pz6j89 10 Geschrieben 8. Juni 2009 Melden Teilen Geschrieben 8. Juni 2009 Hallo zusammen, ich habe folgendes Problem. ich möchte verhindern dass die Domänenbenutzer CDs/DVDs brennen können. Über die GPO kann ich die Windowsbrennfunktion deaktivieren. Allerdings können die User das mit Nero oder anderen Brennsuiten umgehen. Wie kann ich grundsätzlich das brennen untersagen? Es sei noch gesagt dass alle User lokale administrative Rechte besitzen und das auch so gewünscht ist (Fragen wie "Warum?" und "Wieso?" könnte ihr euch sparen. Ist einfach so und wird auch nicht geändert.) Gruß Oli Zitieren Link zu diesem Kommentar
chirho 10 Geschrieben 8. Juni 2009 Melden Teilen Geschrieben 8. Juni 2009 Hallo. alle User lokale administrative Rechte besitzen Das sind Admins! Du kannst denen keine Rechte entziehen, die die sich dann nicht wiederholen könnten... Ansonsten: Bau die Brenner aus und deaktiviere USB im passwortgeschützen BIOS (fraglich ob man das will...) Zitieren Link zu diesem Kommentar
pz6j89 10 Geschrieben 8. Juni 2009 Autor Melden Teilen Geschrieben 8. Juni 2009 mit cynapspro ist das aber möglich. aber ich würde gerne auf eine thir-party-lösung verzichten... Zitieren Link zu diesem Kommentar
chirho 10 Geschrieben 8. Juni 2009 Melden Teilen Geschrieben 8. Juni 2009 Ich kenne die Software nicht, aber wer sollte mich als lokaler Admin davon abhalten, das Netzwerkkabel zu ziehen und eine Software oder einen Dienst, der mich vom Brennen abhält, zu beenden. Mal ein paar Kollegen hier zitierend: Ein Admin ist ein Admin ist ein Admin... Zitieren Link zu diesem Kommentar
pz6j89 10 Geschrieben 9. Juni 2009 Autor Melden Teilen Geschrieben 9. Juni 2009 Wir sind ein 50-Mann-Unternehmen und ich kann mit sicherheit sagen dass von denen keiner wüsste wo er dieses Tool finden würde und wie er die entsprechenden Prozesse killen könnte... Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 9. Juni 2009 Melden Teilen Geschrieben 9. Juni 2009 Via GPO nur bestimmte Software zur Installation zulassen, aber auch hier ist eine umgehung mit dem enstprechenden know how möglich. Zitieren Link zu diesem Kommentar
chris_davidi 10 Geschrieben 10. Juni 2009 Melden Teilen Geschrieben 10. Juni 2009 Erkläre mal diesen Schwachsinn, 50 lokale Admins und dann das Brennrecht entziehen wollen. Wo ist hier die Logik bzw. was berechtigt diese Tatsache? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 11. Juni 2009 Melden Teilen Geschrieben 11. Juni 2009 Wie kann ich grundsätzlich das brennen untersagen? Es sei noch gesagt dass alle User lokale administrative Rechte besitzen und das auch so gewünscht ist (Fragen wie "Warum?" und "Wieso?" könnte ihr euch sparen. Ist einfach so und wird auch nicht geändert.) Brenner ausbauen wird wohl die einzige Alternative in eurem Fall sein. Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 11. Juni 2009 Melden Teilen Geschrieben 11. Juni 2009 Hallo Oli, ich muss prinzipiell allen Vorrednern Recht geben, dass es keinen Sinn macht, alle User als Admins laufen zu lassen. Selbst wenn das Brennern unterbunden werden kann, so sind doch Admins in der Lage, sehr viel Unerwünschtes am PC durchzuführen. Zu glauben, man hat es nur mit DAUs zu tun, hilft hier nicht. Alle diese User haben einen Internetzugang und können lesen und schreiben. Deshalb können sie sich auch informieren, wie man am PC etwas als admin anstellt. Ich kenne allerdings ein Programm, welches auch admins am PC das Schreibern auf alle oder nur bestimmte externe Medien (bspw. deine CD/DVD-Brenner) untersagen kann. Symantec Endpoint Protection bietet eine umfangreiche Device-und Application-Control (Geräte- und Anwendungssteuerung). Damit kann ich das Schreibern auf CD/DVD oder auch USB-Sticks verbieten. Diese Richtlinien werden zentral vorgegeben und können so eingestellt werden, dass niemand am PC diese ausschalten kann. Wenn due weitere Infos dazu benötigst, dann sende mir eine PN. Zitieren Link zu diesem Kommentar
pz6j89 10 Geschrieben 12. Juni 2009 Autor Melden Teilen Geschrieben 12. Juni 2009 Ich weiss dass es gegen alle Vernunft ist, die User als lokale Admins einzurichten. Aber wie schon gesagt ist das hier in der Firma so gewünscht. Und zum faktor Sicherheit usw. kann ich nur sagen dass wir ein vollständig virenfreies Netzwerk haben und auch sonst keine sicherheitskritischen Situationen hatten... Von daher sind weitere "Wie kann man nur..." usw. total unnötig und helfen bei meinen Problem nicht weiter. Also spart euch die Antwort auf diesen Thread in dem Fall. Ihr könnt wo anders euren Postcounter hochjagen... @goscho: danke für die Info zu diesem Programm, aber wie gesagt haben wir schon ein Programm was genau das kann. Ich hätte es halt nur gern gehabt wenn das ohne extrasoftware ginge. aber so werden wir wohl auf ein externes programm zurückgreifen... Zitieren Link zu diesem Kommentar
Dienstbier 10 Geschrieben 14. Juni 2009 Melden Teilen Geschrieben 14. Juni 2009 Also mich wundert es vordergründig mehr, was für einen Ton so mancher Poster so an den Tag legt. Ich kann ja verstehen, dass die Meinungen einiger "nerven", aber wenn du, pz6j89, auf selbige keine Lust hast, dann wäre für dich eine Community wohl der falsche Informationspool. Und bezüglich der vermeintlich "sauberen" Sicherheitslage: Ihr habt sie. Noch.* dIbI *)Das ist keine Drohung, aber eine Prophezeigung - was schief gehen kann, WIRD schief gehen. Irgendwann. Zitieren Link zu diesem Kommentar
pz6j89 10 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 Ich hab sehr wohl Lust auf die Meinung anderer - aber bitte auch zu meinem Problem und nicht zu etwas anderem. Ich weiss selbst sehr gut, dass es ein hohes Risiko ist. Aber es ist nun mal wie erwähnt so gewünscht und wird sich auch nicht ändern (es sei denn wir haben wirklich mal ein ernstes Problem). Und damit sind Diskussionen dahingehend doch auch nicht mehr nötig. Zumindest seh ich das so. Nur so als Info am Rande unser System läuft nun schon fast 4 Jahre so und es ist noch gar nix passiert. Ein paar kleine Virenvorfälle und das wars auch schon. Selbst als wir letztes Jahr auf Windows Server 2008 umgestiegen sind, haben wir keine Probleme in unserer alten Struktur gefunden. Somit denke ich dass wir IT'ler hier unsere Arbeit sehr gut machen und vorbeugend agieren. Die Leute hier haben zwar nicht die größte Ahnung von PCs aber sie agieren sehr vernünftig mit diesen Geräten und machen uns nicht das Leben schwer. Externe Medien werden vorher selbstständig von den Anwendern nach Viren gescannt und sonst gibts auch keine Spielereien am System von denen. Jaja so Anwender wünscht man sich. ;-) Also zurück zu meinem Problem. Wir haben uns dazu entschlossen nun doch das externe Programm zu wählen. Trotzdem ein Danke an die konstruktiven Poster. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.