Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internet für gewisse User sperren

Frage Internet Webbrowser

Mitglied: Badger

Badger (Level 2) - Jetzt verbinden

13.01.2014 um 16:17 Uhr, 1746 Aufrufe, 11 Kommentare

Hallo Leute,

mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier jetzt nochmal gerne bei ein paar Punkten nachhaken, die ich so nicht gefunden habe.

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.
Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.
Auch will ich nicht den ganzen IE verbieten -> Intranet!

Warum nur IE: Wir haben den AppLocker im Einsatz. Sprich andere Programme wie gewollt kann der User sowieso nicht starten.

Meine Frage ist, ob es nicht eine einfache Möglichkeit gibt, per GPO das Internet für gewisse Zonen im IE zu sperren oder ob ich wirklich an einem Proxy nicht vorbei komme.

Herzlichen Dank

Patrick
Mitglied: Lochkartenstanzer
13.01.2014, aktualisiert um 16:25 Uhr
Zitat von Badger:

Einen Proxy haben wir nicht im Einsatz und das würde ich auch gerne so beibehalten.

Warum? das ist der sauberste Weg, durch policies ordentlich zu regeln, wer was wann wo darf.

Mit einem squid ist das in Minuten erledigt und wenn Du noch einen squidguard dazunimmst, kannst Du sogar den malwarescan mit einbauen. das ist sozusagen "best practice".


lks
Bitte warten ..
Mitglied: Millerma
13.01.2014 um 17:27 Uhr
Warum nicht über die Firewall?
Bitte warten ..
Mitglied: 114685
13.01.2014, aktualisiert um 17:40 Uhr
Hallo, Badger,

Wie die Überschrift schon sagt, will ich (oder besser gesagt die GF) für bestimmte User das surfen verbieten.
Davon betroffen sein soll nur der IE - denn wir haben einige andere Programme (die die User verwenden müssen), die Zugang zum
Internet brauchen.
Also fällt für mich flach, dass ich einen falschen Gateway, einen pseudo-Proxy odgl. eintrage.

Auch will ich nicht den ganzen IE verbieten -> Intranet!

du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter
Bitte warten ..
Mitglied: aqui
13.01.2014 um 19:27 Uhr
Und dann bootet der User ein Live Linux oder Winblows vom USB Stick und aus ists mit solchen Frickeleine wie GPO usw.
Helfen tut eigentlich nur eine Firewall wie z.B. diese hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
ggf. in Verbindung mit einem Proxy wie z.B. Squid
Bitte warten ..
Mitglied: Badger
13.01.2014 um 20:24 Uhr
Danke euch allen für die Tipps.

Bez. Proxy:
ich wollte einfach schauen, ob es einen schnelleren Weg über die GPOs gibt, als dafür extra einen Proxy zu konfigurieren.

Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher nicht notwendig war.

@114685:
Danke für den Tipp. So gehts natürlich auch. Das mit den Ausnahmen habe ich so nicht bedacht.
Aber für mich persönlich, ist das halt mit dem falsch eingetragenen Proxy einfach kein sauberer Weg. Vlt. sehe ich das etwas engstirnig. Aber da bevorzuge ich den Weg, lieber gleich einen Proxy einzurichten.

@aqui:
Da hast du natürlich total recht. Aber sobald ein Mitarbeiter einen PC braucht, gibt es auch Möglichkeiten, ins Internet zu gehen oder auf irgend einen Weg Daten zu kopieren. Die Frage ist nur, wie leicht macht man es den Mitarbeitern.

Gruß
Patrick
Bitte warten ..
Mitglied: Millerma
14.01.2014 um 09:36 Uhr
Zitat von Badger:


Bez. Firewall:
meine kann zum Glück die ganzen Späße wie Proxy usw. Nur habe ich das bisher nicht konfiguriert, weil es bisher
nicht notwendig war.


Ich denke das du mit dieser Methode am besten fährst.
Bitte warten ..
Mitglied: 114685
14.01.2014 um 12:45 Uhr
Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem Sicherheitskonzept offenbar was nicht stimmt.
Bitte warten ..
Mitglied: Badger
15.01.2014 um 07:57 Uhr
Zitat von 114685:

Wenn ein User von DVD/CD oder USB-Stick booten kann, hat der Admin ein ganz anderes Problem, weil mit seinem
Sicherheitskonzept offenbar was nicht stimmt.

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?
Aber das ist etwas OT bei diesem Thema...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2014 um 08:59 Uhr
Zitat von Badger:

OK: Man richte ein BIOS-Passwort ein um es den Usern zu verbieten, die Bootreihenfolge zu ändern. Und wie willst du
verhindern, dass der User die Bios-Batterie entfernt und somit das wieder weg ist (bzw. weg sein kann)?

Deswegen gibt es PCs mit Intrusion detection und abschließbaren Gehäusen. Und ordentliche BIOSe merken sich das Paßwort im nichtflüchtigen Speicher. Bei Consumergeräten fehlt das alles natürlich meistens.

lks


PS: Auch wenn der User weg ist, war ich der Meinung, daß die o.g. Information noch hinzugefügt werden sollte.
Bitte warten ..
Mitglied: Badger
19.02.2014 um 10:09 Uhr
Zitat von 114685:
du könntest trotzdem einen Pseudoproxy für HTTP/HTTPS/FTP im IE eintragen, z. B. 127.0.0.1 (localhost) mit einem nicht
vergebenen Port, den du dir aus der Portliste bei Wikipedia aussuchen kannst. Ebenso kannst du das Intranet zulassen, indem du die
entsprechenden URLs in die Liste der zu umgehenden Adressen einträgst. Du musst nur dafür sorgen, dass die betreffenden
User nicht in den Einstellungen rumfummeln dürfen.

Gruß
hugonatter


Ich habe mir das ganze nun soweit im Detail angeschaut und habe festgestellt, dass dies für mich die einfachste Lösung ist.

Habe aber dazu jetzt eine Frage:
Habe in den GPOs den Proxy eingetragen und diese dann für einen Testbenutzer aktiviert.
Läuft alles perfekt - der Proxy wird richtig eingetragen.
Entferne ich den Benutzer aus der Sicherheitsfilterung, mache eine Abmeldung (mit gpupdate), bleibt der Proxy dennoch eingetragen.

Warum ist das so? Die GPO greift doch gar nicht mehr!

Muss ich jetzt extra eine GPO mit "no-proxy" einrichten, damit die Einstellungen wieder so gesetzt werden, dass kein Proxy eingetragen ist?

Grüße
Patrick
Bitte warten ..
Mitglied: aqui
20.02.2014 um 11:10 Uhr
Na ja und wenn der User eine Live CD oder USB Stick bootet oder mit einem anderen OS generell online ist, ist diese ganze GPO Frickelei so oder so Makulatur.
Sicher ist was anderes....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
gelöst Programmupdates ohne Adminrechte für die User einer Domäne (3)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (3)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Microsoft Office
gelöst Sharepoint Cached User Infos ? (4)

Frage von joehuaba zum Thema Microsoft Office ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...