informatiksurfing
Goto Top

Wie schränkt man am besten die Internetnutzung ein

Hey ich habe mal eine frage und zwar bin ich dabei einen Zero Trust User und PC aufzubauen.

Dieser darf nur 2 Websiten im Internet besuchen alles andere muss verboten werden und das auch verlässlich.

Am besten sowas wie eine GPO oder so, Router Lösungen und Routing Wege brauche ich keine.
Wie würdet ihr das machen und gerne mit einem kleinen Beispiel naja ich freue mich auf eure Antworten.
Lg

Content-ID: 671114

Url: https://administrator.de/forum/wie-schraenkt-man-am-besten-die-internetnutzung-ein-671114.html

Ausgedruckt am: 13.03.2025 um 08:03 Uhr

kpunkt
kpunkt 03.02.2025 aktualisiert um 16:13:08 Uhr
Goto Top
chiefteddy
chiefteddy 03.02.2025 aktualisiert um 17:10:27 Uhr
Goto Top
"Richtige" Firewall mit Wihtlist, gegebenenfalls mit User-Autorisierung.

Alles was lokal gemacht wird, kann man "aushebeln".

Jürgen
Lochkartenstanzer
Lochkartenstanzer 03.02.2025 aktualisiert um 16:30:31 Uhr
Goto Top
Zitat von @informatiksurfing:

Dieser darf nur 2 Websiten im Internet besuchen alles andere muss verboten werden und das auch verlässlich.

Am besten sowas wie eine GPO oder so, Router Lösungen und Routing Wege brauche ich keine.


Diese beiden Randbedingungen schließen sich gegenseitig aus. Alles was auf dem PC selbst eingerichtet wird ist nicht verlässlich.

Einigermaßen Zuverlässig ist nur ei e Firewall oder ein Applikation le El gateway, an dem sich der User Authentifizierung muß (und folglich auch alle anderen User, damit sie mehr dürfen.)

lks
radiogugu
radiogugu 03.02.2025 um 16:59:24 Uhr
Goto Top
Nabend.

Darf sich dieser User auf allen PC anmelden, oder nur diesem einen? Ist es nur einzelner User oder mehrere oder gar alle (wie viele eigentlich insgesamt)?

Dann diesen PC als Objekt mittels IP / MAC anlegen und entsprechende Firewall Regeln definieren mit einer Whitelist.

Im AD (nehme ich an das Eines vorhanden ist) die Anmeldung des speziellen Users auf diesen einen oder die entsprechenden PC beschränken.

Gruß
Marc
em-pie
em-pie 03.02.2025 aktualisiert um 18:10:06 Uhr
Goto Top
Moin,

Das schlimmste (und leicht auszuhebelnde): irgendeinen fingierten Proxyserver setzen und als Ausnahme die beiden Websites.

Ordentlich: setze einen Proxyserver irgendwo zwischen PC und Firewall: alle dürfen alles, bis auf die beiden ZT-User… da kann der Client dann auch nichts manipulieren. Setzt aber ein zentrales Benutzer-Verzeichnis voraus.
ukulele-7
ukulele-7 04.02.2025 aktualisiert um 08:40:59 Uhr
Goto Top
Diese beiden Randbedingungen schließen sich gegenseitig aus. Alles was auf dem PC selbst eingerichtet wird ist nicht verlässlich.

Das. Und außerdem ist Zero Trust hier der falsche Begriff. Bei Zero Trust sicherst du die Server / Dienste ab, unabhängig davon, von wo die Verbindungen eingehen. Zero Trust bedeutet nicht "Keine Berechtigungen".
informatiksurfing
informatiksurfing 04.02.2025 um 15:51:14 Uhr
Goto Top
genau also der User darf sich nur an diesem einen Gerät anmelden

könntest du mir deinen Weg nochmal beschreiben das wäre super ich denke die Ansätze passen schon gut.


ps für die anderen ich bau kein Proxy Server oder sonst was das Gerät wird einmal im Jahr für Schulung und Audit benutz.( da habe ich im Tages geschafft viel besseres zu tun XD )
christianschwarz65
christianschwarz65 07.02.2025 um 11:10:39 Uhr
Goto Top
Wir nutzen hier in unserer Bibliothek das Programm SiteKiosk