Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Portable Firefox-Anwendung verhindern?

Mitglied: Wingmaker

Wingmaker (Level 1) - Jetzt verbinden

03.04.2006, aktualisiert 07.04.2006, 9574 Aufrufe, 23 Kommentare

Hallo!

In unserem Netzwerk ist ein Webfilter auf dem Gateway installiert, der allerdings (noch) nicht transparent über Port 80 konfiguriert ist, sondern über einen Extra Port den Internetverkehr für spezielle Benutzer überwacht, welche wiederum via Proxyeinstellungen im IE dahingelotst werden. Durch GPO Einstallungen können diese Benutzer auch nichts an den Proxysettings verändern.

Allerdings hat nun der Portable Firefox auf ihren Home-Verzeichnissen Einlauf gefunden, mit welchem sie den Proxy umgehen.

Wie ist es mir möglich, diese Nutzung für diese bestimmte Nutzergruppe zu unterbinden AUßER den Webfilter als transparent umzubiegen (gesamtes Netzwerk würde dann über Filter laufen - hoher Adminaufwand)?

Vielen Dank im Voraus!
Mitglied: BartSimpson
03.04.2006 um 13:15 Uhr
in dem du dem client den DNS Server für die Auflösung der Internet Namen klaust.
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 13:20 Uhr
Klingt ja mächtig interessant, Bart!

Kannst Du das näher beschreiben? (Arbeite mit AD/ win2k3 Server)
Denn DNS Einträge sind doch nur in der ComputerConfig mitzuliefern, oder? Sprich ich mag den Rechner nicht neu hochfahren lassen, um die Änderungen wirksam werden zu lassen. Aber vom Ansatz her verstehe ich, denn DNS Einträge sind keine Browserspezifischen... Lass uns das mal weiterdenken bitte.
Bitte warten ..
Mitglied: BartSimpson
03.04.2006 um 13:28 Uhr
wenn du dhcp benutzt, must du nur die Einstellungen am DHCP Server ändern, dann sollten die Clienst sobald die lease time abgelaufen ist, die neuen Einstellungen bekommen.
Wenn du kein DHCP benutzt, dann muste die Einstellungen an den clients ändern.
Da du aber ja eh ein Proxy benutzt, kann du das ganze auch anders machen, indem du keine IP Pakete(ins/vom INet) der Clienst routen läst. Dann hahen zwar die IP des Server aber können damit nix anfangen
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 13:38 Uhr
Hm, der Knackpunkt ansich ist aber folgender:

Stell Dir vor, in dem Netz seien die PCs und seien Benutzer zweier Benutzergruppen A und B. Beide nutzen am Tag zu unterschiedlichsten Zeiten (chaotischer Temporär-Verlauf) DIESELBEN PCs. Gruppe A darf den WebFilter umgehen. Gruppe B kann im IE die Proxyeinstellungen nicht ändern und muss den Webfilter nutzen. Beides durch die GPOs kein Problem. Allerdings darf Gruppe B auch Files auf ihren HomeFolders abspeichern, neuerdings befindet sich da eben eine firefox.exe (mobile Version/sofort ausführbar), in der Gruppe B nun mal Vollrechte besitzt.
[Anm.: Es handelt sich um ein Schulnetzwerk mit Lehrern(A) und Schülern(B) - Klick? ;) ]

  • * *

Brainstorming:
- Entweder ich realisiere irgendwie in den Softwarebeschränkungen, dass die firefox.exe nicht ausgeführt werden darf (Willkommen Umbenennungsfunktion...)
- Oder aber ich führe ein LogonScript aus, welches irgendein FreewareTool einsetzt, um die DNS Einstellungen zu vermüllen. NACHTEIL: Mit dem IE soll Gruppe B aber surfen dürfen (über Proxy wohlbemerkt)

Gibt es dafür überhaupt... anders: ich brauche eine haltbare Lösung! :}
Bitte warten ..
Mitglied: BartSimpson
03.04.2006 um 13:47 Uhr
Kannst ja mal schauen, ob du angeben kannst, welche Anwenungen ausgeführt werden sollen. Diesen Punkt gibt es. Jetzte kommt aber der Trick Ob du dort neben dem Namen auch eine Digitialesignatur angeben kannst? Denn nur der Name währe witzlos. Aber die Signatur währe nicht zu umgehen
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 14:37 Uhr
Nun, ich versuche schon seit einer Stunde, die EXEn mittels Hash-Wert zu verbieten... entweder hakt es in meinem Verständnis zur Softwareeinschränkung innerhalb der GPO oder es will einfach nicht. Mal ab davon, dass man die Hashwerte, sollte es funktionieren, ständig up2date halten müsste.
Bitte warten ..
Mitglied: BartSimpson
03.04.2006 um 14:46 Uhr
Ob Windows das kann kann ich dir nicht sagn. Aber ich denke schon, denn sonnst währe die Funktion nur zugelassenden Anwendungen starten witzlos.
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 14:48 Uhr
Kann man den Firefox nicht irgendwie (in realtime) erkennen und "kicken"? Oder was weiß ich?

Bitte richtig verstehen: Das Tool ist sehr sinnvoll, doch für spezielle Situationen lernen wir hiermit mal die andere Seite kennen ;)
Bitte warten ..
Mitglied: BartSimpson
03.04.2006 um 15:17 Uhr
nicht zuverlässig
Du könntest dir höchtes in C++ ein tool schreiben, was alle paar Millisekundne alle Task nach dem firefox durchsucht, und den Task denn abschießt. Aber sobald die exe anders heist haste ein Zong. Aber mir fällt gerade was andres ein. Schaue mal, ob du per Login script die routingtabellen des Client ändern kannst, wenn ja dann lösche die Route für's Inet raus
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 15:45 Uhr
Klasse! Also produktive Ideen kommen hier wahrlich zustande. Danke!

Da fällt mir aber nach einem Weilchen auf, dass wohl nichts um einen Transparentproxy drumherum geht, weil: Verbiege ich die Routen hat das auch Auswirkungen auf den Standard Browser: Internet Explorer! Weil durch die Gruppenrichtlinien geben ich zwar Proxyeinstellungen mit, aber keine Routen. Hm.

Das "Problem" sollte also lokal bekämpft werden, noch bevor etwas ins Netz gelangt an Daten. Das ist die einz'ge Logik, denke ich.

Lieb wäre mir, ein Tool im Logon-Script, welches jedes File des HomeFolders des Users bei Anmeldung nach einem bestimmten Header durchsucht oder ähnliches. Kennt ihr da etwas Vernünftiges?

  • * *

Fällt mir ein: Wir nutzen als AVP Symantec AntiVirus Coorporate Ed. 9.0
Ála IDS Gleichheit kann man dort nix konfigurieren oder? Dass irgendwie eine Mustererkennung gefahren wird...
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 16:00 Uhr
Oder gibt es ein Tool, welches in Echtzeit die Prozessliste durchforstet (oder aller XX Sekunden) und zB den Prozess mit der Größe von YYYY MB entfernt?

+ +


ODER ABER kann man "irgendwie" mit netstat den allgemeinen Port 80 überwachen und diesen unterbinden, wenn aktiv? (BEnutzung Standard Webport verbieten)

Oder kann man den Port 80 generell auf dem Rechner verriegeln? Dann sei mir egal, welches Tool sie nutzen, Hauptsache der Port 80 ist administratorgerecht verblombt.

Oder:
-> Benutzerabhängige Firewallkonfiguration (Windowsinterne FW).
Bitte warten ..
Mitglied: Wingmaker
03.04.2006 um 16:40 Uhr
TCP/IP Einstellungen der Netzkarte > Erweiterte Eintellungen > Optionen
--> Wie kann ich das Scriptgesteuert konfigurieren? (da nur für User verändert werden soll)
Bitte warten ..
Mitglied: BartSimpson
03.04.2006 um 18:39 Uhr
das könnte per WSH gehen. Wobei die Sache mit der Routingtabelle mit einem einfachen route zu machen geht
Bitte warten ..
Mitglied: Wingmaker
04.04.2006 um 11:08 Uhr
Hast Du genauere Informationen, Bart?
Bitte warten ..
Mitglied: Wingmaker
04.04.2006 um 11:39 Uhr
Na wie gesagt, Routen verbiegen bringt doch nichts, weil dann der IE auch nicht mehr geht, oder? Oder kann man speziell auch Ports verbiegen?

Wie kann ich (mit WSH oder simplere Wege) für den Nutzer bei Logon den Port 80 sperren? Sprich HTTP Port blocken?
Bitte warten ..
Mitglied: BartSimpson
04.04.2006 um 12:02 Uhr
doch der IE geht ja weiter. Da erja den proxy benutzt und dieser befindet sich ja im lokalen Netz
Bitte warten ..
Mitglied: Wingmaker
04.04.2006 um 12:06 Uhr
HAST RECHT...

Ok, also Default-(?)Routenverbiegung per Script. wie sähe das rein mit CommandLine Varianten innerhalb des Konsolenfensters aus? Welche Route verbiegt man wie? Sorry, der Frage
Bitte warten ..
Mitglied: BartSimpson
04.04.2006 um 12:17 Uhr
Wenn du kein 2. Netzt aussder dem Inet hast, kanste du mit route del default die standartroute löschen und schon sollte Inet nur noch über den Proxy gehen.
Bitte warten ..
Mitglied: Wingmaker
04.04.2006 um 12:22 Uhr
Geht: route delete 0.0.0.0
Bitte warten ..
Mitglied: Wingmaker
07.04.2006 um 10:29 Uhr
Hm, also es besteht das Prob, dass das Logon Script nicht richtig ausgeführt wird. Dieses wiederum sollte ja mit "Admin"Rechten ausgeführt werden, oder? Einmal gehte es irgendwie, allerdings nicht beim Logoff Script. Hatte zur Folge, dass nachherig angemeldete User ebenfalls keine bzw. eine umgebogene Default Route besaßen! Da war nicht wünschenswert...
Bitte warten ..
Mitglied: BartSimpson
07.04.2006 um 10:39 Uhr
dann schreibe doch ein 2. logonscriptm was den jenigen die fürgfen, die route mit route add wieder einfügt.
Bitte warten ..
Mitglied: Wingmaker
07.04.2006 um 10:41 Uhr
Wenn denn das Script erstmal vernünftig laufen würde...

Versuche gerade eine evtl. Fehlermeldung in ne Datei zu schreiben, um mir das mal näher zu betrachten
Bitte warten ..
Ähnliche Inhalte
Webbrowser

Firefox - Proxy - Einstellungen für User verhindern!

gelöst Frage von mike7050Webbrowser5 Kommentare

Hallo zusammen, ich habe die FF Version 55.0.2 (64-Bit) auf einem Windows 10 Pro Rechner installiert! Ich möchte gerne ...

Entwicklung

Portable App (PAF): wie Ordner aus Benutzerprofil in portable nutzbar machen?

Frage von 114801Entwicklung16 Kommentare

Hallo, inzwischen habe ich ein wenig herausgefunden wie Portable Apps (wie bei portableapps.com) erstellt werden können. Mit der Windows ...

Windows Server

Windows Firewall: Verhindern dass Anwendungen Regeln anlegen

Frage von RoterFruchtZwergWindows Server75 Kommentare

Guten Abend, ich habe heute mal wieder feststellen dürfen, dass es Software gibt die es sich heraus nimmt, einfach ...

Batch & Shell

Infrarecorder Portable

gelöst Frage von schicksalBatch & Shell2 Kommentare

Hallo zusammen, ich suche eine Doku der Commandline Parameter vom Infrarecorder. Ich kann die Projektdatei (irp) laden. Ich will ...

Neue Wissensbeiträge
LAN, WAN, Wireless

UniFi - UAP Antenna Radiation Patterns - WLAN Ausstrahlungsmuster

Information von StefanKittel vor 3 StundenLAN, WAN, Wireless

Hallo, wer sich schon immer mal gefragt hat wie der Unterschied in den WLAN Access Points bei Unifi wirklich ...

Windows Userverwaltung

Passwortwechsel in der Domain bei Anmeldung erzwingen

Anleitung von Looser27 vor 13 StundenWindows Userverwaltung6 Kommentare

Nachdem es immer wieder User geschafft haben, sich während des laufenden Betriebes auszusperren, habe ich nach einer Möglichkeit gesucht, ...

Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 3 TagenAusbildung39 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 5 TagenSpeicherkarten6 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
gelöst Frage von Looser27Windows Userverwaltung32 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Microsoft
Netzlaufwerksordner Berechtigungen Speichern unter aus Programmen
gelöst Frage von ITler7Microsoft19 Kommentare

Moin, bin in ein neues Unternehmen eingetreten und habe die Anforderung bekommen Berechtigungen auf einige Ordner anzupassen, da bisher ...

Windows Server
Probleme im AD am Außenstandort
gelöst Frage von emeriksWindows Server19 Kommentare

Hi, wir haben ein Problem mit AD und GPO am Außenstandort und ich stehe momentan mächtig auf dem Schlauch. ...

Flatrates
Geschwindikeitsprobleme zwischen 1 und 1 - Vodafone Heimnetz
Frage von muenchhausenFlatrates15 Kommentare

Moin erstmal, Vorweg mein Setup 1. Wohnsitz Vodafone 400K Leitung (kommt sogar komplett an, auch um 18 Uhr) 2. ...