rene1976
Goto Top

Upload von Dateien ins Internet nur für einen bestimmten PC, Benutzer oder Benutzergruppe sperren?

Hallo,

wir haben hier ein Windows 2008 Netzwerk, das über einen Router Draytek Vigor2920vn ans Internet angeschlossen ist.

Nun hat ein Mitarbeiter gekündigt, ist aber noch ein paar Wochen bei uns.

Ist es möglich zu verhindern, dass der Mitarbeiter sich Geschäftsdateien z.B. per Upload, Dropbox etc. oder per E-Mail vor allem über seinen eigenen Online-E-Mail Account z.B. GMail per Anhang an sich selbst schickt?

Wie könnte ich aus Vorsichtsmaßnahme verhindern, dass Daten über das Internet von diesem PC oder von dem Windows-User verschickt werden.

Wie könnte man alternativ für alle Mitarbeiter oder eine User-Gruppe im Netzwerk den Upload von Dateien verhindern?
Kann man bestimmte Dateiendung sperren, z.B. .xls, .sln, .dll´s ...?
Wie könnte man dann verhindern, dass diese gesperrten Dateiendungen doch über .zip Dateien hochgeladen werden, wenn man .zip grundsätzlich als upload verwenden darf.

Der Mitarbeiter braucht das Internet für seine restliche Arbeit, ein abschalten macht also keinen Sinn.

Der USB Anschluss ist bei allen PC´s sowieso per GPO für Datenspeicher gesperrt.


Besten Dank,

Rene

Content-Key: 269926

Url: https://administrator.de/contentid/269926

Printed on: July 22, 2024 at 23:07 o'clock

Member: jhinrichs
jhinrichs Apr 22, 2015 at 14:29:36 (UTC)
Goto Top
Moin,

und den Zugang zum Kopierer sperren, das Anfertigen von Screenshots verhindern, Gespräche in der Kantine nicht mehr führen...

Du siehst, der technische Ansatz fürhrt nicht weit. Üblich ist daher, dass ausscheidende Mitarbeiter, die in entsprechenden sensiblen Positionen sind, freigestellt werden.

Also eher eine Aufgabe für die Geschäftsleitung und nicht für die IT.

Viele Grüße
Member: MasterBlaster88
MasterBlaster88 Apr 22, 2015 updated at 14:36:18 (UTC)
Goto Top
Hallo,

das ist immer eine schwierige Situation.

1) Wenn ein Mitarbeiter von sich aus kündigt, hat er sich die Dateien, die er braucht sowieso schon irgendwo hinkopiert. Ich denke im Nachhinein macht das in diesem Fall kein Sinn mehr.

2) der 2920 bringt einige Web Content Filter mit. Unter CSM -> App Enforcement Profile -> Others -> kann man auch die berühmtesten Sperren lassen (z.B.: oneDrive, DropBox, iCloud, GoogleCloud, etc...) Was das einzelne Sperren bringt kannst du unter CSM -> APPE Support List nachlesen.

3) du kannst auch einen Webcontent Filter für wenig Geld jedes Jahr dazubuchen und Seiten explizit sperren über Whitelist/Blacklist oder ähnliches (z.B. mail.google.de, oder ähnliches)


Wenn du geschickt mit den Firewall umgehst, kannst du auch das Ganze nur auf eine IP - Adresse anwenden.
Komplette Endungen sperren ist immer schwierig, weil teilweise Dinge eben auf geschäftlicher Basis mit .zip versendet werden, ich weiß nicht ob du damit glücklich werden kannst.


edit ich war zu langsam: seh ich leider genau so wie jhinrichs. Auch wenn es schmerzt, aber dann sollte der Mitarbeiter lieber früher gehen...
Member: Rene1976
Rene1976 Apr 22, 2015 at 15:35:11 (UTC)
Goto Top
Danke schon mal.

Das mit dem früher gehen ist sicherlich die sicherste Methode.
Das hilft uns aber in unserem Fall nichts.

Es muss eine geordnete Übergabe gemacht werden. Das dauert eben.
Ohne PC ist das nicht möglich.
Member: Lochkartenstanzer
Lochkartenstanzer Apr 22, 2015 at 16:48:44 (UTC)
Goto Top
Moin,

wenn Ihr kein vertrauen mehr zu dem Mitarbeiter habt, stellt ihn einfach frei oder weist ihm "unverfängliche" Aufgaben zu.

Wenn Ihr ihm noch vertraut sollte das kein Problem sein.

Ansonsten:

Wenn man das Thema grundsätzlich angehen will, sollte man einen Content-Filter (Anwendungsproxy für alle benötigten Protokolle) erinrichten, der entsprechende Policies durchsetzt.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Apr 22, 2015 at 16:49:14 (UTC)
Goto Top
Zitat von @Rene1976:

Es muss eine geordnete Übergabe gemacht werden. Das dauert eben.
Ohne PC ist das nicht möglich.

Dann stellt ihm einen "Leibwächter" zur seite.

lks
Member: MasterBlaster88
MasterBlaster88 Apr 23, 2015 at 06:03:29 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:


Dann stellt ihm einen "Leibwächter" zur seite.

lks

Ist teilweise wirklich Gang und Gebe. Die Leute arbeiten dann an einem Beamer und jemand bewacht jeden seiner Schritte. Falls der gehende Mitarbeiter einen USB Stick anschließen muss. Ruft er dann "ich stecke nun einen USB Stick ein" face-smile

Aber ob sowas sinnvoll ist, ist auch immer die andere Frage. Man braucht halt noch jemand der aufpasst face-smile