13
Mit Gruppenrichtlinien es unterbinden das der Firefox Verlauf gelöscht wird
Hallo,
seit Firefox 60.0 unterstützt Firefox nun auch endlich Gruppenrichtlinien.
Kurze Übersicht:
1x DC
1x Exchange
5x Terminalserver / Remotedesktopservices
Firewall = LANCOM GPA 300
Ich habe den Auftrag von der GL bekommen, für einen User die letzten 30 Tage seines Browserverlaufes zur Verfügung zu stellen. Ich habe mir das Firefox Profil des Users angeschaut und dieser hat natürlich sämtliche Optionen angeklickt (Browserverlauf bei beenden löschen etc...). Leider habe ich somit keine Möglichkeit die Verlaufdaten einzusehen.
Da der USER auch noch auf einem Terminalserver arbeitet, ist es auch mittels Firewall nicht möglich (Stichwort = virtuelle IP Adressen) Daten zu ermitteln.
Dieses habe ich der GL nun mitgeteilt und die haben mich darum gebeten, es bitte zu unterbinden das der Verlauf gelöscht werden kann.
Aus diesem Grund habe ich mir die neusten Firefox admx Templates gezogen und auf dem DC eingespielt. Die Gruppenrichtlinie wurde erfolgreich gezogen, aber trotzdem ist das löschen weiterhin möglich.
Was mache ich falsch?
Bitte nur auf die Frage Antworten und nun keine Grundsatzdiskussion bzgl. Datenschutz usw. starten. Ich denke die GL hat ihre Gründe und außerdem ist die private Nutzung mittels Betriebsvereinbarung untersagt.
Gruß
seit Firefox 60.0 unterstützt Firefox nun auch endlich Gruppenrichtlinien.
Kurze Übersicht:
1x DC
1x Exchange
5x Terminalserver / Remotedesktopservices
Firewall = LANCOM GPA 300
Ich habe den Auftrag von der GL bekommen, für einen User die letzten 30 Tage seines Browserverlaufes zur Verfügung zu stellen. Ich habe mir das Firefox Profil des Users angeschaut und dieser hat natürlich sämtliche Optionen angeklickt (Browserverlauf bei beenden löschen etc...). Leider habe ich somit keine Möglichkeit die Verlaufdaten einzusehen.
Da der USER auch noch auf einem Terminalserver arbeitet, ist es auch mittels Firewall nicht möglich (Stichwort = virtuelle IP Adressen) Daten zu ermitteln.
Dieses habe ich der GL nun mitgeteilt und die haben mich darum gebeten, es bitte zu unterbinden das der Verlauf gelöscht werden kann.
Aus diesem Grund habe ich mir die neusten Firefox admx Templates gezogen und auf dem DC eingespielt. Die Gruppenrichtlinie wurde erfolgreich gezogen, aber trotzdem ist das löschen weiterhin möglich.
Was mache ich falsch?
Bitte nur auf die Frage Antworten und nun keine Grundsatzdiskussion bzgl. Datenschutz usw. starten. Ich denke die GL hat ihre Gründe und außerdem ist die private Nutzung mittels Betriebsvereinbarung untersagt.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 508273
Url: https://administrator.de/contentid/508273
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
13 Kommentare
Neuester Kommentar
Welcher OU hast Du das Template zugewiesen? Da, wo die User drinnen stecken, oder da, wo der Remote Desktop Server drinnen steckt?
Guten Morgen,
ohne geht es nicht, du kannst dich darüber strafbar machen (oder hast es schon?), ebenfalls gilt "die GL hat Ihre Gründe" nicht. Die private Nutzung kann untersagt sein, wenn aber alle privat surfen (und keiner geht dagegen vor) ist es eine betriebliche Übung, die dementsprechend keine Sanktionsgewalt mehr entfalten kann und du darfst dementsprechend auch nicht mehr forschen.
Besser: Bessere Firewall anschaffen, wirkliche Sanktionierung aller User (auch der durch die GL geliebten), Durchsetzung des ganzen, das muss aber vorher angekündigt sein und besser durch den RA absichern.
Ich vermute aus DS Sicht kannst du das auch nicht beim Firefox einstellen.
Beste Grüße,
Christian
certifiedit.net
Bitte nur auf die Frage Antworten und nun keine Grundsatzdiskussion bzgl. Datenschutz usw. starten. Ich denke die GL hat ihre Gründe und außerdem ist die private Nutzung mittels Betriebsvereinbarung untersagt.
ohne geht es nicht, du kannst dich darüber strafbar machen (oder hast es schon?), ebenfalls gilt "die GL hat Ihre Gründe" nicht. Die private Nutzung kann untersagt sein, wenn aber alle privat surfen (und keiner geht dagegen vor) ist es eine betriebliche Übung, die dementsprechend keine Sanktionsgewalt mehr entfalten kann und du darfst dementsprechend auch nicht mehr forschen.
Besser: Bessere Firewall anschaffen, wirkliche Sanktionierung aller User (auch der durch die GL geliebten), Durchsetzung des ganzen, das muss aber vorher angekündigt sein und besser durch den RA absichern.
Ich vermute aus DS Sicht kannst du das auch nicht beim Firefox einstellen.
Beste Grüße,
Christian
certifiedit.net
1
Natürlich da wo die Computer drin sind. Sind ja Richtlinien die auf die Computerkonfiguration eingestellt sind.
Du versuchst den User einfach auf Weisung der GL zu überwachen ohne Dich zu wehren und machst Dich dabei ggf strafbar.
Wenn es nur darum geht die besuchten Seiten zu überwachen, nimmt man einfach einen Proxy mit Benutzerauthentifikation.
Der loggt dann alles nach Usern getrennt auch wenn sie alle vom Terminalserver kommen.
Vergiß aber nicht, die User von dieser Maßnahme zu unterrichten, und Dir auch eine schriftliche Anweisung geben zu lassen, weil ansonsten Du derjenige bist, der eingeknastet wird.
lks
PS: Der User kann die Daten immer noch manuell löschen.
1Zitat von @ingrimmsch:
Natürlich da wo die Computer drin sind. Sind ja Richtlinien die auf die Computerkonfiguration eingestellt sind.
Darauf wollte ich hinaus. Eigentlich richtig so.Natürlich da wo die Computer drin sind. Sind ja Richtlinien die auf die Computerkonfiguration eingestellt sind.
Versuche das ganze nochmal mit Benutzerrichtlinien und der Benutzer-OU. Ich habe oft erlegt, dass ähnliche Einstellungen bei Benutzer- und Computerconfiguration existiert, aber nur eines davon funktioniert.
Ansonsten, wie Christian schon sagte, das macht man normal per Proxy. Wie hättest Du den Verlauf ausgelesen ohne das Userpasswort zu kennen?
Danke für eure schnellen Rückmeldungen.
Ich habe gerade noch mal mit dem Firmeninternen Datenschutzbeauftragten / Rechtsanwalt telefoniert. Er meint das ist eine rechtliche Grauzone. Da es über eine Rundmail angekündigt und auch in der Betriebsvereinbarung verankert ist, darf man bei Verdachtsfall mittracken.
Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet. Aber genau da ist mein Problem. Der USER arbeitet auf dem Terminalserver und hat somit ja eigentlich nur eine IP-Adresse die er sich mit anderen Benutzern teilt.
Ich habe gerade noch mal mit dem Firmeninternen Datenschutzbeauftragten / Rechtsanwalt telefoniert. Er meint das ist eine rechtliche Grauzone. Da es über eine Rundmail angekündigt und auch in der Betriebsvereinbarung verankert ist, darf man bei Verdachtsfall mittracken.
Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet. Aber genau da ist mein Problem. Der USER arbeitet auf dem Terminalserver und hat somit ja eigentlich nur eine IP-Adresse die er sich mit anderen Benutzern teilt.
Die Frage ist ob das mit den Gruppenrichtlinien denn überhaupt möglich wäre?
Den Verlauf kannst easy mit SQL Lite auslesen.
Den Verlauf kannst easy mit SQL Lite auslesen.
Telefonieren hilft dir nichts, und du musst den Usern das auch so klar machen, dass es der größte ... begreift. Ansonsten wird das ein Bumerang.
Bzgl. der Auth. ist das dann eine Fehlkonzeption, bzw Lancom (einfach mal wieder) das falsche Gerät dafür.
Bzgl. der Auth. ist das dann eine Fehlkonzeption, bzw Lancom (einfach mal wieder) das falsche Gerät dafür.
Zitat von @ingrimmsch:
Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet.
Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet.
Falsches Werkzeug. Ein einfacher squid mit Benutzerauthentifikation macht das deutlich besser.
lks
Die IP Adresse ist keine Authentifizierung. Nur der Username/Passwort (oder ein Benutzerzertifikat) ist eine Authentifizierung. Das kann aber das GPA 300.
Bei den normalen Arbeitsplätzen stimmt das.
Aber bei den Terminalserverusern läuft das über virtuelle IP Adressen. Denn sonst würden sich z.B. 10 User Authentifizieren aber alle mit der selben IP Adresse.
Verbindung über SSO:
Terminalserver:
Aber bei den Terminalserverusern läuft das über virtuelle IP Adressen. Denn sonst würden sich z.B. 10 User Authentifizieren aber alle mit der selben IP Adresse.
Verbindung über SSO:
Terminalserver:
Hat jede Session dann eine eigene virtuelle IP Adresse? Damit weisst Du ja dann welcher User es war.
Ja über diesen Weg versuche ich es gerade. Ich habe ein Ticket bei Lancom eröffnet. Ich weiß das es irgendwie möglich ist. Allerdings finde ich das Feature seit dem neuen Firmwarerelease nicht mehr.
