Downloads in der Firma, wie weiter?

Du musst das abschaffen. Lokale Admins haben in einem Betrieb nichts verloren. Gut, überall gibt es die ein oder andere Ausnahmen, aber das darf nicht zur Gewohnheit werden. Du bist ja verantwortlich für das Funktionnieren des Systems. Das kannst du so nicht. Also muss was verändert werden.

Wenn die PCs an der Domaine angemeldet sind, kannst du über die Computerrichtlinien steueren dass der Windows Installer blockiert wird. Und sonst ist es am besten erstmal alles zuzumachen, was du für nötig empfindest und dann nach und nach das erlauben was nötig ist.

Ansonsten kannst du schauen ob du einen Proxy zwischenklemmen kannst. Aber das behept nur die Symptome, denn SOftware kriegst du überall runter zu laden.



Warum nicht?

Hy,

du solltest dir mal das Thema Gruppenrichtlinien näher bringen.
Hhier kannst du Userseitig einiges an Restriktionen einstellen.

Was die Downloads angeht fällt mir ad hoc jetzt keine GPO in, aber unter www.gruppenrichtlinien.de findest du sicher Hinweise.

Was die Installationen angeht: mach die User zu Hauptbenutzern oder noch weiter eingeschnürt zu Benutzern. Kann aber u.U. zu Problemen bei div. Software führen
Jedoch kannst du untern den GPO Installationen unterbinden.

Gruß,
Andy

Hallo Cubic83,

so imperativ würde ich das nicht sehen.

Das "Du musst es abschaffen" sollte schon von jemanden abgesegnet werden. Wenn es der Unternehmenskultur erheblich entgegenläuft (so welche Firmen kenne ich auch) wirst Du mit diesem MUSS nicht weit kommen.

Wichtig ist das die Nutzer wissen müssen, was sie dürfen und was nicht. Und im zweiten Schritt kommen die Rechte, Richtlinien und Proxys.


Gruß Miguel

Guten Nabend,

reden ist schon einmal das A&O damit kann man schon einmal viel Gewinnen,dann als nächstes herausfinden warum die GPOs nicht greifen und die Gruppenzugehörigkeiten der User abklären.(mögliche Fehlerursachen)( ich habe auch schon Unternehmen Administriert,wo der Admin der dort vorher Tätig war alle mal pauschal zu Dom-Admins gemacht hat,weil es ja so herrlich einfach war und alles dann lief*seufz*)

Ports an der FW,ISA,etc. sperren, vornehmlich die ,die für emule und co genutzt werden.

Im Zweifelsfall auch mit fixen Profilen anfangen und dort festlegen,wer was darf und Dementsprechend anpassen,zur not auch über die Registry(ich weiß,dass ist viel Arbeit,aber manchmal muss sie sein)

Mit Proxy Arbeiten und ISA (oder auch anderes)einsetzen und mit White und Blacklist arbeiten.

Herausfinden,wer da Fleißig am Downloaden ist mit Netzwerkscannern und die Leute zur rede stellen mit der Deutlichkeit es auch dem Vorgesetzten notfalls zu melden,wenn keine Besserung eintritt und auch darauf aufmerksam,dass Notfalls die Strafbehörden eingeschaltet werden müssen,wenn es sich um Illegale Downloads handelt und parallel dazu,dann die Kündigung mit ins Gewicht fällt.(das lässt Menschen Nachdenken,wenn sie mit Geldstrafen und mehr zu Rechnen haben,inklusive des Arbeitsplatzverlustes).

Kurz gesagt,erst Reden und Deutlich machen,dass es so nicht geht,weil die Sicherheit der Firma und überhaupt auf dem Spiel steht und dann als nächstes mit einigen Handlungen zeigen,dass du es unterbinden kannst und zu guter letzt ihnen von den Vorgesetzten in den Hintern treten lassen bis sie es verstanden haben.(auf diesen Wege hab ich in einer Firma 800 Usern beigebracht,dass die dort nicht alles machen können was sie wollen,Erfolgreich!,wenn auch mit viel Fleißarbeit und konsequenten handeln)

gruß

Hightop

Selbstverständlich hast du Recht. Gerade als Neuling sollte man nicht ohne Unterstützung der GL an die Sache ran gehen.

Das setze ich mal vorraus.

mfG

Hi !


Das ist ein ganz schlauer Vorschlag, dann kann er sie auch gleich zum Admin hochstufen.

Erstmal einen Termin mit der Geschäftsführung ansetzen. Die Risiken, Gefahren und Konsequenzen (Malware, Datenklau, Urheberrecht z.B. bei Filesharing usw.) durchsprechen. Natürlich solltest Du dich ein wenig auf den Termin vorbereiten. Je kompetenter Du wirkst, desto besser kannst Du deine Argumente in der Realität auch umsetzen.

Bei dem Termin einfach mal die Frage in den Raum werfen, was die hohen Herren oder Damen meinen, was es kostet, wenn die IT mal einen Tag (z.B. wegen Malware) komplett steht oder Du mehrere Tage brauchst, um sie wieder in einen stabilen Zustand zu bringen (Datensicherungen einspielen oder evt. Systeme neu aufsetzen). Und ganz klar darauf Hinweisen, dass Du als Admin keine Verantwortung für die IT-Anlage übernehmen und auch die Stabilität nicht versprechen kannst, solange die Mitarbeiter solche Spielchen treiben können. Ist das alles geklärt und schriftlich festgehalten, dann kannst Du dich an die technische Umsetzung machen und nicht vorher.

mrtux

Hallo tuefaeli,

als erstes müssen immer die rechtlichen Rahmenbedingungen für ein Verbot und die Überwachung dieses Verbotes geschaffen werden. Dies kann man mit einer Nutzungsvereinbarung. Mach Deine GL darauf aufmerksam, dass Sie immer mithaften wenn nichts vereinbart wurde und nichts nachvollzogen werden kann. Das wirkt meistens. Dann lass die Nutzungsvereinbarung unterschreiben und erkläre den Leuten warum und wieso (strafrechtliche Folgen wie oben schon jemand erklärt hat) so ein "Schei..." eingeführt wird.
Erst dann kannst Du wirklich rechtssicher tätig werden. Ports sperren kannst Du natürlich schon früher.
Dann kannst Du in Angriff nehmen, die lokalen Adminrechte zu nehmen. Meistens wurden die Rechte nur wegen ein zwei Programmen gewährt. Bei uns war es weil Nutzer Vollzugriff auf ein paar bestimmte Registry-Keys benötigten. Bekommt man aber auch über GPO geregelt.
Ich würde dann noch einen Proxy installieren wie auch schon jemand oben erläutert hat.

Grüße

Rainer

Ein weiteres Argument koennte fuer dich das Problem der downloads.

Wenn einer deiner Nutzer illigal etwas aus eine Tauschboerse downloaded dann ist es immer rech unangenehm wenn die Geschaeftsfuehrung sich der Staatsanwaltschaft erklaeren muss.

Ich kann mich meinen Vorrednern größtenteils anschließen. Natürlich muß man darüber reden und alle Risiken herausstellen und offenlegen. Vor allem aber mußt Du Dich in den Gesprächen absichern und darauf hinweisen, daß Du keine Verantwortung für diese Systeme übernehmen kannst, wenn diese Rechtestrukturen erhalten bleiben. Wie der Kollege schon erwähnte: bereite Dich gut vor, am besten mit einer Liste und eventuell auftretenden Szenarien wie Systemausfälle, Malwarespreading, Urheberrechtsverletzungen (hier haftet in erster Linie die Geschäftsführung) durch Filesharing o.ä., etc. Außerdem solltest Du neben den "klassischen" Risiken erwähnen, daß eine solch unsichere Gesamtstruktur bei einer Infektion mit Schädlingssoftware gegebenenfalls sämtliche Firmeninterna "bösen Buben" preisgibt (Kundendaten, Rechnungen, Know-How, Mails, und und und...). Je nach Branche (z.B. Entwicklung, Konstruktion, ...) kann somit auch die Arbeit von mehreren Jahren (oder tausenden von Arbeitsstunden) in die falschen Hände geraten.

Last but not least: findet ein solches Gespräch mit der GF statt, laß es Dir protokollieren und gegenzeichnen. Das mag für manche Kollegen übertrieben wirken, aber im Normalfall sollte das keine Probleme mit "den Oberen" geben und trägt der eigenen Absicherung bei.

Gruß

Noch eine Ergänzung, damit auch mal ein "Tool" genannt wird. Zur Überwachung welche Programme installiert sind und zur Unterbindung des Starts nicht erwünschter könnte man die kostenpflichtige Software "Miss Marple" der Firma Adlon einsetzen. Das Programm ist in erster Linie für die Inventarisierung und Überwachung von Lizenzen gedacht, kann aber auch den Start unerwünschter, bzw. nicht freigegebener Software unterbinden. So hättest Du bzw. die GL die Möglichkeit, viele Tauschbörsenprogramme, Spiele, Alternative Browser o.ä. von vornherein auszusperren. Wir setzen die Software u.a. auch diesen Gründen bei uns ein, das wir viele Benutzer haben, die unglücklicherweise tatsächlich lokale Admin-Rechte benötigen, damit gewissen Fachprogramme auf dem PC vernünftig funktionieren...

Gruß
Larz