Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Internetzugang einschränken

Frage Internet Utilities

Mitglied: gnangsa

gnangsa (Level 1) - Jetzt verbinden

05.05.2011 um 21:22 Uhr, 5164 Aufrufe, 13 Kommentare

Ich möchte den Internetzugang zentral gesteuert und unabhängig vom Unternehmensnetzwerk unter anderem auch für spezielle Programme einschränken.

Hallo zusammen,

ich bin auf der Suche nach einer Möglichkeit den Internetzugang für Systeme unter Windows einzuschränken.

Keine Sorge, das folgende ist kein Werbeblock, sondern soll lediglich verdeutlichen was ich suche:

Im Rahmen meiner Suche habe ich mir von PANDA Security die Panda Cloud Internet Protection (PCIP) angesehen.
Das System basiert, wie der Name schon sagt, auf einer Cloud-Lösung.

Zwei Pluspunkte hat dieses System:
1. Ich erreiche durch die Cloud-Lösung nicht nur Benutzer im lokalen Netzwerk, sondern auch jeden Benutzer der irgendwo Online ist
2. Das System bietet die Möglichkeit, nicht nur den Content zu Filtern, sondern auch zu sagen das nur der IE9 oder FF oder Chrome etc. ins Netz dürfen.

Und jetzt sind wir schon beim Nachteil, den ich gerne Lösen würde und keine Lösung finde.
Oben genanntes System nutzt dafür einen Proxy der eingetragen werden muss. Dies kann ich natürlich per GPO regeln, ABER... wenn ich jetzt an alle user denke, die Adminrechte brauchen (oder haben), dann ist diese Lösung aus meiner Sicht vollkommen sinnfrei bzw. nicht ganz zu Ende gedacht.
Der User installiert sich also zum Beispiel Chrome, der nicht auf die Proxyeinstellungen des IE zugreigt, und schon kann er sich wieder frei bewegen.

Ich suche also eine Lösung mit den Pluspunkten die dazu noch einen Client auf dem PC installiert welche wirklich jeden Verkehr überwacht und zum Beispiel per Passwort vor dem deaktivieren geschützt wird. Sollte er Deinstalliert werden, sieht man das ja in der Cloud.
Also quasi eine Firewall inkl. Parental Control welche vorzugsweise über die Cloud gesteuert wird.

Hat jemand eine Idee? Oder eine Lösung?

Danke & Gruß,
Markus
Mitglied: danielfr
05.05.2011 um 21:27 Uhr
Hallo, so eine Frage gab es gestern schon:
http://www.administrator.de/Windows_-Zwangsproxy-_aber_wie_%3F.html
Ich würde dafür den IPCop nehmen (geht auch transparent), mit dem Advanced Proxy und auch noch BlockOutTraffic.
Gruß Daniel
Bitte warten ..
Mitglied: gnangsa
05.05.2011 um 21:37 Uhr
Hallo Daniel, danke für die schnell Antwort.
Die Frage gestern bezieht sich auf einen Standort mit einem zentralen Internetzugang. Dafür mag diese Lösung auch nützlich sein.
Ich spreche davon, dezentrale Clients zu schützen.

Beispiel: Du bist Mitarbeiter eines Unternehmens, hast ein Notebook, sitzt in der Firma - dann bist du geschützt durch diese Lösung. Jetzt gehst du mit dem Notebook nach Hause und surfst über deinen Anschluß - was dann? Da ist kein IPCop und somit kein Schutz!
Bitte warten ..
Mitglied: danielfr
05.05.2011 um 22:10 Uhr
Ok, das war mir nicht 100% klar. Das ganze Dezentral zu machen ist bestimmt nicht so einfach, dafür kenne ich leider keine Lösung (zumal, wenn Benutzer Adminrechte haben). Bin mal gespannt, ob es da was sinnvolles gibt...
Bitte warten ..
Mitglied: St-Andreas
05.05.2011 um 22:20 Uhr
Hallo,


keine, wie auch immer geartete Software wird Dir Dein Problem lösen können solange Du Benutzer hast die administrative Rechte haben. Also müssen die Benutzer auf die Adminrechte verzichten. Dann hast Du ja schon eine Lösung (die ich nicht beurteilen kann).


Gruß,
Andreas
Bitte warten ..
Mitglied: aqui
06.05.2011 um 08:16 Uhr
Spätestens wenn der Nutzer eine Live CD oder vom USB Stick bootet sei es Linux oder was auch immer oder seinen mitgebrachten Linux oder Mac Laptop ins Netz klemmt kann er über solche sinnlosen Klimmzüge wie GPO oder lokal installierte Frikeleien nur noch lachen...
Das Konzept ist so löchrig wie Schweizer Käse...
Bitte warten ..
Mitglied: gnangsa
06.05.2011 um 08:53 Uhr
Guten Morgen,
ich verstehe was Ihr damit sagen möchtet, aber dann brauchen wir keine Virenscanner mehr, keine Passwörter, keine Schlösser an den Türen und die Bank keinen Tresor mehr - da man diese Dinger mit genung (krimineller) Energie aushebeln kann.

Technisch gesehen kann ich sehrwohl verhindern, das jemand sein Gerät anderweitig bootet, und ich kann auch verhindern das der Kollege sich in einem Netzwerk mit einer nicht freigegebenen MAC bewegt.
Andererseits, sollte jemand sein privates Gerät aufbauen und damit surfen, ist sein Gerät "gefährdet" und da dies wohl geringfügig sichtbar sein sollte, ist damit auch seine Person deutlich mehr gefährdet als wenn er nur ein Gerät am Tisch stehen hat mit dem Unfug treibt

Aber mal weg vom Sinn und Unsinn - es geht hier um die technische Lösbarkeit.
Die gesuchte Lösung soll zum einen den Client schützen, zum anderen natürlich den Benutzer davon abhalten unproduktive Dinge zu tun etc. Ganz klar. Wie weit das geht hängt vom Unternehmen ab - darüber will ich garnicht Diskutieren da dies nicht Hintergrund des Postings ist.
Ich gebe auch jedem recht, der sagt man kann jeden Schutz aushebeln - aber trotz dieser Tatsache schützt sich jeder.

Wenn von 100 Clients im Unternehmen ca. 20 mit lokalen Adminrechten ausgestattet sind, und von denen 18 die Sperre nicht aushebeln, dann ist das doch gut? Ich erwarte keine 100%, den das wäre unrealistisch da es ja leider für alles ein Gegenmittel gibt.
Bei einem Virenscanner kann ich den Client mit Passwort schützen, somit kann man diesen auch als Admin nicht deaktivieren - man kann ihn aber Deinstallieren als lokaler Admin (Und ich kenne einige die auf den Performancegewinn ohne AV schwören!).
Wenn ich meine "Parental Control Firewall" nicht deaktivieren kann, sondern nur Deinstallieren, dann ist das genaus gut oder schlecht, und genauso sinnvoll oder sinnlos.

Gruß,
Markus
Bitte warten ..
Mitglied: aqui
06.05.2011 um 08:56 Uhr
Nein, so eine Schlussfolgerung ist Unsinn. Es soll dir nur aufzeigen das man Sicherheitseinstellungen niemals mit irgendwelchen Software Frickeleien am Client macht sondern zentral an der Netzwerk Infrastruktur selber. Das ist erhblich sicherer und auch erheblich einfacher zu administrieren, da es zentral ist.
Abgesehen davon ist das ein gängiges Allerweltskonzept was technisch problemlos umsetzbar ist. Deine einseitig Windows zentrierte Bastellösung eher nicht....sorry.
Bitte warten ..
Mitglied: gnangsa
06.05.2011 um 09:11 Uhr
Hi,
warum ist es den eine einseitig Windows/Clientbasierte Bastellösung was ich suche?
Mein Beispiel oben führt eine Cloud-Lösung auf. Meine Anfrage bezieht sich ebenfalls vorzugsweise auf ein zentral-/cloudgesteuerte Lösung.
Der Virenschutz kann heutzutage per Cloud zentral für dezentrale/weltweite Clients geregelt werden. Und das will ich eben auch gerne als Lösung für eine Proxy/Webwasher/Content Control/Parental Control-Lösung (wie auch immer man das nennen möchte).
Und dank der heutigen Cloud kann ich endlich (und muss) den Client in mein Sicherheitskonzept einbinden. Gefahren lauern eben auch wenn der Nutzer dich im Netzwer steckt, somit gehört es als Verantwortlicher zu meiner Pflicht beim Schutz des Unternehmens auch darüber nachzudenken.
Bitte warten ..
Mitglied: St-Andreas
06.05.2011 um 09:19 Uhr
Ja als Verantwortlicher solltest Du Dir da Gedanken machen. Absenkst viel mehr um die Clients die lokale Adminrechte haben.
Und dann solltest Du einfach Sorge dafür tragen das Deine Clients auch außerhalb Eures LANs über Eure Sicherheitsstruktur abgesichert sind. Aber erst dann.
Bitte warten ..
Mitglied: ackerdiesel
06.05.2011 um 09:33 Uhr
Zitat von St-Andreas:
Ja als Verantwortlicher solltest Du Dir da Gedanken machen. Absenkst viel mehr um die Clients die lokale Adminrechte haben.
Und dann solltest Du einfach Sorge dafür tragen das Deine Clients auch außerhalb Eures LANs über Eure
Sicherheitsstruktur abgesichert sind. Aber erst dann.
Hallo,

Genau wie Andreas#S sehe ich das auch. Die Notebooks dürfen nur über VPN und dann über die Firmeninterne Firewall - Lösung arbeiten und nicht zu Hause am lokalen DSL-Anschluß ohne Schutz surfen.
Bei den deinstallierten Antiviren Porgramm bei deinen Usern, würde ich sofort auf einer Abmahnung des Mitarbeiters bestehen. Dann wird sich dieser Spuk schnell erledigen.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: gnangsa
06.05.2011 um 12:06 Uhr
Hi again,

ich stimme euch ja zu. Jedoch kann man es nie verhindern das jemand Adminrechte hat - Entwickler zum Entwickeln, der Techniker zum Supporten beim Kunden um Probleme nachzustellen oder SW zu installieren, der Vertriebler um etwas Demonstrieren zu können.
Diesen Sachverhalt akzeptieren wir einfach mal so
Nehmen wir auch Abstand von der Tatsache das irgendwer irgendwelche Software mutwillig deinstalliert. Das kann ich ja abmahnen weil ich es mitbekomme dank des zentralen Systems. Das ist ja auch nicht das Problem, da ich damit ja wie schon gesagt rechne.

Was ich eben suche, für sinnvoll halte und nicht verstehen kann warum es das nicht geben soll:

FRÜHER:
Virenscanner auf allen Maschinen, zentral über einen Management-Server im lokalen Netzwerk gesteuert. So kennt man das.
HEUTE:
Virenscanner auf allen Maschinen, zentral über die Cloud gesteuert - wodurch mein steuerbares Netzwerk mal eben so zur ganzen Welt erweiter wird. Hübsche Sache.

JETZT:
Appliance oder Proxy im Netzwerk welche(r) den gesamten Verkehr überwacht / kontrolliert und einschränkt. Perfekt solange der User im Firmennetzwerk sitzt.
WUNSCH:
Virtuelle Appliance auf jedem Client dessen Regelwerk bzw. Management ebenfalls in der Cloud liegt und somit weltweit greift.

Gruß,
Markus
Bitte warten ..
Mitglied: St-Andreas
06.05.2011 um 14:45 Uhr
Zitat von gnangsa:
Hi again,

ich stimme euch ja zu. Jedoch kann man es nie verhindern das jemand Adminrechte hat
Doch

>- Entwickler zum Entwickeln,
das hat dann halt in einer VM zu erfolgen die keinen Zugriff auf das LAN und dessen Geräte hat wenn tatsächlich für die Entwicklung Adminrechte notwendig sind

>der Techniker zum Supporten beim Kunden um Probleme nachzustellen oder SW zu installieren,
Nein, zum spielen sind separate Geräte /VMs zu nutzen. Nicht das "normale" Laptop

>der Vertriebler um etwas Demonstrieren zu können.
Nein, Vertriebler haben per Definition schonmal überhaupt keine Adminrechte

Diesen Sachverhalt akzeptieren wir einfach mal so
Definitiv NEIN

Nehmen wir auch Abstand von der Tatsache das irgendwer irgendwelche Software mutwillig deinstalliert. Das kann ich ja abmahnen
Adminrechte haben heisst ja nicht Software deinstallieren zu müssen. Und selbstverständlich werden Mitarbeiter die Sicherheitsmechanismen aushebeln sofort abgemahnt

weil ich es mitbekomme dank des zentralen Systems. Das ist ja auch nicht das Problem, da ich damit ja wie schon gesagt rechne.

Was ich eben suche, für sinnvoll halte und nicht verstehen kann warum es das nicht geben soll:
Adminrechte hebeln JEDEN Sinn aus. Punkt.



FRÜHER:
Virenscanner auf allen Maschinen, zentral über einen Management-Server im lokalen Netzwerk gesteuert. So kennt man das.
HEUTE:
Virenscanner auf allen Maschinen, zentral über die Cloud gesteuert - wodurch mein steuerbares Netzwerk mal eben so zur ganzen
Welt erweiter wird. Hübsche Sache.

JETZT:
Appliance oder Proxy im Netzwerk welche(r) den gesamten Verkehr überwacht / kontrolliert und einschränkt. Perfekt
solange der User im Firmennetzwerk sitzt.
WUNSCH:
Virtuelle Appliance auf jedem Client dessen Regelwerk bzw. Management ebenfalls in der Cloud liegt und somit weltweit greift.
Warum so kompliziert. Erweiter Dein LAN einfach über Eure Officegrenzen hinaus aus und binde sämtliche Geräte per VPN an. Ist etwas unbequem aber machbar. Und für Testkram, Spielen und andere Sauereien gibt es entweder Dualbootsysteme oder VMs.



Gruß,
Markus

Gruß,
Andreas
Bitte warten ..
Mitglied: gnangsa
06.05.2011 um 15:45 Uhr
Ich kann das ja mal an den IT-Verantwortlichen der Siemens AG weiterleiten, mal sehen ob wir dann in 2-3 Jahren eine Lösung auf VM-Basis haben.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
Exchange 2013 Größenbeschränkungen intern einschränken (5)

Frage von lupolo zum Thema Exchange Server ...

Voice over IP
gelöst PfSense: WAN1 Bandbreite für VoIP sinnvoll einschränken (3)

Frage von istike2 zum Thema Voice over IP ...

Sicherheit
IPad Air 2 User einschränken (24)

Frage von thomasreischer zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...