Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann man Ultrasurf blocken?

Frage Internet

Mitglied: Crovax

Crovax (Level 1) - Jetzt verbinden

29.03.2011 um 12:46 Uhr, 7990 Aufrufe, 36 Kommentare

Hallo zusammen,

kurz zur Vorgeschichte: ich bin Systemadministrator an mehreren Schulen und wir haben eine Proxy Lösung um jugendgefährdende Inhalte aus dem Internet zu filtern.
Der Proxy wird von Time for Kids zur Verfügung gestellt.

Nun sind Schüler was die Blockierung von Inhalten sehr kreativ diese zu umgehen und neuerdings nutzen sie das Programm von Ultrasurf.

Meine Frage: Wie zur Hölle kann man dieses Programm blockieren? Sei es über die AD, den Proxy, die Firewall, irgendwie? Ich bin relativ verzweifelt, da es schier unmöglich scheint, das Programm irgendwie zu blockieren (mal abgeseshen von der SonicWall, googlesearch)
36 Antworten
Mitglied: manuel-r
29.03.2011 um 12:52 Uhr
Wenn du dem hinterherhecheln willst was täglich neu an Software auf den Markt kommt stehst du auf verlorenem Posten. Folglich muss dein Proxy, wenn schon nicht ins Gateway (weil das gerade nicht geht) dann doch wenigstens so dicht dran wie es geht. Weiterhin ist es sinnig am Gateway zu verbieten, dass irgendwas anderes als der Proxy und einige dedizierte Server direkt ins Internet dürfen. Das mal zuallererst. Jetzt zu deinen Fragen:
Wenn ihr ein AD habt kannst du per Richtlinie festlegen welche Programm ausgeführt werden dürfen und welche nicht. Sobald die Schüler jedoch private Hardware nutzen können sollen ist das hinfällig, weil diese Hardware nun mal nicht im AD hängt und daher auch keine Richtlinien umsetzt. Gleiches gilt für Nicht-Windows-Maschinen. Die kennen einfach keine Richtlinien.
Bitte warten ..
Mitglied: Phalanx82
29.03.2011 um 12:56 Uhr
Hallo,

zum einen kannst du auf jedem Client in der Firewall das Programm blockieren.
Aber findige Schüler die schon darauf kommen das Ding zu benutzen, würden
dann einfach die .exe umbenennen (wenn das Programm dann noch tut, was
bei sehr vielen Programmen der Fall ist).

Noch eine Möglichkeit wäre wohl die DEP von Windows einzuschalten und nur
Programme freizugeben die explizit erlaubt sein sollen. Allerdings würden die
Schüler dann ggf. auch damit Schindluder treiben und ggf. die .exe umbenennen.
Ob die DEP da mehr einfließen lässt außer den Programmnamen kann ich dir
allerdings nicht sagen, habe ich nie getestet, wäre aber wohl einen Versuch
wert.

btw. die Schüler haben Adminrechte auf den Kisten oder nicht? Falls ja, kannste
dir alles sparen, denn dann können sie jegliche Arbeit die du machst gleich revidieren.


Mfg.
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:00 Uhr
Das das mit der AD nicht klappt hatte ich mir schon fast gedacht. Die Schüler dürfen ihre USB Sticks benutzen.

zur Info: Proxy ist gleichzeitig Gateway.
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:02 Uhr
die Schüler haben lokale Adminrechte aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern. Über Firewall oder Proxy ist nichts zu machen?
Bitte warten ..
Mitglied: manuel-r
29.03.2011 um 13:05 Uhr
Das das mit der AD nicht klappt hatte ich mir schon fast gedacht
Wo schrieb ich das denn? Umgekehrt wird ein Schuh draus.

Die Schüler dürfen ihre USB Sticks benutzen
Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC
Bitte warten ..
Mitglied: manuel-r
29.03.2011 um 13:08 Uhr
die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:08 Uhr
Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC


Ja dürfen Sie, aber hier kommt die SonicWall ins Spiel und diese kann Ultrasurf blocken. Zumindest solange wie die Schüler das Wlan-Netz nutzen
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:11 Uhr
Zitat von manuel-r:
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.


Dies hat ja erst einmal nichts mit dem eigentlichen Problem zu tun. Wir schützen die PCs mit einer Protektorlösung so dass Sie beim nächsten Neustart wieder auf Null zurückgesetzt werden.
Bitte warten ..
Mitglied: Phalanx82
29.03.2011 um 13:11 Uhr
Zitat von manuel-r:
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.


Gibt auch so tolle "RunAS" Dinger für spezielle Fälle, kann man Windows sogar mit Boardmitteln
beibringen mit welchen Rechten was gestartet wird und das sogar für jeden User

Ist dann zwar ein wenig Arbeit wenns viele Programme sind die man konfigurieren muss, aber man
hat danach weniger Ärger wenn die Schüler keine Adminrechte mehr haben ;)
Bitte warten ..
Mitglied: 60730
29.03.2011 um 13:12 Uhr
moin,

die Schüler haben lokale Adminrechte face-sad aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern.

ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These wirklich stimmt und die nicht wegen Faulheit des jeweiligen Admins aufgestellt wurde.

  • Entweder mußt du den "Usern" ntfs Rechte oder Rechte in einzelnen Reg Ästen geben - die globale pauchale Keule braucht man nicht.

Gruß
Bitte warten ..
Mitglied: Xaero1982
29.03.2011 um 13:12 Uhr
Hi,

es gibt so gut wie kein Programm das man nicht unter Benutzerrechten laufen lassen kann, wenn man ggf. gewisse Registryeinstellungen oder Ordnerberechtigungen manuell setzt.

Schüler mit Adminrechten auszustatten ist einfach ein GAU und bereitet nur Ärger.

So viel dazu!

Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.

Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.

Habt ihr für jeden Nutzer einen Login?

Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.

Ich hatte ein ähnliches Problem ... da wurde über externe Proxys die interne Sperre umgangen. Dann hab ich mir den Verantwortlichen geschnappt und die Schulleitung und denen klar gemacht, dass die Sperren einen Sinn haben und nicht dazu da sind umgangen zu werden. Da weiterhin protokolliert wurde was wo geöffnet wurde konnte ich es trotz Umgehung nachvollziehen.
Seit dem ich denen sagte, dass ich sie komplett vom Netz nehme, wenn ich das weiter beobachte gehts wunderbar.

VG
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:16 Uhr
Zitat von 60730:
moin,

> die Schüler haben lokale Adminrechte face-sad aber geht nicht anders, da viele Programme die wir hier nutzen diese
erfordern.

ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These stimmt.

entweder mußt du den "Usern" ntfs Rechte oder Rechte in einzelnen Regäste geben - die globale pauchale Keule
bruacht man nicht.

Gruß



Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil 3d 2011 mit CAD+T 2010 Aufsatz.

Dann die berühmtberüchtigte Software von der Bildungsstelle: Lanis (äußerst schlecht programmiert, aber die Lehrer wollen es nun mal)

Die eigentliche Frage ist damit aber auch nicht beantwortet
Bitte warten ..
Mitglied: manuel-r
29.03.2011 um 13:18 Uhr
Dies hat ja erst einmal nichts mit dem eigentlichen Problem zu tun.
Natürlich hat es damit zu tun. Wenn ich lokaler Admin bin lege ich mir notfalls eine neuen lokalen Account für mich an. Und schwupp greifen sämtliche GPOs die auf Benutzer abzielen nicht mehr einen Millimeter. Lediglich die Computer-Richtlinien gelten noch. Damit habe ich den Admin gut 50% seiner Möglichkeiten beraubt.

Wir schützen die PCs mit einer Protektorlösung so dass Sie beim nächsten Neustart wieder auf Null zurückgesetzt werden.
Und das bringt dir nichts, wenn jemand von seinem USB-Stick irgendeine portable Software nutzt. Hier geht es um einen Browser, da kann es noch einigermaßen egal sein, ob er den gestartet bekommt - nur surfen soll er nicht. Das regel ich am elegantesten am Gateway. Und wenn ich schon dabei bin sperre ich auch grad noch die Ports für Skype, ICQ, Filesharingdienst usw usw usw.
Da bspw. Skype auch über Port 80 kann, könnte das auch über den Proxy. Dann bügele ich halt noch einen über die Softwarerichtlinien über...
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:18 Uhr

Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.

jip ich weiß, aber kommt halt vom Landkreis. Was wäre denn eine Alternative?

Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.

Habt ihr für jeden Nutzer einen Login?

ja haben wir

Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
wäre eine Maßnahme
Bitte warten ..
Mitglied: mrtux
29.03.2011 um 13:20 Uhr
Hi !

Zitat von Crovax:
die Schüler haben lokale Adminrechte aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern.

Ohjeee...

Über Firewall oder Proxy ist nichts zu machen?

Naja schon, nur nutzt es nix... Saug dir Sysinternals Process Monitor und schaue welches Programm wo hinschreiben will, setze die Rechte dementsprechend und wenn ein Programm gar nicht ohne Adminrechte will, dann hau es weg oder beschwere dich beim Hersteller über die unprofessionelle Arbeit. Viele Softwareentwickler haben relativ wenig Erfahrung von den Sicherheitsfunktionen, die ein Admin in der Praxis benötigt oder sie scheren sich einen Dreck darum. Solchen Leuten muss man ordentlich Dampf machen, am besten von hoher Stelle aber die "hohen Stellen" müssen das Problem auch kennen! Und eigentlich ganz selbstverständlich (aber in der Praxis oftmals nicht so): Trenne Software für Bildung unbedingt von Software für die Schulverwaltung, ansonsten wirst Du da noch viel grössere Probleme bekommen. Und wie das von den Kollegen ja schon angemerkt wurde, ohne Einschränkungen bei den Benutzerechten ist alles was Du tust für die Katz....

mrtux
Bitte warten ..
Mitglied: Xaero1982
29.03.2011 um 13:21 Uhr
Zitat von Crovax:
>
> Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
>
jip ich weiß, aber kommt halt vom Landkreis. Was wäre denn eine Alternative?

Ich nutze eine Astaro die ich als Gateway eingetragen habe - nichts mit Proxyspielerein am IE oder das Nutzen von portablen Browsern.
>
> Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
>
> Habt ihr für jeden Nutzer einen Login?
>
ja haben wir

Dann sollte das ja kein Problem sein. Schüler müssen keine Exe dateien ausführen von irgendwelchen USB Sticks.

>
> Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
>
wäre eine Maßnahme

Sollte auch im Interesse der Schulleitung sein!

VG
Bitte warten ..
Mitglied: biotentakel
29.03.2011 um 13:30 Uhr
Zitat von Crovax:
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.

Ich kenne diese Problematik. Ich habe selbst mit diesem Programm zu kämpfen. Selbst der Hersteller sagt, das zum ausführen dieses Programm Admin-Rechte nutzbar sein müssen. Weiss der Teufel warum.

Nun zu deinem Problem.
Ich würde hier ganz Prakmatisch rangehen. Wenn wirklich nur dieses Prog genutzt wird in der Vorlesung (Unterrichtsstd.) Deaktiviere die Internetverbindung für die jeweiligen PC´s.
Kurz. Std. beginnt. Internet aus. Std zu ende. Internet an.
So ist, falls nötig, die Netzwerkverbindung noch da falls ein Doongel genutzt wird.

Grüüße
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:38 Uhr
Also fasse ich mal zusammen:

- Meine lokalen Adminrechte sind murks
- über die Firewall oder den Proxy ist es nicht möglich Ultrasurf zu blocken, es sei denn man macht HTTPS dicht



noch zur Info: Pädagogisches Netz und Verwaltungsnetz sind strickt getrennt. Die lokalen Adminrechte sind über die GPO eingeschränkt.
Bitte warten ..
Mitglied: keksdieb
29.03.2011 um 13:48 Uhr
Moin moin,

du hast hier das klassische Katz und Maus Spiel. Und da die Schüler Adminrechte haben stehst du wirklich schlecht da.

Ich würde ein Audit mit den entsprechenden Lehrern und Verantwortlichen für diesen Bereich machen, in denen die Schwachstellen aufgezeigt werden und Lösungen zusammengetragen werden.

In einem Schulnetz sollten gewissen Sicherheitsfeatures wie zentrale Administration, Gruppenrichtlinien, etc auf jedenfall vorhanden sein...
Ich stimme meinen Vorrednern zu, die Softwarehersteller müssen die Bugs beheben, ansonsten muss eine Alternative angeschafft werden. (soviel zu geiz ist geil!)
Ausserdem sollst du ja die Verantwortung für die IT übernehmen, und so kannst du keine Sicherheit gewährleisten!
Stell dir vor, du sollst ein Tor bewachen, das Tag und Nacht sperrangelweit offen ist. Soviel kannst du gar nicht laufen!

Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers gerechtfertigt war!

Gruß Keksdieb
Bitte warten ..
Mitglied: keksdieb
29.03.2011 um 13:55 Uhr
Hab mich nochmal schlau gemacht:

Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur temporär sinnvoll...

wir bleiben also bei Katz und Maus

Gruß Keksdieb
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:56 Uhr
Zitat von keksdieb:

Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und
Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers
gerechtfertigt war!

Du glaubst gar nicht wie recht du damit hast!
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 13:57 Uhr
Zitat von keksdieb:
Hab mich nochmal schlau gemacht:

Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können
dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur
temporär sinnvoll...

wir bleiben also bei Katz und Maus

Gruß Keksdieb

laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Bitte warten ..
Mitglied: manuel-r
29.03.2011 um 14:04 Uhr
laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Das ist ja alles gut und schön. Ich frage mich, warum der OP nicht das macht, was ich ganz oben geschrieben habe? Einfach nur noch dem Proxy und nichts sonst den Zugriff auf das Internet erlauben. Er hat zwar noch nichts zum Gateway gesagt, aber alle halbwegs professionellen Firewalls sollten das können. Und wenn nur ein komischer DSL-zu-Hause-Router da hängt, dann setze ich mir halt schnell einen IPCop, ein Endian, eine Smoothwall, eine M0nowall oder eine der vielen anderen Firewalls auf...
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 14:10 Uhr
Zitat von manuel-r:
> laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Das ist ja alles gut und schön. Ich frage mich, warum der OP nicht das macht, was ich ganz oben geschrieben habe? Einfach nur
noch dem Proxy und nichts sonst den Zugriff auf das Internet erlauben. Er hat zwar noch nichts zum Gateway gesagt, aber alle
halbwegs professionellen Firewalls sollten das können. Und wenn nur ein komischer DSL-zu-Hause-Router da hängt, dann
setze ich mir halt schnell einen IPCop, ein Endian, eine
Smoothwall, eine M0nowall oder eine der vielen anderen Firewalls auf...


Das ist ja das Problem: Ultrasurf nutzt das https Protokoll, welches ja bekanntlich verschlüsselt ist und somit die Firewall nichts tun kann oder irre ich mich!
Bitte warten ..
Mitglied: manuel-r
29.03.2011 um 14:15 Uhr
Ultrasurf nutzt das https Protokoll, welches ja bekanntlich verschlüsselt ist und somit die Firewall nichts tun kann oder irre ich mich!
Und? Lass doch https machen? Wenn die Firewall aber zum Client sagt "Du kommst hier net raus.", dann ist an der Stelle Feierabend. Der Client darf sich dann vertrauensvoll an den Proxy wenden und ganz lieb fragen, ob der mal für ihn was im Internet abrufen kann. Da helfen dem tollen Tool aus seine zigtausend Proxies nicht weiter.
Der hausinterne Proxy kann zwar die abgerufenen Inhalte wegen HTTPS nicht aufdröseln, er kann aber sehr wohl die URLs filtern. Damit ist schon mal ein guter Teil erschlagen. Und eine HTTPS-Verbindung zu den externen Proxies fällt auch flach, weil der Browser immer zuallerst den hauseigenen befragen muss. Alles was danach kommt entzieht seiner Einflussnahme.
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 14:33 Uhr
>Und? Lass doch https machen? Wenn die Firewall aber zum Client sagt "Du kommst hier net raus.", dann ist an der Stelle Feierabend. Der Client darf sich dann vertrauensvoll an den Proxy wenden und >ganz lieb fragen, ob der mal für ihn was im Internet abrufen kann. Da helfen dem tollen Tool aus seine zigtausend Proxies nicht weiter.
>Der hausinterne Proxy kann zwar die abgerufenen Inhalte wegen HTTPS nicht aufdröseln, er kann aber sehr wohl die URLs filtern. Damit ist schon mal ein guter Teil erschlagen. Und eine HTTPS->Verbindung zu den externen Proxies fällt auch flach, weil der Browser immer zuallerst den hauseigenen befragen muss. Alles was danach kommt entzieht seiner Einflussnahme.

Das ist die Lösung! Jetzt muss ich dem Proxy nur noch beibringen, dass er das ganze auch transparent macht.
Bitte warten ..
Mitglied: mrtux
29.03.2011 um 15:38 Uhr
Hi !

Zitat von Crovax:
Du glaubst gar nicht wie recht du damit hast!

Ich kenne das Problem, wir haben auch schon Schulen betreut und lassen seither da ganz bewusst die Finger weg...

Das Problem dabei ist, dass die Entscheider oftmals schon bei der Ausschreibung nur an die benötigte Hardware samt der Lizenzen denken. Für eine ordentliche Beratung (vor Ort), die mindestens genauso wichtig ist, wird meist kein Budget eingeplant. Und Dienstleister, die dann "auf Deubel kommt raus", solche Aufträge annehmen, stellen meist erst hinterher fest was sich sich und den Lehrern damit eingebrockt haben. Das läuft dann nach dem Motto: "Jetzt haben wir schon so viel Zeit reingesteckt, da verdienen wir ja nix mehr, sollen sich doch die Lehrer oder (wie ich das schon erlebt habe) der Hausmeister damit herumschlagen...."

mrtux
Bitte warten ..
Mitglied: Tommy70
29.03.2011 um 16:36 Uhr
Stimmt so nicht ganz. Eine Watchguard Firewall kann sich z.Bsp in das HTTPS Protokoll einklinken und mittels Webblocker werden dann auch HTTPS Seiten gefiltert.
Bitte warten ..
Mitglied: Xaero1982
29.03.2011 um 19:04 Uhr
Zitat von Crovax:
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.

Dann die berühmtberüchtigte Software von der Bildungsstelle: Lanis (äußerst schlecht programmiert, aber die
Lehrer wollen es nun mal)

Die eigentliche Frage ist damit aber auch nicht beantwortet

Ja und der HP Support wollte mir auch sagen, dass deren Home-Scanner nur mit Adminrechten läuft. Hat mich 5 Min gekostet und er lief als Benutzer.

Processexplorer sei dank...

VG
Bitte warten ..
Mitglied: DerWoWusste
29.03.2011 um 22:40 Uhr
Hallo.
Du schreibst gar nicht genau, ob Du die Schul-PCs schützen willst oder zwangsläufig auch verhindern musst, dass die Schüler mit ihren eigenen Laptops Daten über euren zugang hin und her schleusen. Unten schriebst du auf "Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC"
Ja dürfen Sie, aber hier kommt die SonicWall ins Spiel und diese kann Ultrasurf blocken
also scheint es um die Schul-PCs zu gehen. Da würde die Softwareeinschränkungsrichtlinien bzw. Applocker mit einer Whitelist doch voll ausreichen - allerdings nicht, wenn Du den Schülern Adminrechte gewährst, dann funktioniert das nicht wirklich.
Bitte warten ..
Mitglied: Crovax
29.03.2011 um 23:36 Uhr
Nun ja wie gesagt es ist gelöst, in der Firewall ist nun nur noch der Proxy-Server erlaubt auf https zuzugreifen.
Bitte warten ..
Mitglied: Xaero1982
30.03.2011 um 07:23 Uhr
Zitat von Crovax:
Nun ja wie gesagt es ist gelöst, in der Firewall ist nun nur noch der Proxy-Server erlaubt auf https zuzugreifen.

Na das ist doch schön )

VG
Bitte warten ..
Mitglied: AronDark
15.07.2011 um 08:28 Uhr
Hi,

wie genau hast du das denn nun gemacht ?

Gruß
Aron
Bitte warten ..
Mitglied: Crovax
15.07.2011 um 08:46 Uhr
Nun ja wie es halt schon oben steht.

Du lässt in der Firewall nur noch deinen eigenen Proxyserver auf den HTTPS Port zugreifen, den Rest verweigerst du. Problem gelöst. Um den Clients noch Zugriff HTTPS Seiten zu gewähren musst du in jedem Browser den Proxy eintragen.
Bitte warten ..
Mitglied: AronDark
15.07.2011 um 08:59 Uhr
Ja, soweit habe ich das verstanden. Sollte ich also neben dem TFK noch eine Endian oder eine Anderen Lösung als Firewall laufen lassen? Oder geht das auch allein mit dem TFK Router?

Gruß
AronD
Bitte warten ..
Mitglied: Crovax
15.07.2011 um 10:06 Uhr
das geht alleine mit der TFK. Trägst quasi die TFK in der ausgehenden Verbindungsfirewall ein.

Achso, wenn du ne TFK hast, ruf die doch einfach mal an, die haben echt nen top support und wissen auch bescheid.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Gesamten Internetnetverkehr blocken - außer Thunderbird (14)

Frage von suseday zum Thema LAN, WAN, Wireless ...

Windows Server
Blocken einer einzigen IP für DHCP Vergabe? (8)

Frage von winIT3264 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...