Markus Butz 10 Geschrieben 4. November 2008 Melden Teilen Geschrieben 4. November 2008 Hallo zusammen, habe hier einen Problemkunden, bei dem auf einigen Rechnern immer wieder Unfug getrieben wird. Ob Trojanische Pferde, Porno-Seiten oder einfach nur Installation irgendwelcher Messanger wird dort alles gemacht. Es sind schon einige GPOs konfiguriert, die hier und da Einschränkungen vornehmen (IE über Proxy - nur logging -, Laufwerk C gesperrt etc...). Nun müssen härtere Maßnahmen her und das muss alles mal durchkonfiguriert werden. Hatte das bisher immer nur so nebenbei gemacht und das hat auch immer ausgereicht. Doch jetzt möchte ich folgendes erreichen: 1) Einschränkung, dass nur einige Laufwerke zu sehen sein dürfen bzw. dann auf einige Laufwerke (C, D, ...) nicht zugegriffen werden darf ->> OK, per GPO, funktioniert 2) IE / Browser soll nur 5-6 Seiten anzeigen dürfen, Konfig nicht zu ändern ->> OK, per GPO, 5-6 Seiten in die Favoriten, per GPO Leiste ausblenden, im Proxy alle anderen Seiten sperren 3) Outlook: Die Konfiguration darf nicht verändert werden. ->> OK, per GPO. Ein Plugin ist dort installiert, ich habe allerdings keine Ahnung, wie ich diese zusätzliche Symbolleiste ausblende oder sperre. Das wäre also mein erstes Problem. 4) Es sollen nur die Office Produkte und ein Bildbetrachter erlaubt sein sowie Zugriff auf die Netzwerklaufwerke. Sowohl eine Verknüfung auf dem Desktop oder auf der Schnellstartleiste als auch ein Klick auf eine Office-Datei soll die entsprechende Applilkation starten. ->> Ansatz wäre hier die Softwareeinschränkung, richtig? 5) Downloads verbieten im Browser Lässt sich das nur am Proxy einstellen oder auch per GPO dann lokal? Ihr seht, was ich meine und vorhabe. Sicherlich keine untypische Konfiguration. Ganz mal abgesehen, dass auch Wächterkarten zum Einsatz kommen werden: Wie gehe ich das nun am besten an? Ich habe mit den Softwareeinschränkungen schon experimentiert - finde jedoch, dass sich hier und da die eine oder andere Funktion unlogisch verhält. Wie ist das Herangehen? ALLES sperren mit einer Regel für *.*? Weitere Dateitypen in die Liste designierter Dateien eintragen? (Greift irgendwie nicht...) oder wie macht man das eurer Meinung nach? Sind meine Ansätze falsch? Über ein paar Tips und Stichpunkte wäre ich sehr dankbar! Markus Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 4. November 2008 Melden Teilen Geschrieben 4. November 2008 Hallo, mal eine kurze Frage. Würden sich nicht 75% deiner Probleme erledigen, wenn Du den Nutzern einfach die lokalen Adminrechte wegnimmst? Grüße Frank Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 4. November 2008 Melden Teilen Geschrieben 4. November 2008 habe hier einen Problemkunden, bei dem auf einigen Rechnern immer wieder Unfug getrieben wird. Ob Trojanische Pferde, Porno-Seiten oder einfach nur Installation irgendwelcher Messanger wird dort alles gemacht. Und warum können die das? Es sind schon einige GPOs konfiguriert, die hier und da Einschränkungen vornehmen (IE über Proxy - nur logging -, Laufwerk C gesperrt etc...). Hmm... Nun müssen härtere Maßnahmen her und das muss alles mal durchkonfiguriert werden. Hatte das bisher immer nur so nebenbei gemacht und das hat auch immer ausgereicht. Ist das denn organisatorisch abgesegnet beim Kunden? Ich würde sagen, wenn du nicht im Sinne des Auftraggebers handelst und er dir gegenüber seinen Usern den Rücken freihält wird das eher eine sinnlose Aktion. 2) IE / Browser soll nur 5-6 Seiten anzeigen dürfen, Konfig nicht zu ändern->> OK, per GPO, 5-6 Seiten in die Favoriten, per GPO Leiste ausblenden, im Proxy alle anderen Seiten sperren Wenn du einen Proxy hast, dann kannst du dir den Rest doch sparen. 3) Outlook: Die Konfiguration darf nicht verändert werden.->> OK, per GPO. Ein Plugin ist dort installiert, ich habe allerdings keine Ahnung, wie ich diese zusätzliche Symbolleiste ausblende oder sperre. Das wäre also mein erstes Problem. Tja und wir haben ein Problem zu wissen was "ein Plugin" wohl sein könnte. 4) Es sollen nur die Office Produkte und ein Bildbetrachter erlaubt sein sowie Zugriff auf die Netzwerklaufwerke.Sowohl eine Verknüfung auf dem Desktop oder auf der Schnellstartleiste als auch ein Klick auf eine Office-Datei soll die entsprechende Applilkation starten. ->> Ansatz wäre hier die Softwareeinschränkung, richtig? Wohl eher ein Terminalserver. ;) 5) Downloads verbieten im BrowserLässt sich das nur am Proxy einstellen oder auch per GPO dann lokal? GPO ist da der falsche Ansatz. Sind meine Ansätze falsch? Naja ich würde mir eher Gedanken darum machen, mir organisatorischen Rückenhalt zu schaffen. Technisch kann man dann später tätig werden. Bye Norbert Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 6. November 2008 Autor Melden Teilen Geschrieben 6. November 2008 Hallo zusammen, hallo Norbert! Danke für die Antwort schonmal... Und warum können die das? Einschränkungen waren bisher nicht erwünscht... Ist das denn organisatorisch abgesegnet beim Kunden? Ich würde sagen, wenn du nicht im Sinne des Auftraggebers handelst und er dir gegenüber seinen Usern den Rücken freihält wird das eher eine sinnlose Aktion. Klar, das ist auf jeden Fall abgeklärt und jetzt 110% gewollt. Musste sofort umgesetzt werden... Das Problem ist hier stets weltweit wechselndes Personal, das eben NICHT lokal durch Richtlinien der deutschen Station kontrolliert oder nach Abmahnungen gekündigt werden kann. Lässt man die PCs eine Nacht aus den Augen, sind wieder X Dinge verstellt, Browser installiert, Seiten gesurt und so weiter. Habe ich noch nie so erlebt. Was ich jetzt gemacht habe ist: 1) Internet-Zugang nur noch über Proxy - nur Portalseiten des weltweiten Netzes werden noch direkt geroutet (konkret: Router angepasst, dass die Clients nicht mehr in das Internet dürfen und per GPO Autoconfig-Script erzwungen, in dem konfiguriert ist, wofür ein Proxy benutzt wird und wofür nicht.) 2) Desktop entsprechend eingeschränkt per GPO. 3) per GPO Laufwerke A-D ausgeblendet und Zugriff darauf verboten 4) Softwareeinschränkung per GPO: Standardmäßig alles DISALLOWED. Damit geht erstmal gar nichts. 5) Softwareeinschränkung per GPO: Additonal Rule für Desktop-LNKs und QuickLaunch LNKs. Damit lassen sich dann die Verknüpften Programme nutzen. 6) Zusätzlich ist jetzt noch eine Wächterkarte aktiv. Grundsätzlich ist das erstmal fein so. Allerdings habe ich noch zwei Probleme damit bzw. ein Problem und eine Frage: - Warum lassen sich AVI's bzw. MPG's abspielen? Es ist KEIN Mediaplayer mehr drauf, jedoch sollte doch der Aufruf verboten sein. Wie bei EXE, MSI etc. Dort kommt ja auch eine entsprechende Meldung. Wenn ich AVI aufrufe, kommt der Dialog, mit welchem Programm die Datei zu öffnen ist. Ich wähle also Irfanview (Bildbetrachter), der dann die AVIs abspielt. So sollte das natürlich nicht sein. Warum ist das so? Ich habe doch alles verboten? Weiterhin habe ich zusätzlich eine Additional Rule angelegt und gesagt *.avi = disallowed. Und ich habe in den Designated File Types AVI etc. ergänzt. Aber warum zieht das nirgends? ??? - Und eine Frage zum Outlook "Plugin". Tja und wir haben ein Problem zu wissen was "ein Plugin" wohl sein könnte. Konkret ist es der Outlook Connector des MDaemon Mailservers, der beim Kunden vorgeschrieben ist. Der Connector verbindet Outlook mit dem Server und gleicht über IMAP die Ordner ab. Nachgebautes Exchange. Der Connector bringt eine Symbolleiste mit, in der man dann die Settings wie Server-IP etc. einstellen kann. Die Leiste würde ich gerne ausblenden, weiß aber nicht, wie ich diese ansprechen kann... Danke noch für ein paar Tips! Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.