11
Internet für gewisse User sperren
Hallo Leute,
mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier jetzt nochmal gerne bei ein paar Punkten nachhaken, die ich so nicht gefunden habe.
Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Auch will ich nicht den ganzen IE verbieten -> Intranet!
Warum nur IE: Wir haben den AppLocker im Einsatz. Sprich andere Programme wie gewollt kann der User sowieso nicht starten.
Meine Frage ist, ob es nicht eine einfache Möglichkeit gibt, per GPO das Internet für gewisse Zonen im IE zu sperren oder ob ich wirklich an einem Proxy nicht vorbei komme.
Herzlichen Dank
Patrick
mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier jetzt nochmal gerne bei ein paar Punkten nachhaken, die ich so nicht gefunden habe.
Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Auch will ich nicht den ganzen IE verbieten -> Intranet!
Warum nur IE: Wir haben den AppLocker im Einsatz. Sprich andere Programme wie gewollt kann der User sowieso nicht starten.
Meine Frage ist, ob es nicht eine einfache Möglichkeit gibt, per GPO das Internet für gewisse Zonen im IE zu sperren oder ob ich wirklich an einem Proxy nicht vorbei komme.
Herzlichen Dank
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 226542
Url: https://administrator.de/contentid/226542
Printed on: April 18, 2024 at 00:04 o'clock
11 Comments
Latest comment
Zitat von @Badger:
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Warum? das ist der sauberste Weg, durch policies ordentlich zu regeln, wer was wann wo darf.
Mit einem squid ist das in Minuten erledigt und wenn Du noch einen squidguard dazunimmst, kannst Du sogar den malwarescan mit einbauen. das ist sozusagen "best practice".
lks
Warum nicht über die Firewall?
Hallo, Badger,
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden User nicht in den Einstellungen rumfummeln dürfen.
Gruß
hugonatter
Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum
Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Auch will ich nicht den ganzen IE verbieten -> Intranet!
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum
Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Auch will ich nicht den ganzen IE verbieten -> Intranet!
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden User nicht in den Einstellungen rumfummeln dürfen.
Gruß
hugonatter
Und dann bootet der User ein Live Linux oder Winblows vom USB Stick und aus ists mit solchen Frickeleine wie GPO usw.
Helfen tut eigentlich nur eine Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ggf. in Verbindung mit einem Proxy wie z.B. Squid
Helfen tut eigentlich nur eine Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ggf. in Verbindung mit einem Proxy wie z.B. Squid
Danke euch allen für die Tipps.
Bez. Proxy:
ich wollte einfach schauen, ob es einen schnelleren Weg über die GPOs gibt, als dafür extra einen Proxy zu konfigurieren.
Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher nicht notwendig war.
@114685:
Danke für den Tipp. So gehts natürlich auch. Das mit den Ausnahmen habe ich so nicht bedacht.
Aber für mich persönlich, ist das halt mit dem falsch eingetragenen Proxy einfach kein sauberer Weg. Vlt. sehe ich das etwas engstirnig. Aber da bevorzuge ich den Weg, lieber gleich einen Proxy einzurichten.
@aqui:
Da hast du natürlich total recht. Aber sobald ein Mitarbeiter einen PC braucht, gibt es auch Möglichkeiten, ins Internet zu gehen oder auf irgend einen Weg Daten zu kopieren. Die Frage ist nur, wie leicht macht man es den Mitarbeitern.
Gruß
Patrick
Bez. Proxy:
ich wollte einfach schauen, ob es einen schnelleren Weg über die GPOs gibt, als dafür extra einen Proxy zu konfigurieren.
Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher nicht notwendig war.
@114685:
Danke für den Tipp. So gehts natürlich auch. Das mit den Ausnahmen habe ich so nicht bedacht.
Aber für mich persönlich, ist das halt mit dem falsch eingetragenen Proxy einfach kein sauberer Weg. Vlt. sehe ich das etwas engstirnig. Aber da bevorzuge ich den Weg, lieber gleich einen Proxy einzurichten.
@aqui:
Da hast du natürlich total recht. Aber sobald ein Mitarbeiter einen PC braucht, gibt es auch Möglichkeiten, ins Internet zu gehen oder auf irgend einen Weg Daten zu kopieren. Die Frage ist nur, wie leicht macht man es den Mitarbeitern.
Gruß
Patrick
Zitat von @Badger:
Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher
nicht notwendig war.
Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher
nicht notwendig war.
Ich denke das du mit dieser Methode am besten fährst.
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem Sicherheitskonzept offenbar was nicht stimmt.
Zitat von @114685:
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem
Sicherheitskonzept offenbar was nicht stimmt.
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem
Sicherheitskonzept offenbar was nicht stimmt.
OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
Aber das ist etwas OT bei diesem Thema...
Zitat von @Badger:
OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du
verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du
verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
Deswegen gibt es PCs mit Intrusion detection und abschließbaren Gehäusen. Und ordentliche BIOSe merken sich das Paßwort im nichtflüchtigen Speicher. Bei Consumergeräten fehlt das alles natürlich meistens.
lks
PS: Auch wenn der User weg ist, war ich der Meinung, daß die o.g. Information noch hinzugefügt werden sollte.
Zitat von @114685:
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht
vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die
entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden
User nicht in den Einstellungen rumfummeln dürfen.
Gruß
hugonatter
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht
vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die
entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden
User nicht in den Einstellungen rumfummeln dürfen.
Gruß
hugonatter
Ich habe mir das ganze nun soweit im Detail angeschaut und habe festgestellt, dass dies für mich die einfachste Lösung ist.
Habe aber dazu jetzt eine Frage:
Habe in den GPOs den Proxy eingetragen und diese dann für einen Testbenutzer aktiviert.
Läuft alles perfekt - der Proxy wird richtig eingetragen.
Entferne ich den Benutzer aus der Sicherheitsfilterung, mache eine Abmeldung (mit gpupdate), bleibt der Proxy dennoch eingetragen.
Warum ist das so? Die GPO greift doch gar nicht mehr!
Muss ich jetzt extra eine GPO mit "no-proxy" einrichten, damit die Einstellungen wieder so gesetzt werden, dass kein Proxy eingetragen ist?
Grüße
Patrick
Na ja und wenn der User eine Live CD oder USB Stick bootet oder mit einem anderen OS generell online ist, ist diese ganze GPO Frickelei so oder so Makulatur.
Sicher ist was anderes....
Sicher ist was anderes....
