Jump to content

Firefox über Policy sperren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

in unserem Netzwerk regeln wir einiges über Policys, was auch super funktioniert.

Der Internetzugang wird über Proxy gesteuert und der wird per Policy auf die Clients aufgedrückt. Was auch soweit keine Probleme bereitet.

Jetzt haben ein paar User herausgefunden, dass wenn sie den Firefox als Browser nutzen, den Proxy umgehen und frei surfen können.

Dazu von mir, die User dürfen nichts installieren, die USB ports sind jetzt auch gesperrt, aber einige haben Mailaccounts, diese senden sich von Zuhause aus den Firefox, entpacken diesen dann und legen ihn auf einem Share ab, von dort wird er dann geöffnet. Jetzt meine Frage:

Wie kann ich dieses unterbinden, per Policy, dass der Firefox sich nicht mehr starten lässt? Hat da jemand eine Idee?

 

Server: Win2003

Clients: XP prof. SP2

 

Danke schon Mal

 

MfG

eddi

Link zu diesem Kommentar

Man kann in der Sicherheitskonfiguration Dateiausführungspfade so konfigurieren, dass Programme nur aus zugelassenden Verzeichnissen ausgeführt werden können, also z.B. C:\Windows und C:\Programme. Da der User dort kein Schreibrecht hat, kann er die Programme dort nicht ablegen und auch nicht ausführen.

 

Siehe Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

-Zahni

Link zu diesem Kommentar
ich würd den user-workstations einfach kein default gateway per DHCP zukommen lassen...d.h. entweder per proxy raus oder gar nicht.

 

Das ist genauso eine "sinnlose" Sicherheitsmaßnahme wie die, einen falschen Proxy einzutragen. Entweder ich habe einen Proxy und der ist mein Gateway ins Internet, oder eben nicht.

 

Bye

Norbert

Link zu diesem Kommentar
Hallo zusammen,

die Vorgabe über DHCP kommt vom Mutterkonzern, da können wir nix ändern. Ich habe schon gelesen dass man über den Hash-Wert der Datei das ganze einschränken kann, hat da jemand Erfahrung, wie ich vom Firefox den Hash-Wert ermittele?

 

Danke

eddi

 

Was würde dir das nutzen? Wenn überhaupt, dann bringt dir das nur was, wenn du mit Whitelists statt mit Blacklists arbeitest.

 

Bye

Norbert

Link zu diesem Kommentar

Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet.

Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten.

>>>>

>>>>

>>>>

 

Hallo zusammen,

ich habe die Einstellungen vorgenommen, die Policy ausgerollt und ein paar Tests gemacht.

Es funktioniert, der Firefox lässt sich nicht mehr starten, er brint die Meldung, dass es untersagt ist diese Datei auszuführen und man sollte sich mit dem Admin in Verbindung setzen. SUPPI

 

Danke für eure Mithilfe

eddi

Link zu diesem Kommentar
Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet.

Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten.

 

Danke

eddi

 

Du weißt doch gar nicht, welche Firefox Version deine User nutzen. Wie willst du also einen passenden Hash erstellen? Du mußt mit Whitelist SRP arbeiten. Sprich du erlaubst das, was erlaubt sein muß und alles andere ist verboten. Du willst jetzt Firefox verbieten und alles andere erlauben. Das muß zwangsläufig fehlschlagen. ;)

Hier was zum Einlesen:

SRP - Software Restriction Policies

 

Bye

Norbert

Link zu diesem Kommentar

Hallo zusammen,

 

also was mir so einfällt:

 

1. Mailgateway konfigurieren das alle firefox.exe gelöscht werden (ich weiß nicht sicher ob sowas geht. Sollte aber machbar sein)

 

2. Virenscanner konfigurieren und firefox.exe quasi als Trojaner/Virus behandeln

 

3. Ein Script bauen das jede Nacht den/die Fileserver umkrempelt und firefox.exe löscht.

 

4. evtl. gibt es einen Dienst der bestimmte Prozesse überwacht und beendet. (Evtl. lässt sich da was mit firedaemon oder ähnlichem basteln) Diesen dann lokal auf die Clients verteilen. Per GPO oder so.

 

5. Zentral von einem Server aus alle Clients (keine Ahnung wieviele das sind) periodisch per WMI abklappern und falls gestartet entsprechenden Prozess stoppen.

 

 

Eine Lösung gibt es immer! :-)

 

CU

Chris

Link zu diesem Kommentar

Hallo Norbert,

klar, die genaue Version kenne ich nicht, habe aber noch ein paar Versionen gehabt und von denen den Hash erstellt, auch von Opera. Ganz sperren kann ich den nicht, da manche Stabsstellen sowie Notebooknutzer den FireFox noch verwenden. Ich möchte dies nur für die Normal-User ausschließen, sofern es mir möglich ist. Ich schau mir den Link nochmals genauer an, vieleicht kann ich nochwas verwenden!

 

@spaceguy

Hi,

die Mailserver sind nicht an unserem Standort, Virenscanner geht auch nicht, da einige den FireFox nutzen, Script bauen der die exe löscht, die benennen die Firefox.exe um, dann wars das schon, alle Prozesse überwachen, über 500 Clients.

 

bis denne

eddi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...