garciam
Goto Top

Portable Apps sperren

Hallo zusammen

Es gibt ja die netten Portable Apps mit Firefox, Thunderbird, usw. Diese Programme können von einem ganz normalen Benutzer "installiert" und ausgeführt werden. Vorallem der Firefox_Portable ist mir ein Dorn im Auge. Ich möchte das verhindern, habe aber keine Idee wie ich das machen könnte. Über die GPO geht das nicht, oder? Habt ihr irgendwelche Ideen?

Danke!

Content-ID: 98190

Url: https://administrator.de/contentid/98190

Ausgedruckt am: 25.11.2024 um 15:11 Uhr

Dolphinsfriend
Dolphinsfriend 30.09.2008 um 16:20:18 Uhr
Goto Top
Hallo !

Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf DISABLED.

Es gibt auch eine Möglichkeit über die Registry und GPO; oder halt Third-Party - Anbieter.

Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins face-smile Rechte für USB haben ?

Gruß

Jochen
garciam
garciam 30.09.2008 um 16:34:34 Uhr
Goto Top
Zitat von @Dolphinsfriend:
Hallo !

Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick
installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf
DISABLED.

Es gibt auch eine Möglichkeit über die Registry und GPO;
oder halt Third-Party - Anbieter.

Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur
zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins face-smile Rechte für USB
haben ?

Gruß

Jochen

Hallo Jochen

Unter einem normalen User verstehe ich ein User der nur in der Gruppe Domänen_Benutzer ist und keine Supper-User oder Admin Rechte hat.
Die USB Ports sind deaktiviert, da wird Endpoint Security von GFI eingesetzt.

Die Portable Apps können ja aber auch von der Festplatte aus ausgeführt werden. Es ist nun so, dass man nur mit dem InternetExplorer über den Proxy ins Internet gelangen darf. Wenn nun aber ein User mit seinem Laptop ausserhalb der Firma ist und er den Firefox_Portable ausführt, so kommt er direkt ins Internet und genau das sollte nicht möglich sein.

Gruss
60730
60730 30.09.2008 um 16:37:06 Uhr
Goto Top
Servus,

Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf DISABLED.
... Weil man "Portable Apps" auch Downloaden kann....

Vorallem der Firefox_Portable ist mir ein Dorn im Auge.

Wenn sich das Problem so einfach lösen läßt...
Mach die Augen zu und durch face-wink
Aber da mir weder bei SexsuffandRocknrollportable.exe noch bei Firefoxportable etwas einfällt....
was ein anderer mit etwas oder etwas mehr Aufwand wieder ausknipsen kann

Gruß
60730
60730 30.09.2008 um 17:42:29 Uhr
Goto Top
Servus again,

wenn du deinen Usern per GPO nicht verboten hast, die Proxy Einstellungen im IE zu ändern, dann macht auch das verbieten von Firefoxportable keinen Sinn.

Ansonsten schau dir Using Software Restriction Policies to Protect Against Unauthorized Software mal an.
Und bitte nur auf einem Testsystem ausprobieren und kennenlernen.
Ruckzuck stehst du sonst vor einer Tür, die du gerade selber zugeworfen hast und kommst nichts mehr rein oder raus.

Gruß
garciam
garciam 30.09.2008 um 20:30:24 Uhr
Goto Top
Zitat von @60730:
Servus again,

wenn du deinen Usern per GPO nicht verboten hast, die Proxy
Einstellungen im IE zu ändern, dann macht auch das verbieten von
Firefoxportable keinen Sinn.

Ist natürlich gemacht, solange die PC/Notebooks im Firmennetz sind bringt der Firefox nicht viel.

Danke für den Link, werde mir das mal genauer ansehen.

Gruss
wiesi200
wiesi200 30.09.2008 um 20:45:36 Uhr
Goto Top
Wie währs mit einem anderen Ansatz.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der muss dan mit dem Port 80 raus können.
Maik87
Maik87 01.10.2008 um 09:19:16 Uhr
Goto Top
Was soll das bringen? Den Port kannst du auch beim Portable einstellen und schon geht es wieder.
Dolphinsfriend
Dolphinsfriend 01.10.2008 um 11:20:45 Uhr
Goto Top
Hallo !

Ehrlich gesagt finde ich es bedenklich, daß User überhaupt Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die normalen User entziehen.

Vielleicht solltet ihr das Berechtigungskonzept einmal komplett überdenken und neuorganisieren.

Solange die Kisten nicht "DICHT" sind, können die User doch ehh alles machen, was sie wollen.

Also erstmal ADS / GPO und Konzept überdenken...

face-smile

Gruß

Jochen
Maik87
Maik87 01.10.2008 um 11:34:26 Uhr
Goto Top
Das bringt dir ja auch nichts. Du hast immer Zugriff über das System auf den Datenträger. Auch wenn es nur das Temp-Verzeichnis ist.

Klar, du kannst jetzt noch den Download abschalten, aber wird dieser vllt noch wo anders für benutzt!?
60730
60730 01.10.2008 um 13:33:09 Uhr
Goto Top
Zitat von @garciam:
> Zitat von @60730:
> ----
> Servus again,
>
> wenn du deinen Usern per GPO nicht verboten hast, die Proxy
> Einstellungen im IE zu ändern....

Ist natürlich gemacht, solange die PC/Notebooks im Firmennetz
sind bringt der Firefox nicht viel.

Zitat von @wiesi200:
Wie währs mit einem anderen Ansatz.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der
muss dan mit dem Port 80 raus können.
Zitat von @Maik87:
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.

Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es User "Dau²" sehr schwer, den Port herauszufinden, der intern läuft.

Zitat von @Dolphinsfriend:
Hallo !

Ehrlich gesagt finde ich es bedenklich, daß User überhaupt
Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die
normalen User entziehen.

Auch für dich die kleine Erinnerung, es handelt sich um portable Apps.
Ergo - nada Installationsroutine - ergo dein Tipp vollkommen am Thema vorbei face-wink

Gruß
Ps: Ich wiederhole mich zwar, aber je länger dieser Thread wird, desto mehr Wege werden aufgezeigt, wie das "Problem" zu lösen ist und pro Antwort wird es min. eine geben, die aufzeigt, daß es "trotzdem" geht face-wink

Ordentlicher Virenscanner und eine Betriebsvereinbarung sollten das Problem zumindesten "klein" halten und dem Admin etwas "sicherheit" geben.

Gruß
Maik87
Maik87 01.10.2008 um 13:54:58 Uhr
Goto Top
Zitat von @60730:
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es
User "Dau²" sehr schwer, den Port herauszufinden, der
intern läuft.

Änderung sperren heißt nicht, dass ich nicht sehen kann, was eingestellt ist, sondern nur, dass ich es nicht ändern kann!!
60730
60730 01.10.2008 um 14:27:54 Uhr
Goto Top
Zitat von @Maik87:

Änderung sperren heißt nicht, dass ich nicht sehen kann,
was eingestellt ist, sondern nur, dass ich es nicht ändern kann!!

Servus,

ich hab ja keine Ahnung und gebe es offen zu.....
Und erweitere meine obige Aussage - je länger der Thread, desto mehr Antworten - auf ganz andere Probleme - nach denen Hier keiner gefragt hat..

Der einzige Weg - ohne selbstgestricktes ADM - der mir bekannt ist und der per GPO nicht per Rechte in der Registry den Proxy Eintrag vom IE zu sperren, ist "Disable the Connection Page" unterhalb von User Config/Admin Templates/Ie/Internetconnection.

Welchen kennst du?
Du kennst aber den Unterschied - zwischen "sehr schwer" und unmöglich?
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es User "Dau²" sehr schwer, den Port herauszufinden, der intern läuft.

Gruß
wiesi200
wiesi200 01.10.2008 um 16:11:05 Uhr
Goto Top
Zitat von @Maik87:
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.

Das bringt so gar ne Menge. Denn man Zwingt alle Browser über den Proxy was ja der eigentliche Sinn der Aktion ist wenn man den Text oben liest.

Die Portable Apps können ja aber auch von der Festplatte aus ausgeführt werden. Es ist nun so, dass man nur mit dem InternetExplorer über den Proxy ins Internet gelangen darf. > Wenn nun aber ein User mit seinem Laptop ausserhalb der Firma ist und er den Firefox_Portable ausführt, so kommt er direkt ins Internet und genau das sollte nicht möglich sein.

Und dann muss man nicht überlegen welche Browser man sperrt.