10
Gruppenrichtlinie, die benutzung von Proxy erzwingt bombensicher?
Hallo Admins,
In unserer Firma haben wir eine reine Novelllandschaft und keine Domaine.
Allerdings kann man die Gruppenrichtlinien dennoch an den einzelnen Clients manuell einstellen.
Es gibt nun einige PCs in der Firma, die nur ueber einen Proxyserver ins Internet gehen sollen.
Ich habe somit den ipCop installiert und ihnen den Proxy eingetragen.
Allerdings koennen die Arbeiter an den PCs die Einstellung ja auch einfach wieder zuruecksetzen.
Um das zu verhindern haben sie jedoch nur beschraenkte Accounts und koennen nun
nurnoch ueber den Proxy ins Internet, weil sie keine Moeglichkeit haben die Einstellung heraus zu nehmen.
(Wenn die Einstellung herausgenommen wird, haetten sie naemlich normales Internet, da in unserem gesamten
Netz, jeder automatisch am Modem haengt)
Nun interessiert mich jedoch ob diese Loesung bombensicher ist, wenn
sie nicht das Administratorkennwort haben.
Welche Moeglichkeiten koennte es eventuell geben, damit sie den Proxy doch umgehen koennten?
Anderen Browser installieren?
Es waere nett, wenn ihr mir da helfen koenntet.
Bis dann
David
In unserer Firma haben wir eine reine Novelllandschaft und keine Domaine.
Allerdings kann man die Gruppenrichtlinien dennoch an den einzelnen Clients manuell einstellen.
Es gibt nun einige PCs in der Firma, die nur ueber einen Proxyserver ins Internet gehen sollen.
Ich habe somit den ipCop installiert und ihnen den Proxy eingetragen.
Allerdings koennen die Arbeiter an den PCs die Einstellung ja auch einfach wieder zuruecksetzen.
Um das zu verhindern haben sie jedoch nur beschraenkte Accounts und koennen nun
nurnoch ueber den Proxy ins Internet, weil sie keine Moeglichkeit haben die Einstellung heraus zu nehmen.
(Wenn die Einstellung herausgenommen wird, haetten sie naemlich normales Internet, da in unserem gesamten
Netz, jeder automatisch am Modem haengt)
Nun interessiert mich jedoch ob diese Loesung bombensicher ist, wenn
sie nicht das Administratorkennwort haben.
Welche Moeglichkeiten koennte es eventuell geben, damit sie den Proxy doch umgehen koennten?
Anderen Browser installieren?
Es waere nett, wenn ihr mir da helfen koenntet.
Bis dann
David
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107150
Url: https://administrator.de/contentid/107150
Printed on: April 16, 2024 at 05:04 o'clock
10 Comments
Latest comment
Mit einem anderen Browser ginge das auf jeden Fall... USB-Stick mit nem portable Firefox drauf und ab gehts... 
Servus,
Bombensicher in verbindung mit Microsoft?
Es gibt viele Wege, die ich in solchen Fällen gerne für mich behalte...
... einer wurde ja schon genannt..
Und von daher:
Nimm eine echte Firewall, denn damit löst du gleichzeitig auch viele andere Probleme und nicht nur "problemchen"
Gruß
Bombensicher in verbindung mit Microsoft?
Es gibt viele Wege, die ich in solchen Fällen gerne für mich behalte...
... einer wurde ja schon genannt..
Und von daher:
- für jedes geschlossene Türchen gibts auch einen Schlüssel und in einem Thread alle Türchen und Schlüssel zu hinterlegen....
Nimm eine echte Firewall, denn damit löst du gleichzeitig auch viele andere Probleme und nicht nur "problemchen"
Gruß
Also mit einer richtigen GPO aus dem AD kriegst den IE schon dicht... aber die anderen Wege aussen rum sind da eben schwieriger. Sobald der User halt irgendwo her die passende exe ins Netz kriegt, hat er gewonnen erstmal.
Ich würde Dein Netz eher so umbauen dass niemand ohne Proxy rauskommt und für bestimmte User/Clients Ausnahmen auf dem Proxy definieren...
Gruß,
Sven
Ich würde Dein Netz eher so umbauen dass niemand ohne Proxy rauskommt und für bestimmte User/Clients Ausnahmen auf dem Proxy definieren...
Gruß,
Sven
Hallo ihr,
Leider wird mir von unserem Chef nicht genehmigt einen Proxy fuer alle User einzurichten.
Er moechte, dass er nur fuer einige bestimmte PCs aktiv ist und alle anderen, ALLES duerfen.
Dennoch sollten sie im Firmennetz sein.
Frage ist ob es nicht auch Gruppenrichtlinien gibt, die zum Beispiel das Installieren von Software verhindern und den User so einschranken, dass er wirklich nur noch den Internetexplorer benutzen kann.
Bis dann
David
Leider wird mir von unserem Chef nicht genehmigt einen Proxy fuer alle User einzurichten.
Er moechte, dass er nur fuer einige bestimmte PCs aktiv ist und alle anderen, ALLES duerfen.
Dennoch sollten sie im Firmennetz sein.
Frage ist ob es nicht auch Gruppenrichtlinien gibt, die zum Beispiel das Installieren von Software verhindern und den User so einschranken, dass er wirklich nur noch den Internetexplorer benutzen kann.
Bis dann
David
hallo,
wir haben es bei uns so gelöst, dass das Internet nur mit Eingabe des Gateways funktioniert, oder der Proxyserver eingetragen ist. Die Benutzer die nicht über den Proxy ins Internet geben sollen, nehme ich den Proxy-Server einfach raus und über den DHCP-Server gebe ich für den Rechner eine Reservierung mit Gateway.
Standardmäßig wird der Gateway nicht mitgeliefert, aber der Proxy über GPO. Etwas schwierig erklärbar, funktioniert aber einfach. bb willi
wir haben es bei uns so gelöst, dass das Internet nur mit Eingabe des Gateways funktioniert, oder der Proxyserver eingetragen ist. Die Benutzer die nicht über den Proxy ins Internet geben sollen, nehme ich den Proxy-Server einfach raus und über den DHCP-Server gebe ich für den Rechner eine Reservierung mit Gateway.
Standardmäßig wird der Gateway nicht mitgeliefert, aber der Proxy über GPO. Etwas schwierig erklärbar, funktioniert aber einfach. bb willi
Aua...
@ Peter: das tut weh - und ist schlimm genug - wenn Ihr das so macht - bitte nimm deinen Tipp zurück -der ist sowas von daneben...
@ Kleine Kinder - bitte nicht nachmachen...der Erklärbär hat einen im Tee und weiß nicht, was er schreibt....
Das "funktioniert" nur, wenn als DNS der DNS des Providers genommen wird und wer sowas macht.....
Wenn schon "frickeln - dann schon lieber das Gateway rausnehmen
@ Peter: das tut weh - und ist schlimm genug - wenn Ihr das so macht - bitte nimm deinen Tipp zurück -der ist sowas von daneben...
@ Kleine Kinder - bitte nicht nachmachen...der Erklärbär hat einen im Tee und weiß nicht, was er schreibt....
dass das Internet nur mit Eingabe des DNS-Servers funktioniert...
Das "funktioniert" nur, wenn als DNS der DNS des Providers genommen wird und wer sowas macht.....
Wenn schon "frickeln - dann schon lieber das Gateway rausnehmen
tut mir leid, das war ein Fehler, der gateway war gemeint.
Wir haben Time for Kids und einen SpeedPort.
Die Schülerrechner bekommen den Standard vom DHCP mit den IPs und dem Subnet.
Der Lehrerrechner bekommt eine Reservierung vom DHCP mit IP, Subnet und Gateway
Die Rechner, welche ohne Tfk ins Internet sollen bekommen eine Reservierung vom DHCP mit ip, subnet, gateway, aber über die GPO kommt der Proxy nicht.
Der Gateway geht dann direkt an unseren Speedport
Wieso nicht nachmachen????? Funktioniert bei uns wunderbar. Wenn ich am Lehrerrechner mal was ohne Tfk mache, ist es nach dem Neustart, wegen GPO, wieder aktiv. Wunderbar. mfg willi
Wir haben Time for Kids und einen SpeedPort.
Die Schülerrechner bekommen den Standard vom DHCP mit den IPs und dem Subnet.
mit GPO Proxy über Tfk
Der Lehrerrechner bekommt eine Reservierung vom DHCP mit IP, Subnet und Gatewaymit GPO Proxy über Tfk, wenn ich doch mal was ohne tfk machen will kann ichs schnell ausstellen.
Die Rechner, welche ohne Tfk ins Internet sollen bekommen eine Reservierung vom DHCP mit ip, subnet, gateway, aber über die GPO kommt der Proxy nicht.Der Gateway geht dann direkt an unseren Speedport
Wieso nicht nachmachen????? Funktioniert bei uns wunderbar. Wenn ich am Lehrerrechner mal was ohne Tfk mache, ist es nach dem Neustart, wegen GPO, wieder aktiv. Wunderbar. mfg willi
Zitat von @42687:
tut mir leid, das war ein Fehler,
schon besser tut mir leid, das war ein Fehler,
der gateway war gemeint.
Das DNS, der Gateway ist ja quasi fast das gleiche - das kann man(n) schon mal wechverseln Gut abgeschrieben - ob das auch deine Antwort gewesen wäre, wenn meine letzte Zeile eine andere gewesen wäre?
Man(n) weiß es nicht, man munkelt nur
Wieso nicht nachmachen?????
Vielleicht weil obige "erklärung" auch nicht die Zeilen sind, die ich mit+ NICHT NACHMACHEN
kommentiert habe
? ich darf doch an dieser Stelle nur ein ? setzen - oder bringen mehr ? auch mehr durchblick?Funktioniert bei uns wunderbar.
und auf einmal ist das dann doch nicht so schwer zu erklären, wie du es oben noch geschrieben hast?
Wunderbar...
...rausgeschrieben - kompliment - ein Schelm, wer böses dabei denktGruß
und nichts für ungut - aber nach der Steilvorlage mit anschliessendem Fallrückzieher komm ich nur noch einem Köpfer an den Ball und bevor der ins aus geht...
Hi David,
interessant in deinem Fall ist doch, warum die einen Jungs über einen Proxy ins Internet sollen und der Rest nicht. Was soll für diese Mitarbeiter verboten werden?
Interessant wäre des weiteren wie ihr bisher ins Internet geht. Seit ihr mit STM-1 angebunden und benutzt einen Cisco Catalyst oder ist ein Speedoort W700V mit DSL16000 am Start?! Ich frag deshalb so blöd nach, da meiner Meinung nach dort der Knackpunkt ist. Mit einem richtigen Router (z.B. Linksys) oder ne zusätzlichen Firewall ist das nämlich dein Problem kein Problem mehr.
Grüße,
Dani
interessant in deinem Fall ist doch, warum die einen Jungs über einen Proxy ins Internet sollen und der Rest nicht. Was soll für diese Mitarbeiter verboten werden?
Interessant wäre des weiteren wie ihr bisher ins Internet geht. Seit ihr mit STM-1 angebunden und benutzt einen Cisco Catalyst oder ist ein Speedoort W700V mit DSL16000 am Start?! Ich frag deshalb so blöd nach, da meiner Meinung nach dort der Knackpunkt ist. Mit einem richtigen Router (z.B. Linksys) oder ne zusätzlichen Firewall ist das nämlich dein Problem kein Problem mehr.
Grüße,
Dani
Was meinst du damit, dass mein Problem, kein Problem mehr ist?
Was aendert ein Router an meinem Problem?
Ins Internet gehen alle ueber einen Hauptswitch.
Zwischen Switch und Modem, haengt unsere Firebox.
Das Routing zwischen externen und internem Netz uebernimmt die Firebox.
Was aendert ein Router an meinem Problem?
Ins Internet gehen alle ueber einen Hauptswitch.
Zwischen Switch und Modem, haengt unsere Firebox.
Das Routing zwischen externen und internem Netz uebernimmt die Firebox.