badger
Goto Top

Internet für gewisse User sperren

Hallo Leute,

mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier jetzt nochmal gerne bei ein paar Punkten nachhaken, die ich so nicht gefunden habe.

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Auch will ich nicht den ganzen IE verbieten -> Intranet!

Warum nur IE: Wir haben den AppLocker im Einsatz. Sprich andere Programme wie gewollt kann der User sowieso nicht starten.

Meine Frage ist, ob es nicht eine einfache Möglichkeit gibt, per GPO das Internet für gewisse Zonen im IE zu sperren oder ob ich wirklich an einem Proxy nicht vorbei komme.

Herzlichen Dank

Patrick

Content-Key: 226542

Url: https://administrator.de/contentid/226542

Printed on: March 2, 2024 at 06:03 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jan 13, 2014 updated at 15:25:39 (UTC)
Goto Top
Zitat von @Badger:

Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.

Warum? das ist der sauberste Weg, durch policies ordentlich zu regeln, wer was wann wo darf.

Mit einem squid ist das in Minuten erledigt und wenn Du noch einen squidguard dazunimmst, kannst Du sogar den malwarescan mit einbauen. das ist sozusagen "best practice".


lks
Member: Millerma
Millerma Jan 13, 2014 at 16:27:14 (UTC)
Goto Top
Warum nicht über die Firewall?
Mitglied: 114685
114685 Jan 13, 2014 updated at 16:40:27 (UTC)
Goto Top
Hallo, Badger,

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum
Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.

Auch will ich nicht den ganzen IE verbieten -> Intranet!

du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter
Member: aqui
aqui Jan 13, 2014 at 18:27:37 (UTC)
Goto Top
Und dann bootet der User ein Live Linux oder Winblows vom USB Stick und aus ists mit solchen Frickeleine wie GPO usw.
Helfen tut eigentlich nur eine Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ggf. in Verbindung mit einem Proxy wie z.B. Squid
Member: Badger
Badger Jan 13, 2014 at 19:24:15 (UTC)
Goto Top
Danke euch allen für die Tipps.

Bez. Proxy:
ich wollte einfach schauen, ob es einen schnelleren Weg über die GPOs gibt, als dafür extra einen Proxy zu konfigurieren.

Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher nicht notwendig war.

@114685:
Danke für den Tipp. So gehts natürlich auch. Das mit den Ausnahmen habe ich so nicht bedacht.
Aber für mich persönlich, ist das halt mit dem falsch eingetragenen Proxy einfach kein sauberer Weg. Vlt. sehe ich das etwas engstirnig. Aber da bevorzuge ich den Weg, lieber gleich einen Proxy einzurichten.

@aqui:
Da hast du natürlich total recht. Aber sobald ein Mitarbeiter einen PC braucht, gibt es auch Möglichkeiten, ins Internet zu gehen oder auf irgend einen Weg Daten zu kopieren. Die Frage ist nur, wie leicht macht man es den Mitarbeitern.

Gruß
Patrick
Member: Millerma
Millerma Jan 14, 2014 at 08:36:00 (UTC)
Goto Top
Zitat von @Badger:


Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher
nicht notwendig war.


Ich denke das du mit dieser Methode am besten fährst.
Mitglied: 114685
114685 Jan 14, 2014 at 11:45:44 (UTC)
Goto Top
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem Sicherheitskonzept offenbar was nicht stimmt.
Member: Badger
Badger Jan 15, 2014 at 06:57:10 (UTC)
Goto Top
Zitat von @114685:

Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem
Sicherheitskonzept offenbar was nicht stimmt.

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
Aber das ist etwas OT bei diesem Thema...
Member: Lochkartenstanzer
Lochkartenstanzer Jan 15, 2014 at 07:59:21 (UTC)
Goto Top
Zitat von @Badger:

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du
verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?

Deswegen gibt es PCs mit Intrusion detection und abschließbaren Gehäusen. Und ordentliche BIOSe merken sich das Paßwort im nichtflüchtigen Speicher. Bei Consumergeräten fehlt das alles natürlich meistens.

lks


PS: Auch wenn der User weg ist, war ich der Meinung, daß die o.g. Information noch hinzugefügt werden sollte.
Member: Badger
Badger Feb 19, 2014 at 09:09:25 (UTC)
Goto Top
Zitat von @114685:
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht
vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die
entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden
User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter


Ich habe mir das ganze nun soweit im Detail angeschaut und habe festgestellt, dass dies für mich die einfachste Lösung ist.

Habe aber dazu jetzt eine Frage:
Habe in den GPOs den Proxy eingetragen und diese dann für einen Testbenutzer aktiviert.
Läuft alles perfekt - der Proxy wird richtig eingetragen.
Entferne ich den Benutzer aus der Sicherheitsfilterung, mache eine Abmeldung (mit gpupdate), bleibt der Proxy dennoch eingetragen.

Warum ist das so? Die GPO greift doch gar nicht mehr!

Muss ich jetzt extra eine GPO mit "no-proxy" einrichten, damit die Einstellungen wieder so gesetzt werden, dass kein Proxy eingetragen ist?

Grüße
Patrick
Member: aqui
aqui Feb 20, 2014 at 10:10:16 (UTC)
Goto Top
Na ja und wenn der User eine Live CD oder USB Stick bootet oder mit einem anderen OS generell online ist, ist diese ganze GPO Frickelei so oder so Makulatur.
Sicher ist was anderes....