13
Portable Apps sperren
Hallo zusammen
Es gibt ja die netten Portable Apps mit Firefox, Thunderbird, usw. Diese Programme können von einem ganz normalen Benutzer "installiert" und ausgeführt werden. Vorallem der Firefox_Portable ist mir ein Dorn im Auge. Ich möchte das verhindern, habe aber keine Idee wie ich das machen könnte. Über die GPO geht das nicht, oder? Habt ihr irgendwelche Ideen?
Danke!
Es gibt ja die netten Portable Apps mit Firefox, Thunderbird, usw. Diese Programme können von einem ganz normalen Benutzer "installiert" und ausgeführt werden. Vorallem der Firefox_Portable ist mir ein Dorn im Auge. Ich möchte das verhindern, habe aber keine Idee wie ich das machen könnte. Über die GPO geht das nicht, oder? Habt ihr irgendwelche Ideen?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 98190
Url: https://administrator.de/contentid/98190
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo !
Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf DISABLED.
Es gibt auch eine Möglichkeit über die Registry und GPO; oder halt Third-Party - Anbieter.
Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins
Rechte für USB haben ?
Gruß
Jochen
Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf DISABLED.
Es gibt auch eine Möglichkeit über die Registry und GPO; oder halt Third-Party - Anbieter.
Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins
Rechte für USB haben ?Gruß
Jochen
Zitat von @Dolphinsfriend:
Hallo !
Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick
installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf
DISABLED.
Es gibt auch eine Möglichkeit über die Registry und GPO;
oder halt Third-Party - Anbieter.
Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur
zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins Rechte für USB
haben ?
Gruß
Jochen
Hallo !
Wsa verstehst Du unter einem normalen User ?
Außerdem kann die natürlich jeder zu Hause auf den Stick
installieren und dann am PC einstecken.
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf
DISABLED.
Es gibt auch eine Möglichkeit über die Registry und GPO;
oder halt Third-Party - Anbieter.
Die Frage ist: Soll der USB-Port immer abgeschaltet sein oder nur
zeitweise etc.; bzw.
sollen hier nur bestimmte User , also Admins
Rechte für USBhaben ?
Gruß
Jochen
Hallo Jochen
Unter einem normalen User verstehe ich ein User der nur in der Gruppe Domänen_Benutzer ist und keine Supper-User oder Admin Rechte hat.
Die USB Ports sind deaktiviert, da wird Endpoint Security von GFI eingesetzt.
Die Portable Apps können ja aber auch von der Festplatte aus ausgeführt werden. Es ist nun so, dass man nur mit dem InternetExplorer über den Proxy ins Internet gelangen darf. Wenn nun aber ein User mit seinem Laptop ausserhalb der Firma ist und er den Firefox_Portable ausführt, so kommt er direkt ins Internet und genau das sollte nicht möglich sein.
Gruss
Servus,
Wenn sich das Problem so einfach lösen läßt...
Mach die Augen zu und durch
Aber da mir weder bei SexsuffandRocknrollportable.exe noch bei Firefoxportable etwas einfällt....
was ein anderer mit etwas oder etwas mehr Aufwand wieder ausknipsen kann
Gruß
Warum schaltest Du den USB-Port per BIOS am Rechner nicht einfach auf DISABLED.
... Weil man "Portable Apps" auch Downloaden kann....Vorallem der Firefox_Portable ist mir ein Dorn im Auge.
Wenn sich das Problem so einfach lösen läßt...
Mach die Augen zu und durch
Aber da mir weder bei SexsuffandRocknrollportable.exe noch bei Firefoxportable etwas einfällt....
was ein anderer mit etwas oder etwas mehr Aufwand wieder ausknipsen kann
Gruß
Servus again,
wenn du deinen Usern per GPO nicht verboten hast, die Proxy Einstellungen im IE zu ändern, dann macht auch das verbieten von Firefoxportable keinen Sinn.
Ansonsten schau dir Using Software Restriction Policies to Protect Against Unauthorized Software mal an.
Und bitte nur auf einem Testsystem ausprobieren und kennenlernen.
Ruckzuck stehst du sonst vor einer Tür, die du gerade selber zugeworfen hast und kommst nichts mehr rein oder raus.
Gruß
wenn du deinen Usern per GPO nicht verboten hast, die Proxy Einstellungen im IE zu ändern, dann macht auch das verbieten von Firefoxportable keinen Sinn.
Ansonsten schau dir Using Software Restriction Policies to Protect Against Unauthorized Software mal an.
Und bitte nur auf einem Testsystem ausprobieren und kennenlernen.
Ruckzuck stehst du sonst vor einer Tür, die du gerade selber zugeworfen hast und kommst nichts mehr rein oder raus.
Gruß
Zitat von @60730:
Servus again,
wenn du deinen Usern per GPO nicht verboten hast, die Proxy
Einstellungen im IE zu ändern, dann macht auch das verbieten von
Firefoxportable keinen Sinn.
Servus again,
wenn du deinen Usern per GPO nicht verboten hast, die Proxy
Einstellungen im IE zu ändern, dann macht auch das verbieten von
Firefoxportable keinen Sinn.
Ist natürlich gemacht, solange die PC/Notebooks im Firmennetz sind bringt der Firefox nicht viel.
Danke für den Link, werde mir das mal genauer ansehen.
Gruss
Wie währs mit einem anderen Ansatz.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der muss dan mit dem Port 80 raus können.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der muss dan mit dem Port 80 raus können.
Was soll das bringen? Den Port kannst du auch beim Portable einstellen und schon geht es wieder.
Hallo !
Ehrlich gesagt finde ich es bedenklich, daß User überhaupt Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die normalen User entziehen.
Vielleicht solltet ihr das Berechtigungskonzept einmal komplett überdenken und neuorganisieren.
Solange die Kisten nicht "DICHT" sind, können die User doch ehh alles machen, was sie wollen.
Also erstmal ADS / GPO und Konzept überdenken...
Gruß
Jochen
Ehrlich gesagt finde ich es bedenklich, daß User überhaupt Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die normalen User entziehen.
Vielleicht solltet ihr das Berechtigungskonzept einmal komplett überdenken und neuorganisieren.
Solange die Kisten nicht "DICHT" sind, können die User doch ehh alles machen, was sie wollen.
Also erstmal ADS / GPO und Konzept überdenken...
Gruß
Jochen
Das bringt dir ja auch nichts. Du hast immer Zugriff über das System auf den Datenträger. Auch wenn es nur das Temp-Verzeichnis ist.
Klar, du kannst jetzt noch den Download abschalten, aber wird dieser vllt noch wo anders für benutzt!?
Klar, du kannst jetzt noch den Download abschalten, aber wird dieser vllt noch wo anders für benutzt!?
Zitat von @garciam:
> Zitat von @60730:
> ----
> Servus again,
>
> wenn du deinen Usern per GPO nicht verboten hast, die Proxy
> Einstellungen im IE zu ändern....
Ist natürlich gemacht, solange die PC/Notebooks im Firmennetz
sind bringt der Firefox nicht viel.
> Zitat von @60730:
> ----
> Servus again,
>
> wenn du deinen Usern per GPO nicht verboten hast, die Proxy
> Einstellungen im IE zu ändern....
Ist natürlich gemacht, solange die PC/Notebooks im Firmennetz
sind bringt der Firefox nicht viel.
Zitat von @wiesi200:
Wie währs mit einem anderen Ansatz.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der
muss dan mit dem Port 80 raus können.
Zitat von @Maik87:
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.
Wie währs mit einem anderen Ansatz.
Sperr auf allen Rechner per GPO mit der Windows Firewall den Port 80
Verbinde dich über einen ander Port auf deinen Proxy und der
muss dan mit dem Port 80 raus können.
Zitat von @Maik87:
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es User "Dau²" sehr schwer, den Port herauszufinden, der intern läuft.
Zitat von @Dolphinsfriend:
Hallo !
Ehrlich gesagt finde ich es bedenklich, daß User überhaupt
Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die
normalen User entziehen.
Hallo !
Ehrlich gesagt finde ich es bedenklich, daß User überhaupt
Zugriff auf die lokalen Datenträger haben.
D.h. Ich wurde das Recht zur Installation auf dem PC für die
normalen User entziehen.
Auch für dich die kleine Erinnerung, es handelt sich um portable Apps.
Ergo - nada Installationsroutine - ergo dein Tipp vollkommen am Thema vorbei
Gruß
Ps: Ich wiederhole mich zwar, aber je länger dieser Thread wird, desto mehr Wege werden aufgezeigt, wie das "Problem" zu lösen ist und pro Antwort wird es min. eine geben, die aufzeigt, daß es "trotzdem" geht
Ordentlicher Virenscanner und eine Betriebsvereinbarung sollten das Problem zumindesten "klein" halten und dem Admin etwas "sicherheit" geben.
Gruß
Zitat von @60730:
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es
User "Dau²" sehr schwer, den Port herauszufinden, der
intern läuft.
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es
User "Dau²" sehr schwer, den Port herauszufinden, der
intern läuft.
Änderung sperren heißt nicht, dass ich nicht sehen kann, was eingestellt ist, sondern nur, dass ich es nicht ändern kann!!
Zitat von @Maik87:
Änderung sperren heißt nicht, dass ich nicht sehen kann,
was eingestellt ist, sondern nur, dass ich es nicht ändern kann!!
Änderung sperren heißt nicht, dass ich nicht sehen kann,
was eingestellt ist, sondern nur, dass ich es nicht ändern kann!!
Servus,
ich hab ja keine Ahnung und gebe es offen zu.....
Und erweitere meine obige Aussage - je länger der Thread, desto mehr Antworten - auf ganz andere Probleme - nach denen Hier keiner gefragt hat..
Der einzige Weg - ohne selbstgestricktes ADM - der mir bekannt ist und der per GPO nicht per Rechte in der Registry den Proxy Eintrag vom IE zu sperren, ist "Disable the Connection Page" unterhalb von User Config/Admin Templates/Ie/Internetconnection.
Welchen kennst du?
Du kennst aber den Unterschied - zwischen "sehr schwer" und unmöglich?
Wenn man richtig nachdenkt und obige Aussagen kombiniert, dann hat es User "Dau²" sehr schwer, den Port herauszufinden, der intern läuft.
Gruß
Zitat von @Maik87:
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.
Was soll das bringen? Den Port kannst du auch beim Portable einstellen
und schon geht es wieder.
Das bringt so gar ne Menge. Denn man Zwingt alle Browser über den Proxy was ja der eigentliche Sinn der Aktion ist wenn man den Text oben liest.
Die Portable Apps können ja aber auch von der Festplatte aus ausgeführt werden. Es ist nun so, dass man nur mit dem InternetExplorer über den Proxy ins Internet gelangen darf. > Wenn nun aber ein User mit seinem Laptop ausserhalb der Firma ist und er den Firefox_Portable ausführt, so kommt er direkt ins Internet und genau das sollte nicht möglich sein.
Und dann muss man nicht überlegen welche Browser man sperrt.
