Websitesperrung für bestimmte AD Gruppen
Hallo zusammen,
ich sollte eine Möglichkeit finden, wie man für eine bestimmte AD Gruppe eine Sperre für Websites einrichten kann.
Diese Gruppe soll Seiten wie zum Beispiel Youtube, Facebook, Netflix usw. nicht mehr aufrufen können.
Das soll aber nicht für alle Mitarbeiter gelten.
Über die Firewall soll das erstmal nicht gehen, da der Dieister, der das bei uns machen würde Geld dafür verlangt.
Es wird eine Lösung gesucht, die wir selber umsetzen könnten.
Über die Hostsdatei will ich das nicht machen, da das zu viele IPs wären, die wir händisch eintragen müssten.
Hätte jemand eine Idee für mich?
Grüße
ich sollte eine Möglichkeit finden, wie man für eine bestimmte AD Gruppe eine Sperre für Websites einrichten kann.
Diese Gruppe soll Seiten wie zum Beispiel Youtube, Facebook, Netflix usw. nicht mehr aufrufen können.
Das soll aber nicht für alle Mitarbeiter gelten.
Über die Firewall soll das erstmal nicht gehen, da der Dieister, der das bei uns machen würde Geld dafür verlangt.
Es wird eine Lösung gesucht, die wir selber umsetzen könnten.
Über die Hostsdatei will ich das nicht machen, da das zu viele IPs wären, die wir händisch eintragen müssten.
Hätte jemand eine Idee für mich?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4573393661
Url: https://administrator.de/contentid/4573393661
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
25 Kommentare
Neuester Kommentar
Moin,
Bei uns Regelt das die Firewall über Policies. Dafür gibt es in AD eine gewisse Anzahl an Proxy-Gruppe. Die Firewall ruft ab, in welchem Gruppe der User ist und der User erhält dann basierend auf der Gruppierung die entsprechenden Rechte und kann dann die für seine Gruppe definierten Seiten aufrufen.
Gruß
Doskias
Bei uns Regelt das die Firewall über Policies. Dafür gibt es in AD eine gewisse Anzahl an Proxy-Gruppe. Die Firewall ruft ab, in welchem Gruppe der User ist und der User erhält dann basierend auf der Gruppierung die entsprechenden Rechte und kann dann die für seine Gruppe definierten Seiten aufrufen.
Gruß
Doskias
Wenn es nicht per Firewall passieren soll, kann man das auch per GPO pro Browser regeln.
Warum nicht hosts-Datei? Eine hosts-Datei zentral per Netzwerkshare ablegen und dann per GPO an die jeweiligen Gruppen verteilen.
Warum nicht hosts-Datei? Eine hosts-Datei zentral per Netzwerkshare ablegen und dann per GPO an die jeweiligen Gruppen verteilen.
Moin,
Da wäre ich auch für:
https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDi ...
https://www.linuxhelp.com/how-to-restrict-websites-for-squid-proxy-user- ...
und per GPO verteilst du dann den Proxy an ALLE Clients
Gruß em-pie
Da wäre ich auch für:
https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDi ...
https://www.linuxhelp.com/how-to-restrict-websites-for-squid-proxy-user- ...
und per GPO verteilst du dann den Proxy an ALLE Clients
Gruß em-pie
Na wo hast du das denn gelesen.
Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?
Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.
Ob das dann soviel günstiger und besser wird?
+1 @Doskias Post
Der Mehrwert ist später, dass ihr dann nur in der AD die Gruppen ändern müsst. Set-it-and-forget-it.
Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.
Ob das dann soviel günstiger und besser wird?
+1 @Doskias Post
Der Mehrwert ist später, dass ihr dann nur in der AD die Gruppen ändern müsst. Set-it-and-forget-it.
Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.
Dann frag deinen Chef mal, was du die Stunde kostest (dein Stundenlohn + Sozialabgaben des Arbeitgebers) und sag ihm, wie lange du für die Umsetzung benötigen würdest...Der Dienstleister ist schneller wieder drin als du (außer du bist nur ein Geringverdiener)
Zitat von @Yaligan:
Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.
Zitat von @Crusher79:
Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?
Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.
Ob das dann soviel günstiger und besser wird?
Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?
Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.
Ob das dann soviel günstiger und besser wird?
Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.
Zu Teuer? Warte mal kurz. Du musst eine Regel bei der Firewall anlegen, eine Gruppe im Ad. Das ganze miteinander verknüpfen. Dauert etwa 3 bis 5 Minuten. Und dann muss dir einmal gezeigt werden, wie du da eine URL einträgst, was wiederrum 3 Minuten dauert. Also mit 15 Minuten bist du gut bedient und kannst es anschließend selbst. Und das ist dir bzw. deinem Chef zu teuer?
Aber nagut. Sicherheit soll ja auch nichts kosten.
@Doskias
Warum die Firewall durch einen DL betreut wird, hat vermutlich (mehrere) gute Gründe. Sei es Wissen, sei es Fachpersonal, sei es Zeit, sei es rechtliche Themen. Die Firewall wird als ManagedServer inkl. einem bestimmten Kontigent an Änderungen gemietet sein. Wenn du so wie in diesem Fall nachträglich was dazu haben möchtest, hält der DL natürlich die Hand auf.
Je nach welche Punkte zu treffen, wird das Problem mit einem Proxy erneut auftreten. Was passiert wenn der Proxy ausfällt. Dann geht vermutlich an keinem Client mehr das Internet. Ich denke, das ist nicht zu Ende gedacht sondern ein Schnellschuss und zwar nicht technisch sondern organisatorisch/wirtschaftlich.
Gruß,
Dani
Warum die Firewall durch einen DL betreut wird, hat vermutlich (mehrere) gute Gründe. Sei es Wissen, sei es Fachpersonal, sei es Zeit, sei es rechtliche Themen. Die Firewall wird als ManagedServer inkl. einem bestimmten Kontigent an Änderungen gemietet sein. Wenn du so wie in diesem Fall nachträglich was dazu haben möchtest, hält der DL natürlich die Hand auf.
Je nach welche Punkte zu treffen, wird das Problem mit einem Proxy erneut auftreten. Was passiert wenn der Proxy ausfällt. Dann geht vermutlich an keinem Client mehr das Internet. Ich denke, das ist nicht zu Ende gedacht sondern ein Schnellschuss und zwar nicht technisch sondern organisatorisch/wirtschaftlich.
Gruß,
Dani
Wir haben auch einen Dienstleister für unsere Firewall, aber es ist wie gesagt unsere Firewall und kleine Änderungen machen wir auch selbst, wie sowas. wenn es aber um etwas größeres geht (z. B. Firmwareupdates), dann lassen wir da schon den Profi dran, denn wenn ich beim Update irgendwas falsch mache, dann fehlt mir einfach die Erfahrung um schnell den Fehler zu finden. Der externe Dienstleiser, der das jede Woche macht, findet den Fehler deutlich schneller als der interne IT-Admin, der das ganze nur alle 6 bis 12 Monate mal anklickt. Aber Dinge, die im Alltag anfallen, sollte man auch selbst machen können. Und vor allem: Wenn es eine Firewall gibt, die das kann, dann ist alles andere nur ein rumgefrickel, was der User dann auch irgendwie umgehen kann.
Meiner Meinung nach: Selbst wenn er jetzt noch einen Proxy für die User aufsetzt und diesen Verteilt, dann hindert es den User nicht den Proxy wieder auf den jetzigen zu ändern um die GPO zu umgehen. Klar, nur temporär bis sich die GPO wieder aktualisiert, aber es geht. Und zu dem Gefrickel mit der Host-Datei sage ich lieber mal nichts. Oder doch: Lass es
Meiner Meinung nach gibt es nur wenige Firmen, die wirklich eine Blacklist-Firewall benötigen. Überleg lieber mal ob ihr dazu gehört und wenn nicht, dann stell die Firewall auf Whitelisting um. Das Ganze ist einmalig ein gewisser Aufwand, lohnt sich aber aus dem Sicherheitsaspekt deutlich.
dann klick aufs Herz
Gruß
Doskias
Meiner Meinung nach: Selbst wenn er jetzt noch einen Proxy für die User aufsetzt und diesen Verteilt, dann hindert es den User nicht den Proxy wieder auf den jetzigen zu ändern um die GPO zu umgehen. Klar, nur temporär bis sich die GPO wieder aktualisiert, aber es geht. Und zu dem Gefrickel mit der Host-Datei sage ich lieber mal nichts. Oder doch: Lass es
Meiner Meinung nach gibt es nur wenige Firmen, die wirklich eine Blacklist-Firewall benötigen. Überleg lieber mal ob ihr dazu gehört und wenn nicht, dann stell die Firewall auf Whitelisting um. Das Ganze ist einmalig ein gewisser Aufwand, lohnt sich aber aus dem Sicherheitsaspekt deutlich.
dann klick aufs Herz
Gruß
Doskias
Frage ist eh ob die Firewall das kann. Solche Services haben nicht alle. Wir haben als Fw WatchGuard und als AV TrendMicro. Von TM auch einen Webproxy zum Schutz von an die 100 POS. URL Freigaben sind zwar erst nervig, aber später sind es nur wenige die dazu kommen. SSL Inspection muss man sich auch überlegen.
Zumindest kann man es dann den DL in die Schuhe schieben Manche werden ja zertifiziert, wie bei Intel und Co. Lustige Videos und ein paar Fragen. Gut es gibt auch Hersteller die mir ihren Koffer und Kabeln ankommen und einen Mikrokosmos aufbauen. Da nimmt man dann einiges mit. Echte Fälle halt.
@Dani Update ist immer so ein Punkt. Im Worst-Case läuft aber auch das bei vielen gleich ab. Ob ich einen Zyxel WLAN Controller oder eine Watchguard hab. Reconvery ist meist auf den letzten Seiten beschrieben. Ich weiss auch nicht ob der Kofferjunge mit der Appliance im Gepäck das in 8 Std. auch mit schafft. Das gute ist, dass man das Problem dann nach extern verlagern kann.
Bei unserer WatchGuard sind historisch an die 120 Rules. Alias mehr oder miner nach eigenen Standard:
- H_ für Host
- N_ für Netz
- H_EXT_TRU_ extern trusted.
Auch ein Experte müsste sich da einmal zurecht finden. Dann wäre es wiederum schon besser, wenn alles aus einer Hand kommt - oder zumindest gut dokumentiert ist. Policy ist ja mitunter nicht nur eine schnöde Regel sonder kann durch policy based routing u.ä. noch andere Sauereien machen. Da wieder alle Gewerke unter einen Hut zu bringen ist auch nicht einfach. Kommt auf die größe und Dokumentation an. Und ob wer Bock auf seinen Job hat, oder sich dadurch unabkömmlich machen will.
Denke sowas kennen wir alle.
Zumindest kann man es dann den DL in die Schuhe schieben Manche werden ja zertifiziert, wie bei Intel und Co. Lustige Videos und ein paar Fragen. Gut es gibt auch Hersteller die mir ihren Koffer und Kabeln ankommen und einen Mikrokosmos aufbauen. Da nimmt man dann einiges mit. Echte Fälle halt.
@Dani Update ist immer so ein Punkt. Im Worst-Case läuft aber auch das bei vielen gleich ab. Ob ich einen Zyxel WLAN Controller oder eine Watchguard hab. Reconvery ist meist auf den letzten Seiten beschrieben. Ich weiss auch nicht ob der Kofferjunge mit der Appliance im Gepäck das in 8 Std. auch mit schafft. Das gute ist, dass man das Problem dann nach extern verlagern kann.
Bei unserer WatchGuard sind historisch an die 120 Rules. Alias mehr oder miner nach eigenen Standard:
- H_ für Host
- N_ für Netz
- H_EXT_TRU_ extern trusted.
Auch ein Experte müsste sich da einmal zurecht finden. Dann wäre es wiederum schon besser, wenn alles aus einer Hand kommt - oder zumindest gut dokumentiert ist. Policy ist ja mitunter nicht nur eine schnöde Regel sonder kann durch policy based routing u.ä. noch andere Sauereien machen. Da wieder alle Gewerke unter einen Hut zu bringen ist auch nicht einfach. Kommt auf die größe und Dokumentation an. Und ob wer Bock auf seinen Job hat, oder sich dadurch unabkömmlich machen will.
Denke sowas kennen wir alle.
@Doskias
@Yaligan
Gruß,
Dani
Aber Dinge, die im Alltag anfallen, sollte man auch selbst machen können. Und vor allem: Wenn es eine Firewall gibt, die das kann, dann ist alles andere nur ein rumgefrickel, was der User dann auch irgendwie umgehen kann.
Grundsätzlich bin ich bei dir. Es gibt aber Szenarien, wo es um rechtlichen Themen und/oder Haftung bei Fehlkonfigurationen geht. Da sagen dir alle seriösen Dienstleister "Entweder ihr oder mir, aber nicht beide".Meiner Meinung nach: Selbst wenn er jetzt noch einen Proxy für die User aufsetzt und diesen Verteilt, dann hindert es den User nicht den Proxy wieder auf den jetzigen zu ändern um die GPO zu umgehen. Klar, nur temporär bis sich die GPO wieder aktualisiert, aber es geht.
Man kann die Einstellungen doch vor Änderungen sperren. Unabhängig davon würde ich sowas mit Hilfe von WPAD umsetzen. Um so wenig wie möglich an den Clients zu verändern und maximale Flexibilität zu haben.@Yaligan
Und ja die 475€ für die Arbeit war meinem Chef wohl zu teuer :D
Einmalig für die EInrichtung der Konfiguration auf der Firewall?Gruß,
Dani
Moin,
ich denke Ihr habt ein strategisches Problem bei der Ausrichtung euerer IT.
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
Dann darf man sich auch nicht beschweren, wenn der Dienstleister für jeden Furz eine Rechnung schreibt.
Da stimmt euere Kostenkalkulation nicht.
ich denke Ihr habt ein strategisches Problem bei der Ausrichtung euerer IT.
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
Dann darf man sich auch nicht beschweren, wenn der Dienstleister für jeden Furz eine Rechnung schreibt.
Da stimmt euere Kostenkalkulation nicht.
450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Also selbst bei einer gut gemeinten Stunde Aufwand ist das viel zu viel - da braucht man ja keinen IT-Forensiker dafür, sondern maximal nen Techniker oder einen guten Azubi...
Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Wir haben auch einen managed service - der kostet im Monat für 3 Standorte gute 950 Euro und solche "Kleinigkeiten" sind da inkludiert, wenn man nicht gerade jeden zweiten Tag ne Änderung will.
Also selbst bei einer gut gemeinten Stunde Aufwand ist das viel zu viel - da braucht man ja keinen IT-Forensiker dafür, sondern maximal nen Techniker oder einen guten Azubi...
Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Wir haben auch einen managed service - der kostet im Monat für 3 Standorte gute 950 Euro und solche "Kleinigkeiten" sind da inkludiert, wenn man nicht gerade jeden zweiten Tag ne Änderung will.
Moin,
Gruß,
Dani
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
wir haben auch Firewalls, die die IT nicht administrieren darf. Da kümmert sich auch ausschließlich ein Dienstleister drum. Es gibt da schon gute Gründe dafür. 450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Ich vermute die 450€ sind nicht für die Änderung sondern für die Implementierung, Testing, Dokuemtation (Einrichtung) gedacht. Und dafür sind 450,00€ nicht viel, wenn man bedenkt dass der Stundensatz bei 140-220€ (Netto) liegt. Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Davor evtl. die Vertäge anschauen (die du und ich nicht kennen) und daraus Anforderungen, Vor- und Nachteile abwiegen. Statt gleich mit einem Wechsel des DL zu kommen ohne Datengrundlage.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
wir haben auch Firewalls, die die IT nicht administrieren darf. Da kümmert sich auch ausschließlich ein Dienstleister drum. Es gibt da schon gute Gründe dafür. 450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Ich vermute die 450€ sind nicht für die Änderung sondern für die Implementierung, Testing, Dokuemtation (Einrichtung) gedacht. Und dafür sind 450,00€ nicht viel, wenn man bedenkt dass der Stundensatz bei 140-220€ (Netto) liegt. Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Davor evtl. die Vertäge anschauen (die du und ich nicht kennen) und daraus Anforderungen, Vor- und Nachteile abwiegen. Statt gleich mit einem Wechsel des DL zu kommen ohne Datengrundlage.Gruß,
Dani
@Dani:
Es gibt sicher für alles "Gründe". Wenn du magst kannst du mir gerne mal die Gründe für einen solchen Mischbetrieb schreiben - würde mich sehr interessieren.
Zu den 450€...Also mal ehrlich... Bei Sophos ist das ein Aufwand von nicht mal 10 Minuten. Bei so einer kleinen Änderung dauert die Dokumentation auch vielleicht ne Viertelstunde.
Zum Testen gibt es da auch nicht viel - nochmal gut gemeinte 30 Minuten.
Und das sind alles keine Tätigkeiten für die man einen Senior Techniker braucht, der einen entsprechenden Stundensatz hat.
Aber selbst wenn der Stundensatz So ist, was machst du dann mit den restlichen zwei Stunden damit man ungefähr auf die 450€ kommt?
Dienstleister heißt für mich, dass das jemand ist, der weiss was er tut und demzufolge schneller und sicherer ist, als wenn man sich das selbst googled und demzufolge effizient und schnell eine solche kleine Aufgabe löst.
Wenn der also zwei Stunden überlegt was er für schöne Worte auf die Rechnung schreibt, damit die 450€ gerechtfertigt sind, ist mein Vorschlag sich mit den Verträgen und Konkurrenten auseinander zu setzen nicht abwegig.
Wo du allerdings völlig recht hast, ist, dass mehr Informationen zum Umfeld nicht schlecht wären.
Also ich "muss" jetzt hier mal eine Lanze für den Dienstleister brechen, auch wenn ich geschrieben habe, dass es nicht länger als 15 Minuten dauert, da sind wir uns wohl alle einige, egal ob Sophos oder Watchguard oder was auch immer. Das worum es hier geht, ist eine standardisierte Basisfunktion einer anständigen Firewall. Aber: Mir ist durchaus bewußt, dass es Dienstleister gibt, die ein durchdachtes Change-Management haben. Wenn es noch keine Proxy-Gruppen im Ad gibt und keine Blacklist- oder Whitelist-Eisntellungen auf der Firewall, dann können da gut und gerne zwei oder drei Stunden zusammen kommen. Da geht es dann nicht um das was, sondern um das wie.
Gehen wir davon aus, es gibt keien Ad-Gruppen udn keine FW-Regel. Dann muss erstmal ein CR eingereicht werden, um die AD-Grzuppen anzulegen, die Firewallfunktion einzurichten, die Regel einzuriochten. Dann muss das ganze erstmal im Testsystem eingerichtet werden, und getestet werden. Dann gibt es darüber ein Test, Abnahme und Durchführungsprotokoll und dann wird der CR genehmigt und erst dann im Echtsystem 1:1 umgesetzt. Und im Anschluss muss das ganze dann noch in die Kundendokumentation. Und schwubs hast du nen halben Tag Aufwand an mehreren Tagen zusammen.
Gehen wir davon aus, es gibt keien Ad-Gruppen udn keine FW-Regel. Dann muss erstmal ein CR eingereicht werden, um die AD-Grzuppen anzulegen, die Firewallfunktion einzurichten, die Regel einzuriochten. Dann muss das ganze erstmal im Testsystem eingerichtet werden, und getestet werden. Dann gibt es darüber ein Test, Abnahme und Durchführungsprotokoll und dann wird der CR genehmigt und erst dann im Echtsystem 1:1 umgesetzt. Und im Anschluss muss das ganze dann noch in die Kundendokumentation. Und schwubs hast du nen halben Tag Aufwand an mehreren Tagen zusammen.