Firefox über Policy sperren

[eddi the cat 10]

Hallo zusammen,

in unserem Netzwerk regeln wir einiges über Policys, was auch super funktioniert.

Der Internetzugang wird über Proxy gesteuert und der wird per Policy auf die Clients aufgedrückt. Was auch soweit keine Probleme bereitet.

Jetzt haben ein paar User herausgefunden, dass wenn sie den Firefox als Browser nutzen, den Proxy umgehen und frei surfen können.

Dazu von mir, die User dürfen nichts installieren, die USB ports sind jetzt auch gesperrt, aber einige haben Mailaccounts, diese senden sich von Zuhause aus den Firefox, entpacken diesen dann und legen ihn auf einem Share ab, von dort wird er dann geöffnet. Jetzt meine Frage:

Wie kann ich dieses unterbinden, per Policy, dass der Firefox sich nicht mehr starten lässt? Hat da jemand eine Idee?

 

Server: Win2003

Clients: XP prof. SP2

 

Danke schon Mal

 

MfG

eddi

[zahni 521]

Man kann in der Sicherheitskonfiguration Dateiausführungspfade so konfigurieren, dass Programme nur aus zugelassenden Verzeichnissen ausgeführt werden können, also z.B. C:\Windows und C:\Programme. Da der User dort kein Schreibrecht hat, kann er die Programme dort nicht ablegen und auch nicht ausführen.

 

Siehe Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

-Zahni

[vmorbit 10]

ich würd den user-workstations einfach kein default gateway per DHCP zukommen lassen...d.h. entweder per proxy raus oder gar nicht.

[NorbertFe 1.809]

ich würd den user-workstations einfach kein default gateway per DHCP zukommen lassen...d.h. entweder per proxy raus oder gar nicht.

 

Das ist genauso eine "sinnlose" Sicherheitsmaßnahme wie die, einen falschen Proxy einzutragen. Entweder ich habe einen Proxy und der ist mein Gateway ins Internet, oder eben nicht.

 

Bye

Norbert

[eddi the cat 10]

Hallo zusammen,

die Vorgabe über DHCP kommt vom Mutterkonzern, da können wir nix ändern. Ich habe schon gelesen dass man über den Hash-Wert der Datei das ganze einschränken kann, hat da jemand Erfahrung, wie ich vom Firefox den Hash-Wert ermittele?

 

Danke

eddi

[toad 10]

Bei sowas würde es mir in den Fingern jucken, Meetings mit den entsprechenden Herrschaften und deren Vorgesetzten anzusetzen. Sich von zuhause aus den Firefox per Mail schicken, ich glaube es hackt.

[eddi the cat 10]

Ja, wem sagst du das!

Wir haben einige Meetings abgehalten, es werden jetzt auch Abmahnungen ausgegeben, aber es sind immer noch einige nicht schlau geworden!

Wie kann ich denn bzw., wo finde ich in den Gruppenrichtlinien den Eintrag mit dem Hash?

Ich probiere es Mal damit!

 

Danke

eddi

[NorbertFe 1.809]

Hallo zusammen,

die Vorgabe über DHCP kommt vom Mutterkonzern, da können wir nix ändern. Ich habe schon gelesen dass man über den Hash-Wert der Datei das ganze einschränken kann, hat da jemand Erfahrung, wie ich vom Firefox den Hash-Wert ermittele?

 

Danke

eddi

 

Was würde dir das nutzen? Wenn überhaupt, dann bringt dir das nur was, wenn du mit Whitelists statt mit Blacklists arbeitest.

 

Bye

Norbert

[eddi the cat 10]

Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet.

Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten.

>>>>

>>>>

>>>>

 

Hallo zusammen,

ich habe die Einstellungen vorgenommen, die Policy ausgerollt und ein paar Tests gemacht.

Es funktioniert, der Firefox lässt sich nicht mehr starten, er brint die Meldung, dass es untersagt ist diese Datei auszuführen und man sollte sich mit dem Admin in Verbindung setzen. SUPPI

 

Danke für eure Mithilfe

eddi

[NorbertFe 1.809]

Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet.

Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten.

 

Danke

eddi

 

Du weißt doch gar nicht, welche Firefox Version deine User nutzen. Wie willst du also einen passenden Hash erstellen? Du mußt mit Whitelist SRP arbeiten. Sprich du erlaubst das, was erlaubt sein muß und alles andere ist verboten. Du willst jetzt Firefox verbieten und alles andere erlauben. Das muß zwangsläufig fehlschlagen. ;)

Hier was zum Einlesen:

SRP - Software Restriction Policies

 

Bye

Norbert

[spaceguy 10]

Hallo zusammen,

 

also was mir so einfällt:

 

1. Mailgateway konfigurieren das alle firefox.exe gelöscht werden (ich weiß nicht sicher ob sowas geht. Sollte aber machbar sein)

 

2. Virenscanner konfigurieren und firefox.exe quasi als Trojaner/Virus behandeln

 

3. Ein Script bauen das jede Nacht den/die Fileserver umkrempelt und firefox.exe löscht.

 

4. evtl. gibt es einen Dienst der bestimmte Prozesse überwacht und beendet. (Evtl. lässt sich da was mit firedaemon oder ähnlichem basteln) Diesen dann lokal auf die Clients verteilen. Per GPO oder so.

 

5. Zentral von einem Server aus alle Clients (keine Ahnung wieviele das sind) periodisch per WMI abklappern und falls gestartet entsprechenden Prozess stoppen.

 

 

Eine Lösung gibt es immer! :-)

 

CU

Chris

[eddi the cat 10]

Hallo Norbert,

klar, die genaue Version kenne ich nicht, habe aber noch ein paar Versionen gehabt und von denen den Hash erstellt, auch von Opera. Ganz sperren kann ich den nicht, da manche Stabsstellen sowie Notebooknutzer den FireFox noch verwenden. Ich möchte dies nur für die Normal-User ausschließen, sofern es mir möglich ist. Ich schau mir den Link nochmals genauer an, vieleicht kann ich nochwas verwenden!

 

@spaceguy

Hi,

die Mailserver sind nicht an unserem Standort, Virenscanner geht auch nicht, da einige den FireFox nutzen, Script bauen der die exe löscht, die benennen die Firefox.exe um, dann wars das schon, alle Prozesse überwachen, über 500 Clients.

 

bis denne

eddi