Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Internet für gewisse User sperren

Mitglied: Badger

Badger (Level 2) - Jetzt verbinden

13.01.2014 um 16:17 Uhr, 2092 Aufrufe, 11 Kommentare

Hallo Leute,

mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier jetzt nochmal gerne bei ein paar Punkten nachhaken, die ich so nicht gefunden habe.

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Auch will ich nicht den ganzen IE verbieten -> Intranet!

Warum nur IE: Wir haben den AppLocker im Einsatz. Sprich andere Programme wie gewollt kann der User sowieso nicht starten.

Meine Frage ist, ob es nicht eine einfache Möglichkeit gibt, per GPO das Internet für gewisse Zonen im IE zu sperren oder ob ich wirklich an einem Proxy nicht vorbei komme.

Herzlichen Dank

Patrick
Mitglied: Lochkartenstanzer
13.01.2014, aktualisiert um 16:25 Uhr
Zitat von Badger:

Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.

Warum? das ist der sauberste Weg, durch policies ordentlich zu regeln, wer was wann wo darf.

Mit einem squid ist das in Minuten erledigt und wenn Du noch einen squidguard dazunimmst, kannst Du sogar den malwarescan mit einbauen. das ist sozusagen "best practice".


lks
Bitte warten ..
Mitglied: Millerma
13.01.2014 um 17:27 Uhr
Warum nicht über die Firewall?
Bitte warten ..
Mitglied: 114685
13.01.2014, aktualisiert um 17:40 Uhr
Hallo, Badger,

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum
Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.

Auch will ich nicht den ganzen IE verbieten -> Intranet!

du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter
Bitte warten ..
Mitglied: aqui
13.01.2014 um 19:27 Uhr
Und dann bootet der User ein Live Linux oder Winblows vom USB Stick und aus ists mit solchen Frickeleine wie GPO usw.
Helfen tut eigentlich nur eine Firewall wie z.B. diese hier:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
ggf. in Verbindung mit einem Proxy wie z.B. Squid
Bitte warten ..
Mitglied: Badger
13.01.2014 um 20:24 Uhr
Danke euch allen für die Tipps.

Bez. Proxy:
ich wollte einfach schauen, ob es einen schnelleren Weg über die GPOs gibt, als dafür extra einen Proxy zu konfigurieren.

Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher nicht notwendig war.

@114685:
Danke für den Tipp. So gehts natürlich auch. Das mit den Ausnahmen habe ich so nicht bedacht.
Aber für mich persönlich, ist das halt mit dem falsch eingetragenen Proxy einfach kein sauberer Weg. Vlt. sehe ich das etwas engstirnig. Aber da bevorzuge ich den Weg, lieber gleich einen Proxy einzurichten.

@aqui:
Da hast du natürlich total recht. Aber sobald ein Mitarbeiter einen PC braucht, gibt es auch Möglichkeiten, ins Internet zu gehen oder auf irgend einen Weg Daten zu kopieren. Die Frage ist nur, wie leicht macht man es den Mitarbeitern.

Gruß
Patrick
Bitte warten ..
Mitglied: Millerma
14.01.2014 um 09:36 Uhr
Zitat von Badger:


Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher
nicht notwendig war.


Ich denke das du mit dieser Methode am besten fährst.
Bitte warten ..
Mitglied: 114685
14.01.2014 um 12:45 Uhr
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem Sicherheitskonzept offenbar was nicht stimmt.
Bitte warten ..
Mitglied: Badger
15.01.2014 um 07:57 Uhr
Zitat von 114685:

Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem
Sicherheitskonzept offenbar was nicht stimmt.

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
Aber das ist etwas OT bei diesem Thema...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 08:59 Uhr
Zitat von Badger:

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du
verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?

Deswegen gibt es PCs mit Intrusion detection und abschließbaren Gehäusen. Und ordentliche BIOSe merken sich das Paßwort im nichtflüchtigen Speicher. Bei Consumergeräten fehlt das alles natürlich meistens.

lks


PS: Auch wenn der User weg ist, war ich der Meinung, daß die o.g. Information noch hinzugefügt werden sollte.
Bitte warten ..
Mitglied: Badger
19.02.2014 um 10:09 Uhr
Zitat von 114685:
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht
vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die
entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden
User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter


Ich habe mir das ganze nun soweit im Detail angeschaut und habe festgestellt, dass dies für mich die einfachste Lösung ist.

Habe aber dazu jetzt eine Frage:
Habe in den GPOs den Proxy eingetragen und diese dann für einen Testbenutzer aktiviert.
Läuft alles perfekt - der Proxy wird richtig eingetragen.
Entferne ich den Benutzer aus der Sicherheitsfilterung, mache eine Abmeldung (mit gpupdate), bleibt der Proxy dennoch eingetragen.

Warum ist das so? Die GPO greift doch gar nicht mehr!

Muss ich jetzt extra eine GPO mit "no-proxy" einrichten, damit die Einstellungen wieder so gesetzt werden, dass kein Proxy eingetragen ist?

Grüße
Patrick
Bitte warten ..
Mitglied: aqui
20.02.2014 um 11:10 Uhr
Na ja und wenn der User eine Live CD oder USB Stick bootet oder mit einem anderen OS generell online ist, ist diese ganze GPO Frickelei so oder so Makulatur.
Sicher ist was anderes....
Bitte warten ..
Ähnliche Inhalte
Windows Server

User auf TS für das Internet sperren

Frage von RP-BerlinWindows Server30 Kommentare

Guten Morgen, wir würden gern einen User auf dem Terminalserver (2016) für die Nutzung des Internet sperren, wissen aber ...

Firewall

PfSense Internet Zugriff gewähren wenn User sich erst Authentifiziert

gelöst Frage von matze2090Firewall6 Kommentare

Hallo, meine „Idee“ kommt von IPFire. Da habe ich grundsätzlich den Zugang von LAN zu WAN gesperrt. Erst wenn ...

Webbrowser

Probleme User bzwPC und Internet Explorer11 bei Anzeigen von Links auf einer Webseite

Frage von Juliane89Webbrowser2 Kommentare

Hey ihr, ich hab hier ein Phänomen, was für mich nicht ganz nachvollziehbar ist. Es geht um eine Onlinebankingwebseite, ...

Server

Internet traffic

gelöst Frage von xani123Server6 Kommentare

Hallo Leute Ich möchte den Internet Datenverkehr analysieren. Gibt es eine Möglichkeit dies auf dem Server oder AD zu ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 16 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 2 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS26 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

Windows Server
Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet?
Frage von LochkartenstanzerWindows Server13 Kommentare

Moin Kollegen, Kurze Frage: Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet? Da ich i.d.R. nicht für die ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...