu den Netzen wo er eine route zu hat. Wenn das Client LAN jetzt aus dem Netz 192.168.2.0/24 besteht und der Client die IP Adresse 192.168.2.10 hat und das Server LAN das Netz 192.168.1.0/24 muss folgende Route vorhanden sein bzw geschrieben werden.
Netzwerkziel Netzwerkmaske Gateway Schnittstelle
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.10
Netzwerkziel Netzwerkmaske Gateway Schnittstelle
192.168.1.0 255.255.255.0 192.168.2.1 192.168.2.10
Hallo,
wie währ's mit Squid als transparenten Proxy und den dann z.b. über Webmin ein bzw. ausschalten.
wie währ's mit Squid als transparenten Proxy und den dann z.b. über Webmin ein bzw. ausschalten.
Oder richte dieses Anliegen mal an euren Firewall Hersteller ob die nicht ein Tool haben über das, wie certifiedit.net geschrieben hat, Port 80 und 433 geblockt werden können.
Hallo,
PC´s und Server befindet sich in verschiedenen VLAN´s und werden über einen Core-SW geroutet.
Proxy ist für unsere Dozenten wieder zu kompliziert - Außer er hat wirklich nur einen Button (im Sinne von Batch - Datei) mit Internet AN/AUS.
Die Lösung mit der Windows FW gefällt mir da schon besser.
Werde es testen und bescheid geben...
Grüße
PC´s und Server befindet sich in verschiedenen VLAN´s und werden über einen Core-SW geroutet.
Proxy ist für unsere Dozenten wieder zu kompliziert - Außer er hat wirklich nur einen Button (im Sinne von Batch - Datei) mit Internet AN/AUS.
Die Lösung mit der Windows FW gefällt mir da schon besser.
Werde es testen und bescheid geben...
Grüße
Ferngesteuerte Steckdose gibts für ein paar Euro bei Conrad. Da die Firewall einstecken und dem Dozenten die Fernbedienung in die Hand drücken. Einfacher gehts nicht, das schaft dann sogar der Hausmeister.
Ansonsten ganz simpel mit einem kleinen Script was in der FW den Providerport in den Shutdown Status versetzt. Alternativ und noch einfacher den Switchport wo die Firewall dranhängt. Mit einem CLI Kommando ist das ein simpler 3 Zeiler per SNMP. Vorausgesetzt man hat keine ungemanagten Dummswitches...
Da reicht dann ein Mausklick...
Ansonsten ganz simpel mit einem kleinen Script was in der FW den Providerport in den Shutdown Status versetzt. Alternativ und noch einfacher den Switchport wo die Firewall dranhängt. Mit einem CLI Kommando ist das ein simpler 3 Zeiler per SNMP. Vorausgesetzt man hat keine ungemanagten Dummswitches...
Da reicht dann ein Mausklick...
Hmm wäre fatal!
Unsere Firewall besitzt verschiedene VDOM´s wenn wir das machen, steht ein ganzer Standort (VDOM Lehrsaal, Verwaltung, root, etc....).
"Providerport" /WAN shutten geht auch nicht wg. div. VLAN´s, welche über den gleichen "Providerport"/WAN laufen...
Zudem haben wir bereits eine Lösung, welche einen IP Bereich in der FW sperrt bzw. HTTP, HTTPS blockt. Diese Lösung ist allerdings nicht vertretbar, da ansonsten die Dozenten in die Firewall müssten und dort "spielen"....
Grüße
Unsere Firewall besitzt verschiedene VDOM´s wenn wir das machen, steht ein ganzer Standort (VDOM Lehrsaal, Verwaltung, root, etc....).
"Providerport" /WAN shutten geht auch nicht wg. div. VLAN´s, welche über den gleichen "Providerport"/WAN laufen...
Zudem haben wir bereits eine Lösung, welche einen IP Bereich in der FW sperrt bzw. HTTP, HTTPS blockt. Diese Lösung ist allerdings nicht vertretbar, da ansonsten die Dozenten in die Firewall müssten und dort "spielen"....
Grüße
Dann über ein SNMP Kommando auf die Firewall nur für den Lehrsaal Port. Das ist ein simpler 3 Zeiler in einem Script !
