Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

User auf TS für das Internet sperren

Mitglied: RP-Berlin

RP-Berlin (Level 1) - Jetzt verbinden

04.12.2018 um 08:54 Uhr, 1016 Aufrufe, 30 Kommentare

Guten Morgen,

wir würden gern einen User auf dem Terminalserver (2016) für die Nutzung des Internet sperren, wissen aber nicht so recht, wie wir es anstellen sollen.
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Für einen klugen Rat wäre ich sehr dankbar

30 Antworten
Mitglied: Kraemer
04.12.2018 um 09:05 Uhr
Moin,

ohne den Einsatz eines Proxyservers wirst du das wohl eher nicht realisiert bekommen.

Gruß
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
04.12.2018, aktualisiert um 09:13 Uhr
Hi,
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.

wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.

Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.
Bitte warten ..
Mitglied: 137846
04.12.2018, aktualisiert um 09:26 Uhr
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.

Gruß A.
Bitte warten ..
Mitglied: it-frosch
04.12.2018 um 10:50 Uhr
Hallo RP-Berlin,

ist nur eine Idee, kenn mich da aber nicht so aus.

MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?

grüße vom it-frosch
Bitte warten ..
Mitglied: Bem0815
04.12.2018 um 11:31 Uhr
Zitat von GrueneSosseMitSpeck:

Hi,
du guckst an der falschen Ecke. Das mußt du netzmäßig regeln, und zwar auf den Terminalservern.

wenn das Netz eher einfach strukturiert ist (ein Segment mit privatne IPs, DMZ und Internet) dann entfernst du einfach den Default gateway, in komplexeren Netzen kann man den default gateway ebenfals löschen, man benötigt aber bei segmentierten internen Netzen dann Routen zu Routern, die ihrerseits dann keinen Defualt Gateway eingetragne haben sondern jeweils eine Route für ein Zielnetz das bekannt ist.

Ich hab das bei mir selbst mit nem Ubitquity EdgeRouter X gemacht und einer permanenten Route auf den Rechnern die zwar in ein anderes internes Netzsegment sollten aber eben nicht ins Internet. Auf dem Router hab ich zwei Interfaces mit den beiden Subnets... und der Router hat keinen Default gateway also kommt der nicht ins Internet.

Frage nicht vollständig gelesen?
Er möchte doch das auf dem Terminalserver nur ein bestimmter Nutzer nicht mehr ins Internet kommt.
Wenn du das Default Gateway wegnimmst kommt auf der Kiste niemand mehr ins Internet.


Zitat von 137846:

Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.

Gruß A.

Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.


Zitat von it-frosch:

Hallo RP-Berlin,

ist nur eine Idee, kenn mich da aber nicht so aus.

MA in eine extra security group "non-internet" stecken und diese per GPO entsprechend konfigurieren?

grüße vom it-frosch

Würde so nicht funktionieren ;)

Die GPO Einstellungen für die Windows Firewall sind im GPO Editor ausschließlich unter Computerkonfigurationen zu finden, nicht unter Benutzerkonfigurationen.
Und betreffend allen Konfigurationen die sich in Computerkonfiguration befindet kannst du bei der GPO ja bekanntlich nur nach Computer Filtern, nicht nach Nutzern.

Die GPO würde als gar nicht greifen.


AFAIK geht das wie Kraemer schon gesagt hat nur mit einem Proxy.
Bitte warten ..
Mitglied: n.o.b.o.d.y
04.12.2018 um 11:38 Uhr
Zitat von RP-Berlin:
Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser.

Für sowas gibt es Applocker, gehört für mich auf eimem TS eigentlich immer aktiviert.
Bitte warten ..
Mitglied: 137846
04.12.2018, aktualisiert um 11:50 Uhr
Zitat von Bem0815:
Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Tab: Authorized Users
Bitte warten ..
Mitglied: emeriks
04.12.2018 um 12:09 Uhr
Zitat von 137846:
Mit der Windows Firewall kannst du gezielt am TS User sperren oder erlauben. Schau dir die erweiterten Eigenschaften bei den FW-Regeln an.
Mir ist so, als wenn das nur im Zusammenhang mit IPSec relevant ist, also nur dabei greift.
Bitte warten ..
Mitglied: Bem0815
04.12.2018 um 12:18 Uhr
Zitat von 137846:

Zitat von Bem0815:
Wäre mir neu, dass man in der Windows Firewall mit erweiterter Sicherheit Regeln per User definieren kann.
Hab auch soeben nochmal nachgeschaut. IMO geht das nicht.
Lasse mich hier aber auch gerne eines besseren belehren.
Tab: Authorized Users

Das was du hier meinst funktioniert nur zwischen Domänen mit Vertrauensstellung, Authentifizierung der User und der verwendung des IPsec Protokolls. Damit kannst du keine Regel erstellen die dem User den Zugriff auf das Internet blockiert, da es zum Internet natürlich keine Vertrauensstellung geben kann.

Details kann man hier finden:
https://docs.microsoft.com/en-us/powershell/module/netsecurity/set-netfi ...
Bitte warten ..
Mitglied: St-Andreas
04.12.2018 um 12:26 Uhr
Guten Tag,


Proxy mit User Authentifizierung ist hier das Stichwort. Mit Bordmitteln nicht (sinnvoll) umsetzbar.
Bitte warten ..
Mitglied: Freak-On-Silicon
04.12.2018, aktualisiert um 14:25 Uhr
Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.
Bitte warten ..
Mitglied: Bem0815
04.12.2018 um 14:42 Uhr
Zitat von Freak-On-Silicon:

Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.

Zitat von RP-Berlin:

Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.

Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.
Bitte warten ..
Mitglied: Freak-On-Silicon
04.12.2018, aktualisiert um 15:11 Uhr
Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.

Zitat von RP-Berlin:

Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.

Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.

Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.

Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.
Bitte warten ..
Mitglied: Bem0815
04.12.2018, aktualisiert um 15:30 Uhr
Zitat von Freak-On-Silicon:

Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.

Zitat von RP-Berlin:

Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.

Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.

Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.


Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.

Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.

Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.

Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.

Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.
Bitte warten ..
Mitglied: FA-jka
04.12.2018 um 18:56 Uhr
Hallo,

wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?

Gruß,
Jörg
Bitte warten ..
Mitglied: Kraemer
04.12.2018 um 22:27 Uhr
Zitat von FA-jka:

Hallo,

wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?

Gruß,
Jörg
Per Brieftaube
Bitte warten ..
Mitglied: FA-jka
05.12.2018 um 05:20 Uhr
Hallo,

Zitat von Kraemer:

Per Brieftaube

Eben.

Und genau darin sehe ich den Lösungsansatz.

Gruß,
Jörg
Bitte warten ..
Mitglied: Bem0815
05.12.2018 um 08:11 Uhr
Zitat von FA-jka:

Hallo,

wie soll er denn einen portablen Browser auf den TS bekommen, wenn er z.B. nur einen Igel o.Ä. an seinem Platz hat?

Gruß,
Jörg

Was soll es denn bringen hier theoretische Szenarien zu nennen bei denen das genannte vorgehen nicht klappt wenn diese möglichen Szenarien einfach unwahrscheinlich sind.

Da könnte ich auch gleich sagen "wie soll er denn einen portablen Browser auf den Rechner bekommen wenn das nur ein C64 ist."

Die Realität wird wohl anders aussehen.
Bitte warten ..
Mitglied: Freak-On-Silicon
05.12.2018, aktualisiert um 08:47 Uhr
Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.

Zitat von RP-Berlin:

Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.

Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.

Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.

Ja, das ist mir schon klar, aber wie gesagt in unseren Fall alles nicht möglich, einerseits setzen wir, wie unten schon erwähnt tatsächlich viele Igel ein und andererseits sind die USB gesperrt auf den PCs.


Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.

Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.

Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.

Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.

Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.

Sorry falls ich mich dumm anstelle, aber ich kapiers immer noch nicht.
Ob er in ein TimeOut landet oder durch richtige Authentifizierung das Internet gesperrt ist, ist doch egal, kommt ja das Selbe dabei raus?
Btw hier hab ich eh einen richtigen Proxy.


EDIT: Habs gerade getestet mit Firefox Portable.
Wenn ich irgendeinen Phantasie Proxy eintrage schreibt er nur "Netzwerk-Zeitüberschreitung".
Interessanterweise schreibt der Edge "Mit dem Proxyserver kann keine Verbindung hergestellt werden."

Mit dem richtigen Proxy meldet sich dann halt meine Sophos.
Bitte warten ..
Mitglied: FA-jka
05.12.2018 um 09:37 Uhr
Hallo,

Zitat von Bem0815:

Was soll es denn bringen hier theoretische Szenarien zu nennen

Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.

Ich wüsste nicht, was das mit Sarkasmus zu tun hat.

Gruß,
Jörg
Bitte warten ..
Mitglied: Bem0815
05.12.2018 um 15:31 Uhr
Zitat von Freak-On-Silicon:

Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Zitat von Bem0815:

Zitat von Freak-On-Silicon:

Ich würde ihm auch einfach per GPO per registry einen Proxy einstellen, dazu brauchst du nicht mal einen funktionierenden.
Aber nicht vergessen auch per GPO die Einstellungen auszuschalten sonst kann ers wieder aktivieren.


Hab ich so in einer Schule für die Schularbeitsuser.

Zitat von RP-Berlin:

Wir könnten ihm die Rechte für den IE entziehen, aber wenn er clever ist, nimmt er einen portablen Browser. Ports sperren geht nicht, weil TS.

Soweit konnte der OP das ja auch von Anfang an machen machen, nur wollte er ja explizit eine Lösung die auch nicht durch einen portable Browser umgangen werden kann. Einen Proxy einstellen kann man mit einem Portable Browser ganz einfach ohne Installation umgehen.

Muss ganz ehrlich sagen dass ich das noch nie mit einem portablen Browser versucht habe.
Werde ich testen.
Ist in meinem Fall aber egal, da die Schüler keine Möglichkeit haben einen zu installieren bzw zu kopieren.

Ist auch nicht notwendig. Portable heißt ja der Browser kommt ohne installation aus.
Kopieren auf die HDD ist auch nicht notwendig. Im Prinzip geht das mit USB Stick rein und direkt vom Stick den Browser starten.

Ja, das ist mir schon klar, aber wie gesagt in unseren Fall alles nicht möglich, einerseits setzen wir, wie unten schon erwähnt tatsächlich viele Igel ein und andererseits sind die USB gesperrt auf den PCs.


Können auch die Schüler in der Schule machen. Wirklich sicher ist das nicht. Auch hier wäre ein Proxy die einzig sinnvolle Variante.

Das verstehe ich jetzt nicht, du hast ja gerade geschriebenn dass man einen Proxy mit einem portablen Browser umgehen kann.

Das war vielleicht etwas ungenau beschrieben. Ich meinte damit nicht mit einem pseudo Proxy Eintrag die Verbindung zu unterbinden weil der Browser versucht auf einen Proxy zuzugreifen der gar nicht existiert und somit in einen Timeout rennt sondern das Problem zu lösen in dem man einen richtigen Proxy Server verwendet und für den Zugriff zum Internet mit Authentifizierung einsetzt.

Wenn dann für einen Klassentest das Internet für die User auf dem Proxy Server gesperrt ist (z.B. Proxy Authentifizierung über den Domänenbenutzer) wird auch ein portable Browser nicht helfen.

Wenn im portable Browser kein Proxy angegeben ist wird er generell nicht ins Internet kommen da der Zugang zum Internet nur über den Proxy möglich ist und selbst wenn er ihn konfiguriert und die Proxyeinstellungen vom installierten Browser kopiert wird er auch dann am Proxy scheitern weil dieser dann wieder am Domänenuser auth erkennt das der User nicht ins Internet darf.

Sorry falls ich mich dumm anstelle, aber ich kapiers immer noch nicht.
Ob er in ein TimeOut landet oder durch richtige Authentifizierung das Internet gesperrt ist, ist doch egal, kommt ja das Selbe dabei raus?
Btw hier hab ich eh einen richtigen Proxy.


EDIT: Habs gerade getestet mit Firefox Portable.
Wenn ich irgendeinen Phantasie Proxy eintrage schreibt er nur "Netzwerk-Zeitüberschreitung".
Interessanterweise schreibt der Edge "Mit dem Proxyserver kann keine Verbindung hergestellt werden."

Mit dem richtigen Proxy meldet sich dann halt meine Sophos.

Gut wenn du einen richtigen Proxy hast dann geht das natürlich so.
So war das auch in meinem Szenario gemeint.

Ich ging bei deinem Szenario aber davon aus, dass kein richtiger Proxy existiert und du bei dem PC der keinen Zugriff erhalten sollte dann einen nicht existierenden Pseudo Proxy per GPO eintragen würdest und das ändern des Proxys auch per GPO sperren.

Dann gäbe es einen Timeout, würde der User aber einen Portable Browser verwenden bei dem er den Proxy selbst einstellen kann könnte er diesen Browser ohne Proxy Eintrag benutzen und würde durch fehlenden echten Proxy natürlich hier ins Internet kommen.

Gleicher Fall wäre es auch wenn es einen echten Proxy gibt, dieser aber keine Authentifizierung benötigt. Dann könnte der Schüler einfach den korrekten Proxy Eintrag von einem Schul PC notieren und in seinen Portable Browser eintragen.

Einzig ein Proxy mit Authentifizierung würde hier also 100% Schutz bieten.
Bitte warten ..
Mitglied: Bem0815
05.12.2018 um 15:42 Uhr
Zitat von FA-jka:

Hallo,

Zitat von Bem0815:

Was soll es denn bringen hier theoretische Szenarien zu nennen

Wo ist das Problem? Bei den installierten Browsern wird ihm das Recht entzogen und einen portablen Browser kriegt er nicht auf den TS geschoben.

Ich wüsste nicht, was das mit Sarkasmus zu tun hat.

Gruß,
Jörg

Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Bitte warten ..
Mitglied: 137846
05.12.2018, aktualisiert um 16:02 Uhr
Zitat von Bem0815:
Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Weil ein verantwortungsvoller Admin minimale Applocker-Policies für den TS durchsetzt. Wäre ja noch schöner wenn jeder auf dem TS ausführt was er will.
Bitte warten ..
Mitglied: Bem0815
05.12.2018 um 16:30 Uhr
Zitat von 137846:

Zitat von Bem0815:
Warum sollte er nicht einen portable Browser auf den TS kopiert bekommen?
Copy Paste.
Weil ein verantwortungsvoller Admin minimale Applocker-Policies für den TS durchsetzt. Wäre ja noch schöner wenn jeder auf dem TS ausführt was er will.

Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich. Sonst geht's dir aber noch gut?

Wenn du meinst, dass du die Zeit hast bei zig Kunden Applocker zu benutzen und ständig die Regeln anzupassen weil mal doch wieder eine Software dazu gekommen ist, dann viel Spaß dabei.

In der Praxis bedeutet Applocker leider in vielen Szenarien einfach zu häufig zu viel administrativen Aufwand.
Bitte warten ..
Mitglied: 137846
05.12.2018, aktualisiert um 17:04 Uhr
Zitat von Bem0815:
Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Nun "Applocker" war nur "ein" Beispiel von vielen wie man User beschränken kann was sie am TS so ausführen. Aber wer die User alles am TS ausführen lässt ist nun wirklich selbst schuld, warum haben wir wohl so viele Infektionen in DE ... Sicherheits-Aspekte sind eben noch nicht bei jedem angekommen.
Sonst geht's dir aber noch gut?
Mir geht's hervorragend, und dir?
Wenn du meinst, dass du die Zeit hast bei zig Kunden Applocker zu benutzen und ständig die Regeln anzupassen weil mal doch wieder eine Software dazu gekommen ist, dann viel Spaß dabei.
Kein Problem, wird bei über 200 Kunden erfolgreich umgesetzt, bisher kein Thema wenn man weiß wie.
In der Praxis bedeutet Applocker leider in vielen Szenarien einfach zu häufig zu viel administrativen Aufwand.
Wenn man es naiv angeht und nicht gut plant sicherlich. Wir wollen es jedenfalls nicht mehr missen und unsere Kunden sind mehr als zufrieden.

Einen produktiven TS ohne eine solche Art Absicherung oder APPv-Virtualisierung habe ich seit min. 5 Jahren persönlich nicht mehr gesehen.
Bitte warten ..
Mitglied: Bem0815
06.12.2018 um 00:03 Uhr
Zitat von 137846:

Zitat von Bem0815:
Stimmt, jeder Admin der nicht Applocker-Policies verwendet ist automatisch unverantwortlich.
Nun "Applocker" war nur "ein" Beispiel von vielen wie man User beschränken kann was sie am TS so ausführen. Aber wer die User alles am TS ausführen lässt ist nun wirklich selbst schuld, warum haben wir wohl so viele Infektionen in DE ... Sicherheits-Aspekte sind eben noch nicht bei jedem angekommen.

Es gibt genügend andere Variante wie man Schädlinge verhindern kann.
Bei uns läuft z.B. seit Jahre der TS problemlos ohne Applocker.
Die ordentlich konfigurierte Sophos UTM mit Verwendung unter anderem als E-Mail Gateway sowie Webproxy hält uns soweit alles fern.

Einen produktiven TS ohne eine solche Art Absicherung oder APPv-Virtualisierung habe ich seit min. 5 Jahren persönlich nicht mehr gesehen.

Wohl nicht viel rumgekommen, was?
Bitte warten ..
Mitglied: 137846
06.12.2018, aktualisiert um 08:16 Uhr
Zitat von Bem0815:

Wohl nicht viel rumgekommen, was?
War ja klar das wieder so ein Kommrntar von dir kommt. Aber wenn's dich interessiert, vermutlich in weit größeren Gefilden als deiner einer, Sophos UTM wenn ich das schon höre... Kinder-Spielzeug für KMUs .
Naja jedem das seine, ###vergleich bringt hier niemanden was.
Bitte warten ..
Mitglied: Bem0815
06.12.2018 um 08:22 Uhr
Zitat von 137846:
Naja jedem das seine, ###vergleich bringt hier niemanden was.

Warum machst du sie dann?

Aber gut egal, lassen wir das. Wird hier langsam eh zu Off Topic.
Bitte warten ..
Mitglied: St-Andreas
06.12.2018 um 08:30 Uhr
Zitat von 137846:

Zitat von Bem0815:

>>.. Kinder-Spielzeug für KMUs .

Richtig! KMUs, was soll diese Arroganz dabei?
Andere Voraussetzungen, passende Lösungen. Darauf kommt es an und vermutlich würdest Du eine Firma mit 5 oder auch 20 Mitarbeitern mit Deinem Ansatz in den Ruin, oder einen anderen Dienstleister treiben.
Bitte warten ..
Ähnliche Inhalte
Windows Server
TS 2008R2 Device+User CAL
gelöst Frage von seppmairhubrWindows Server4 Kommentare

hallo leute, ich hab da nen server übernommen die lizenzen sind da, mehr nicht. 20 device und 10 user-cal, ...

Windows Server

Remote User können sich nicht mehr am TS 2008R2 anmelden

gelöst Frage von JoergSiebertWindows Server9 Kommentare

Hallo allerseits, so allmählich verzweifele ich wirklich: Neue User können sich nicht mehr an unserem TS 2008R2 anmelden. Bei ...

Windows Server

TS Profile umziehen

Frage von dashmcWindows Server5 Kommentare

Hallo Zusammen, wir haben unsere User derzeit auf zwei verschiedene Terminalserver (2012 R2 x64) aufgeteilt. Die TS-Benutzerprofile wurden per ...

Windows Server

Verständnisfrage TS-Umgebung

Frage von underclocker2k9Windows Server6 Kommentare

Hallo zusammen Ich habe da einige Verständnisfragen zu einer Terminalserver-Umgebung, wäre sehr dankbar um Inputs von euch. Angenommen, die ...

Neue Wissensbeiträge
Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 15 StundenSicherheit

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 1 TagInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 1 TagAdministrator.de Feedback4 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)3 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Werde dauernd aus dem WLAN geworfen (RouterOS)
gelöst Frage von amdkeksNetzwerkmanagement24 Kommentare

Hallo Zusammen, ich habe gestern ein update meiner Mikrotikgeräte gemacht und habe nun überall Version 6.45.5 drauf. Mikrotik Routerboard, ...

Festplatten, SSD, Raid
Wie viel Ampere braucht eine 3.5 Zoll Festplatte am SATA Stecker?
gelöst Frage von francFestplatten, SSD, Raid12 Kommentare

Hallo ich möchte gerne eine "interne" 3.5 Zoll Festplatte an USB 3.0 anschließen. Ich habe dazu diverse Stecker gefunden, ...

Netzwerkgrundlagen
QNAP NAS - von Virtualisierung auf Freigabeordner zugreifen
Frage von 72-dpijunkieNetzwerkgrundlagen11 Kommentare

Hallo Zusammen, ich sitze an einem kleinen Problemen und komme nicht weiter Ferner möchte ich gerne auf der aufgesetzten ...

Windows Installation
Windows 10 setup USB zu bootfähigem ISO-USB
gelöst Frage von WhatEver007Windows Installation10 Kommentare

Hallo, es geht um die Frage wie oben. Ich hab einen Windows 10 setup USB Stick und will ihn ...