Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dropbox erkennen und verhindern

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: joerg

joerg (Level 2) - Jetzt verbinden

05.09.2013 um 07:57 Uhr, 13591 Aufrufe, 17 Kommentare

Hallo zusammen,
wie ja bekannt ist, kann man DropBox auch ohne Admin-Rechte für den angemeldeten User installieren und auch vollumfänglich nutzen...
Kenn jemand eine Möglichkeit dies zu verhindern ohne dass ich ein extra Programm auf jeden Rechner installieren muss?
Zum Beispiel über GPOs etc?
Und nun zur zweiten Herrausforderung: Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden. Hat hier auch jemand eine Idee wie ich dieses Programm durch einen Scan oder Ähnliches erkennen kann? ´
Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
..... nicht schön aber selten...



Gruß Jörg
Mitglied: kontext
05.09.2013, aktualisiert um 08:25 Uhr
Moin joerg,

naja leider verrätst du uns nicht was für ein OS du denn einsetzt ...
... man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker

Alle Applikationen die unter C:\Program Files liegen sind erlaubt - alles andere nicht.
Für die Installation braucht man Admin-Rechte und die hat der User nicht ...
... d.h. wenn er eine exe aufruft, kommt eine Meldung das der User das nicht darf

Ist ja die gleiche Problematik mit Google Chrome oder TeamViewer und Konsorten ...
... sollte jemand das zwingend benötigen kann man eine Applocker-Ausnahme konfigurieren

Gruß
kontext
Bitte warten ..
Mitglied: departure69
05.09.2013, aktualisiert um 08:40 Uhr
Hallo.

DropBox macht sich den Umstand, daß der User in seinem Profil ("C:\Dokumente und Einstellungen\Username" unter XP, "C:\Users\Username" unter Vista und höher) volle Rechte hat, zunutze. Google Chrome macht das ebenso.

Hier steht was zum Thema "Software Restriction Policies":

http://technet.microsoft.com/en-us/library/bb457006.aspx



Viele Grüße

von

departure
Bitte warten ..
Mitglied: manuel1985
05.09.2013 um 08:48 Uhr
Moin,

bitte bedenke bei deinem Vorhaben auch, dass man via Browser auch Daten zu Dropbox hochladen kann, ergo solltest du die Dropbox-Webseiten in deiner Firewall blocken
Bitte warten ..
Mitglied: joerg
05.09.2013 um 09:04 Uhr
Hallo zusammen,

@kontext: stimmt hab garnicht gesagt wie unsere Umgebung aussieht ;)
Also wir setzten zur zeit eine Windows 2008R2 AD ein mit Windows 7 Clients

@departure: danke für den Link muss ich mich mal einarbeiten, hört sich aber nach einer lösung an

@manuel1985: ja das hab ich schon berücksichtigt aber leider gibt es immer wieder irgendwelche Schlupflöcher an die man nicht denkt :/
Bitte warten ..
Mitglied: Dobby
05.09.2013 um 09:25 Uhr
Hallo,

kauft Euch eine Next Generation Firewall mit AV und Kontentfilter und unterbindet mittels GPOs die Installation dann habt Ihr Ruhe.
- Die Installation kann man sicherlich via GPOs unterbinden
- Mittels der Firewall kann man dann auch auf Applikationsebene und via IP Filtern arbeiten.
- Schulungen und auch sicherlich ein zusätzliche und unterschriebene Arbeitsanweisung sichert das ganze Vorhaben auch noch zusätzlich ab.
- Macht alle USB Ports via GPOs und USB Schlössen dicht und dann kann auch niemand mittels Portable Apps DropBox nutzen!

Wenn DropBox installiert wurde, kann ich die nicht mit einem WMI-Scan oder mit unserer eingesetzen Inventarisierungssoftware erkennen, da hier wohl nur die regulrä installierten Programme erkennt werden.
Lass zwei Scripte laufen und eines durchsucht den PC nach Dropbox und schreibt eine Protokolldatei und ein zweites Script
durchsucht die Protokolldatei vom ersten Script und meldet Dir (Euch) dann wenn etwas gefunden wurde, dann kann man auch
über eine Ermahnung und/oder eine Abmahnung nachdenken, wenn vorher eine Arbeitsanweisung unterschrieben wurde!!!!!

Ein Ansatz den wir gerade verfolgen, ist die Möglichkeit das über den Virenscanner zu blockieren.
..... nicht schön aber selten...
Und wenn es nicht funktioniert dann habt Ihr eine Menge "False Positiv" Meldungen und die Leute werden alle rebellisch,
das ist nichts halbes und nichts ganzes.

Gruß
Dobby
Bitte warten ..
Mitglied: Rudbert
05.09.2013 um 09:31 Uhr
Hallo,


würde an den Clients gar nichts machen.

Wie oben schon erwähnt, kann man auch ohne Client Dateien über die Webseite hochladen.

Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Cthluhu
05.09.2013 um 09:59 Uhr
Hi zusammen,

Noch ein Hinweis: es gibt mehr unzählige ähnliche Anbieter die so ein Service wie Dropbox bieten. Die alle zu sperren wird eine Sisyphosarbeit. Dann lieber der Firmenpolicy generell Filesharing-Dienste verbieten.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: Dobby
05.09.2013 um 10:35 Uhr
Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder obsolet.

Gruß
Dobby
Bitte warten ..
Mitglied: Rudbert
05.09.2013 um 10:39 Uhr
Hi,

Zitat von Dobby:
> Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit Regeln
zu sperren.
Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon wieder
obsolet.

verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Dobby
05.09.2013 um 10:47 Uhr
verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu geladen wird
und dann bringt Dir der Webfilter nichts.

Gruß
Dobby
Bitte warten ..
Mitglied: Rudbert
05.09.2013 um 10:56 Uhr
Hi,


Zitat von Dobby:
> verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?
Du rufst eine Seite auf die nicht geblockt wird, und innerhalb dieser Seite ist ein Frame in dem die Seite mit der Dropbox neu
geladen wird
und dann bringt Dir der Webfilter nichts.

du meinst Dienste wie anonymzier.com oder hidemyass.com? Die werden natürlich durch den Webfilter auch blockiert. Die meisten bringen ja (mehr oder weniger vollständige) URL-Filterlisten mit oder lizenzieren diese von Drittanbietern.


---


zum Topic zurück:


Wir sperren bei uns im Netz auf beide Arten:

- Die URLs (Filesharing, Anonymisierer, XXX, ...) über den zentralen Webfilter
- Unerwünschte Applikationen auf dem PC mit dem Virenscanner (Sophos bringt dafür ein Modul mit - Application Control)

Zusätzlich gäbe es noch die Möglichkeit einer DLP-Lösung, welche alle abfliessenden Daten aus dem internen Netz auf vertrauliche Informationen scannt und die Übertragung ggf. blockiert (Auch hier bietet Sophos ein Modul - Data Control iirc - setzen das nicht ein).


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Cthluhu
05.09.2013 um 10:56 Uhr
Zitat von Rudbert:
> Zitat von Dobby:
> > Mein Ansatz wäre, die Dropbox-Server auf der Firewall über einen Webfilter oder direkt an der Firewall mit
Regeln
> zu sperren.
> Wenn man dann auf eine Webseite geht die in einem "Frame" eine andere Seite lädt ist das aber auch schon
wieder
> obsolet.

verstehe ich nicht ganz - der Webfilter filtert als expliziter oder transparenter Proxy alle URL-Aufrufe - da spielt es keine
Rolle, ob die Seite in einem Frame geladen wird oder direkt durch die Browser-Adresszeile, da der Proxy ja alle URLs filtert?

Ich glaube Dobby meint den Fall, dass nicht du selber Dropbox aufrufst, sondern ein Webserver außerhalb deines Proxy-Einflusses das macht.
Z.b: du rufst example.com auf, welches seinerseits Dropbox aufruft und dir das Dropbox Interface in einem Frame auf example.com anbietet.
Bitte warten ..
Mitglied: Dani
05.09.2013 um 21:38 Uhr
Moin kontext,
man kann es natürlich unter Win7 sehr restriktiv machen, mit Applocker
Kann man... mit entsprechender Edition - Klick.


Grüße,
Dani
Bitte warten ..
Mitglied: okoester
06.09.2013 um 08:54 Uhr
Moin zusammen,

ich hatte mal ein ähnliches Problem. Damals ging es um den Chrome Browser, der sich ja genauso ohne Admin-Rechte installieren lässt.

Ich habe mir ein Script gebastelt, das den Chrome auffindet und rigoros löscht. Und zwar abends beim Abmelden oder Morgens als Anmeldescript. Egal.

Es hat ein paar Tage gedauert und ein paar nervige Nachfragen gegeben. Aber dann war das Problem behoben

Gruß
Olaf
Bitte warten ..
Mitglied: departure69
06.09.2013 um 09:16 Uhr
@okoester:

Hallo.

Wobei mir der Chrome-Browser ansich (obwohl ich Google überhaupt nicht mag) da weniger Sorgen bereitet als beispielsweise der Firefox. Google bietet für den Chrome-Browser ganz offiziell adm(x)-Templates an, mit deren Hilfe ich GPOs erstellen und den Chrome dann zentral, per GPO, verwalten kann (bislang ging das nur mit dem IE). Für den Firefox macht Mozilla in dieser Hinsicht rein gar nichts, die adm-Templates für Firefox, die im Internet rumgeistern, wurden von Privatleuten aus Reg-Einträgen zusammengeschustert (es gibt wohl eine reg2adm-Software, die das kann). In beiden Fällen (egal ob Chrome oder Firefox) gilt aber: kein Support von Microsoft für adm/GPO von/für MS-fremde Produkte.
Bitte warten ..
Mitglied: okoester
06.09.2013, aktualisiert um 09:49 Uhr
@departure:

Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben. Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja genauso lösen

Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem lösen, dass der User Chrome selbst installieren kann...

Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut. Natürlich gebe ich dir recht, dass es Mist ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr auf den IE angewiesen...

Olaf

Edith: Firefox-Absatz eingefügt.
Bitte warten ..
Mitglied: departure69
06.09.2013, aktualisiert um 10:48 Uhr
Zitat von okoester:
@departure:

Ich wollte mit dem Chome-Beispiel eigentlich nur sagen, dass wir mit dem Script unsere User einfach "erzogen" haben.
Irgendwann waren sie es leid, Chrome jeden Tag neu zu installieren und das problem war gelöst. Könnte Jörg ja
genauso lösen

Keine Frage, irgendwann sind sie es leid.



Dass es ein adm(x) Template für den Chrome gibt, war mir neu. ich denke, das würde wohl auch nicht das Problem
lösen, dass der User Chrome selbst installieren kann...

Nein, dafür ist das Template latürnich nicht, sondern, wie beim IE, dafür, den Chrome-Browser zentral (über GPO) administrieren zu können (Beispiel: Verhindern, daß User Proxy-Einstellungen ändern).

Es gibt vom Chrome übrigens auch eine Enterprise-Version, die sich nicht stümperhaft ins Benutzerprofil installiert, sondern dorthin, wo sie unter Windows eigentlich auch hingehört, nämlich nach C:\Programme ... .


Den Firefox halte ich insofern nicht für so problematisch, da du zum Installieren Admin-Rechte brauchst und Firefox nicht
jeden Mist "nach Hause" sendet, wie Googles Chrome es nachweislich tut.

Da würde ich, sofern Google-Dienste verwendet werden (und wenn es nur die Suchmaschine ist), für keinen Browser die Hand ins Feuer legen.

Natürlich gebe ich dir recht, dass es Mist
ist, dass Firefox keine GPO unterstützt. Das würde die Admin-Arbeit erheblich vereinfachen und man wäre nicht mehr
auf den IE angewiesen...


Mit dem IE sehe ich ab Version 9 (besser aber 10 oder demnächst 11, zumindest unter Windows 7 & 8) eigentlich keine Probleme mehr (schlank, schnell, funktional und sicher, und hinsichtlich HTML5 fehlt ab Version 10 eigentlich auch nichts kriegsentscheidendes mehr, und es gibt offizielle adm-Templates von Microsoft dafür, die auch supportet werden).


Olaf

Edith: Firefox-Absatz eingefügt.

Viele Grüße

von

departure
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (4)

Frage von micha055 zum Thema Windows 10 ...

Windows Netzwerk
gelöst Probleme beim Erkennen eines identischen Servers (5)

Frage von DonDento zum Thema Windows Netzwerk ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...