4
Wie kann man beim Terminalserver (RDP) oder allgemein Uploads via Browser verhindern?
Die User arbeiten mit sensiblen Daten auf einem extra eingerichteten Terminalserver via RDP. Alles ist soweit "dicht", nur der Upload via Browser ist noch möglich. Dieser soll verhindert werden.
Dabei bleibt zu erwähnen, dass die User möglichst ungehindert im Internet arbeiten können sollen. Damit verbietet sich das komplette Sperren der ausgehenden Packete via Firewall. Aber wie den Upload begrenzen? Flash und andere Inhalte sollen möglichst ungehindert weiter genutzt weren können. Es würde schon reichen, wenn bestimmete Dateigrößen zum Hchladen gesperrt würden, z.B. Dateien größer 5 Kilobyte.
Hat jemand eine Idee?
Bin für jeden Hilfe dankbar, der Chef winkt nämlich schon mit dem Zeigefinger, hat aber selber keine Vorstellung...
Dabei bleibt zu erwähnen, dass die User möglichst ungehindert im Internet arbeiten können sollen. Damit verbietet sich das komplette Sperren der ausgehenden Packete via Firewall. Aber wie den Upload begrenzen? Flash und andere Inhalte sollen möglichst ungehindert weiter genutzt weren können. Es würde schon reichen, wenn bestimmete Dateigrößen zum Hchladen gesperrt würden, z.B. Dateien größer 5 Kilobyte.
Hat jemand eine Idee?
Bin für jeden Hilfe dankbar, der Chef winkt nämlich schon mit dem Zeigefinger, hat aber selber keine Vorstellung...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139338
Url: https://administrator.de/contentid/139338
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
nur der Upload via Browser ist noch möglich.
Im ISA-Server die POST und PUT-Methoden sperren und für Flash die mms.cfg einrichten um Uploads zu verbieten.
Bleibt noch SSL (was ISA mit ClearTunnel oder FTMG kann) und Java...
...Das is keine leichte Aufgabe. Solange die Nutzer noch voll im Internet surfen können sollen, kannst Du das praktisch nicht dicht machen. Eine Lösung wäre es, den Zugriff auf die Daten und den Zugriff aufs Internet zu trennen. So könntest Du z. B. den Internetzugriff auf dem Thin-Client/PC freigeben und auf dem Terminalserver sperren...dann müssen die User zwar umschalten zum surfen, aber ein Upload wäre unmöglich und sie könnten surfen. Die passenden Zugriffe mußt Du dann nur in der Firewall konfigurieren....
Wir sind selbst ein Betrieb mit Datenschutzklasse 4...Wenn Dir noch was anderes einfällt, wäre ich daran auch interessiert..
Wir sind selbst ein Betrieb mit Datenschutzklasse 4...Wenn Dir noch was anderes einfällt, wäre ich daran auch interessiert..
Danke für Eure Antworten!
Das Stichwort ISA-Server von MS hat mich zu der Überlegung gebracht, es doch mal mit einem Proxy-Server zu versuchen. Ich perönlich habe eine Aversion gegen diese gigantischen Server-Produkte von Microsoft, bei denen man ohne Schulung nicht weit kommt, bzw. ich versuche sparsam mit Diensten und Abhängigkeiten umzugehen, da wir sehr häufig Probleme dann nur noch mit Foren (wie diesem) oder der Hilfe von prof. Dienstleistern lösen konnten - und dabei meine ich nicht die Computerhändler um die Ecke.
Also zurück zur Überlegung: Aus dem Linuxbereich kenne ich Squid. Dieser Proxy kann den Upload ab einer bestimmten Dateigröße blockieren. Idee: der/die Browser auf dem Terminalderver werden zwingend durch den Proxy gejagt, und dieser protokolliert und reduziert gleich noch die Uploads?
Was haltet Ihr davon?
Das Stichwort ISA-Server von MS hat mich zu der Überlegung gebracht, es doch mal mit einem Proxy-Server zu versuchen. Ich perönlich habe eine Aversion gegen diese gigantischen Server-Produkte von Microsoft, bei denen man ohne Schulung nicht weit kommt, bzw. ich versuche sparsam mit Diensten und Abhängigkeiten umzugehen, da wir sehr häufig Probleme dann nur noch mit Foren (wie diesem) oder der Hilfe von prof. Dienstleistern lösen konnten - und dabei meine ich nicht die Computerhändler um die Ecke.
Also zurück zur Überlegung: Aus dem Linuxbereich kenne ich Squid. Dieser Proxy kann den Upload ab einer bestimmten Dateigröße blockieren. Idee: der/die Browser auf dem Terminalderver werden zwingend durch den Proxy gejagt, und dieser protokolliert und reduziert gleich noch die Uploads?
Was haltet Ihr davon?
Grundsätzlich ist es immer eine gute Idee, im Server-Bereich auf MS-Produkte zu verzichten. Aber um Deine Frage zu beantworten, müßtest Du nochmal genau definieren, was Du jetzt eigentlich verhindern willst. Möchtest Du aus Datenschutzgründen jede Art des Transfers von Daten über das Internet verhindern, oder nur bestimmte Dateitypen, bestimmte Dateigrößen etc... Sagen wir es mal so...den letzten größeren Datenskandal z. B: bei der BKK Gesundheit wurde durch den Transfer von Screenshots ausgelöst, die weder groß sind und dazu durch umbenennen auch einfache Filtermechanismen wie das blocken verschiedener Dateitypen verhindert werden kann.
Nichtsdestotrotz ist Squid eine empfehlenswerte Lösung. Den setzen wir selbst seit mehr als 10 Jahren ein...
Nichtsdestotrotz ist Squid eine empfehlenswerte Lösung. Den setzen wir selbst seit mehr als 10 Jahren ein...
