ingrimmsch
Goto Top

Mit Gruppenrichtlinien es unterbinden das der Firefox Verlauf gelöscht wird

Hallo,

seit Firefox 60.0 unterstützt Firefox nun auch endlich Gruppenrichtlinien.

Kurze Übersicht:
1x DC
1x Exchange
5x Terminalserver / Remotedesktopservices
Firewall = LANCOM GPA 300

Ich habe den Auftrag von der GL bekommen, für einen User die letzten 30 Tage seines Browserverlaufes zur Verfügung zu stellen. Ich habe mir das Firefox Profil des Users angeschaut und dieser hat natürlich sämtliche Optionen angeklickt (Browserverlauf bei beenden löschen etc...). Leider habe ich somit keine Möglichkeit die Verlaufdaten einzusehen.

Da der USER auch noch auf einem Terminalserver arbeitet, ist es auch mittels Firewall nicht möglich (Stichwort = virtuelle IP Adressen) Daten zu ermitteln.
Dieses habe ich der GL nun mitgeteilt und die haben mich darum gebeten, es bitte zu unterbinden das der Verlauf gelöscht werden kann.

Aus diesem Grund habe ich mir die neusten Firefox admx Templates gezogen und auf dem DC eingespielt. Die Gruppenrichtlinie wurde erfolgreich gezogen, aber trotzdem ist das löschen weiterhin möglich.

firefox

Was mache ich falsch?

Bitte nur auf die Frage Antworten und nun keine Grundsatzdiskussion bzgl. Datenschutz usw. starten. Ich denke die GL hat ihre Gründe und außerdem ist die private Nutzung mittels Betriebsvereinbarung untersagt.

Gruß

Content-Key: 508273

Url: https://administrator.de/contentid/508273

Printed on: May 27, 2024 at 05:05 o'clock

Member: NordicMike
NordicMike Oct 24, 2019 at 08:20:04 (UTC)
Goto Top
Welcher OU hast Du das Template zugewiesen? Da, wo die User drinnen stecken, oder da, wo der Remote Desktop Server drinnen steckt?
Member: falscher-sperrstatus
falscher-sperrstatus Oct 24, 2019 at 08:20:33 (UTC)
Goto Top
Guten Morgen,

Bitte nur auf die Frage Antworten und nun keine Grundsatzdiskussion bzgl. Datenschutz usw. starten. Ich denke die GL hat ihre Gründe und außerdem ist die private Nutzung mittels Betriebsvereinbarung untersagt.

ohne geht es nicht, du kannst dich darüber strafbar machen (oder hast es schon?), ebenfalls gilt "die GL hat Ihre Gründe" nicht. Die private Nutzung kann untersagt sein, wenn aber alle privat surfen (und keiner geht dagegen vor) ist es eine betriebliche Übung, die dementsprechend keine Sanktionsgewalt mehr entfalten kann und du darfst dementsprechend auch nicht mehr forschen.

Besser: Bessere Firewall anschaffen, wirkliche Sanktionierung aller User (auch der durch die GL geliebten), Durchsetzung des ganzen, das muss aber vorher angekündigt sein und besser durch den RA absichern.

Ich vermute aus DS Sicht kannst du das auch nicht beim Firefox einstellen.

Beste Grüße,

Christian
certifiedit.net
Member: ingrimmsch
ingrimmsch Oct 24, 2019 at 08:35:41 (UTC)
Goto Top
Natürlich da wo die Computer drin sind. Sind ja Richtlinien die auf die Computerkonfiguration eingestellt sind.
Member: Lochkartenstanzer
Lochkartenstanzer Oct 24, 2019 updated at 08:44:52 (UTC)
Goto Top
Zitat von @ingrimmsch:

Was mache ich falsch?

Du versuchst den User einfach auf Weisung der GL zu überwachen ohne Dich zu wehren und machst Dich dabei ggf strafbar.

Wenn es nur darum geht die besuchten Seiten zu überwachen, nimmt man einfach einen Proxy mit Benutzerauthentifikation.

Der loggt dann alles nach Usern getrennt auch wenn sie alle vom Terminalserver kommen.

Vergiß aber nicht, die User von dieser Maßnahme zu unterrichten, und Dir auch eine schriftliche Anweisung geben zu lassen, weil ansonsten Du derjenige bist, der eingeknastet wird.

lks

PS: Der User kann die Daten immer noch manuell löschen.
Member: NordicMike
NordicMike Oct 24, 2019 at 08:46:43 (UTC)
Goto Top
Zitat von @ingrimmsch:

Natürlich da wo die Computer drin sind. Sind ja Richtlinien die auf die Computerkonfiguration eingestellt sind.
Darauf wollte ich hinaus. Eigentlich richtig so.

Versuche das ganze nochmal mit Benutzerrichtlinien und der Benutzer-OU. Ich habe oft erlegt, dass ähnliche Einstellungen bei Benutzer- und Computerconfiguration existiert, aber nur eines davon funktioniert.

Ansonsten, wie Christian schon sagte, das macht man normal per Proxy. Wie hättest Du den Verlauf ausgelesen ohne das Userpasswort zu kennen?
Member: ingrimmsch
ingrimmsch Oct 24, 2019 at 08:52:29 (UTC)
Goto Top
Danke für eure schnellen Rückmeldungen.

Ich habe gerade noch mal mit dem Firmeninternen Datenschutzbeauftragten / Rechtsanwalt telefoniert. Er meint das ist eine rechtliche Grauzone. Da es über eine Rundmail angekündigt und auch in der Betriebsvereinbarung verankert ist, darf man bei Verdachtsfall mittracken.

Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet. Aber genau da ist mein Problem. Der USER arbeitet auf dem Terminalserver und hat somit ja eigentlich nur eine IP-Adresse die er sich mit anderen Benutzern teilt.
Member: ingrimmsch
ingrimmsch Oct 24, 2019 at 08:57:16 (UTC)
Goto Top
Die Frage ist ob das mit den Gruppenrichtlinien denn überhaupt möglich wäre?
Den Verlauf kannst easy mit SQL Lite auslesen.
Member: falscher-sperrstatus
falscher-sperrstatus Oct 24, 2019 at 08:59:43 (UTC)
Goto Top
Telefonieren hilft dir nichts, und du musst den Usern das auch so klar machen, dass es der größte ... begreift. Ansonsten wird das ein Bumerang.

Bzgl. der Auth. ist das dann eine Fehlkonzeption, bzw Lancom (einfach mal wieder) das falsche Gerät dafür.
Member: Lochkartenstanzer
Lochkartenstanzer Oct 24, 2019 at 09:22:58 (UTC)
Goto Top
Zitat von @ingrimmsch:

Wie oben schon erwähnt, setzen wir die GPA 300 von LANCOM ein. Die User (IP-Adresse) Authentifizieren sich an die Firewall und bekommen nur wenn Sie authentifiziert sind Internet.

Falsches Werkzeug. Ein einfacher squid mit Benutzerauthentifikation macht das deutlich besser.

lks
Member: NordicMike
NordicMike Oct 24, 2019 at 09:54:26 (UTC)
Goto Top
Zitat von @ingrimmsch:
Die User (IP-Adresse) Authentifizieren sich ...
Die IP Adresse ist keine Authentifizierung. Nur der Username/Passwort (oder ein Benutzerzertifikat) ist eine Authentifizierung. Das kann aber das GPA 300.
Member: ingrimmsch
ingrimmsch Oct 24, 2019 at 10:06:15 (UTC)
Goto Top
Bei den normalen Arbeitsplätzen stimmt das.

Aber bei den Terminalserverusern läuft das über virtuelle IP Adressen. Denn sonst würden sich z.B. 10 User Authentifizieren aber alle mit der selben IP Adresse.

Verbindung über SSO:
firewall

Terminalserver:
firewall1
Member: NordicMike
NordicMike Oct 24, 2019 at 10:29:23 (UTC)
Goto Top
Hat jede Session dann eine eigene virtuelle IP Adresse? Damit weisst Du ja dann welcher User es war.
Member: ingrimmsch
ingrimmsch Oct 24, 2019 at 10:43:55 (UTC)
Goto Top
Ja über diesen Weg versuche ich es gerade. Ich habe ein Ticket bei Lancom eröffnet. Ich weiß das es irgendwie möglich ist. Allerdings finde ich das Feature seit dem neuen Firmwarerelease nicht mehr.