JustinXiang 10 Geschrieben 20. September 2011 Melden Teilen Geschrieben 20. September 2011 Hallo Leute! Ich wende mich mal an euch da ich durch suchen eigentlich nicht wirklich fündig geworden bin. Ich habe folgendes Problem. Ich habe bei uns in der Firma ein kleines lernnetzwerk. In diesem netz gibt es 2 User Gruppen. Die eine Gruppe darf ins Internet die andere nicht. Irgendwie haben die User die nicht ins Internet dürfen einen Weg gefunden das zu umgehen. Angeblich funktioniert das mit einer fertigen Installation auf einem USB Stick. Nachdem wir natürlich diesen Stick nie zu Gesicht bekommen, lautet jetzt meine Aufgabe alle anderen Browser ausser dem IE so einzuschränke das diese nicht mehr funktionieren. Da hab ich doch gleich an eine GPO gedacht und bin auf die Suche gegangen. Nur leider bin ich noch nicht so ganz durchgestiegen bei den Hash/Pfad Regeln. Denn beide verweisen auf einen Pfad. Nachdem ich allerdings nicht weiß von welchem Laufwerksbuchstaben das kommt kann ich natürlich auch nicht wirklich einschränken oder hab ich da einen denkfehler. Wenn ich jetzt höre na dann sperr halt alle USB Ports, dass darf ich leider nicht sonst hätte ich es schon getan. Ich bilde mir ein das ich unter win2k3 eine gpo hatte wo ich genau die exe dateien eintragen konnte die ich sperren will. Ist die unter win2k8 r2 verschwunden oder haben sie die nur wo anderes versteckt. Hat auch vielleicht jemand eine idee wie denn dass mit der Installation auf dem USB stick funktionieren soll? Vielleicht hat wer eine idee von euch für mich das wäre ganz toll! Danke euch schon im voraus Lg JustinXiang Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 20. September 2011 Melden Teilen Geschrieben 20. September 2011 Ist nicht versteckt, heißt AppLocker und ist das was unter 2k3 die Software Restricition Policies waren / sind. Um das ganze mal lösungsorientierter zu betrachten. Was heißt denn "dürfen ins Internet"? Portable Apps ist eine Möglichkeit auf einem USB Stick z.b ein Firefox oder ähnliches zu installieren. Mit dem reinen Verbot vom Ausführen von Executables, wirst du nur sehr schwer zu einem Ziel kommen. Ob ein Benutzer ins Internet darf, sollte ein Proxy-Server entscheiden, nicht die Executable auf dem Client. cheers, daniel Zitieren Link zu diesem Kommentar
JustinXiang 10 Geschrieben 20. September 2011 Autor Melden Teilen Geschrieben 20. September 2011 Hallo Daniel! Vielen Dank mal für die Antwort. Zu deiner Frage bezüglich ins Internet dürfen. Prinzipell dürfen bei uns nur eine handvoll User ins Internet (bei genauerer erläuterung bitte kurze PN). Spich diese sollen Surfen können hauptsächlich. Wir haben natürlich einen Proxy-Server vergas ich zu erwähnen. Diese Einstellungen werden via GPO verteilt und können nicht verändert bzw. eingesehen werden. Aber wenn einem User was verboten ist dann macht er sich halt auf die Suche nach Möglichkeiten das zu umgehen. Sichtlich dürften Sie da auch jetzt was gefunden haben mit dem sie auch unseren Proxy ausgehebeln. Sichtlich dürfte es möglich sein mit diesen Portabel Apps die einstellungen zu verändern. Die Frage die sich nun allerdings stellt ist wie kann ich denn dem mit dem Appblocker entgegen wirken, da diese Dinger ja von einem USB stick gestartet werden habe ich natürlich ein kleines Problem mit den Laufwerksbuchstaben. Hast du da vielleicht eine idee für mich? LG JustinXiang Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 20. September 2011 Melden Teilen Geschrieben 20. September 2011 Es ist ja die eine Sache ob euer IE mit nicht veränderbarem Proxy ins Internet geht, das ist gut so. Die Frage ist doch, kann der Client auch ohne Proxy über das Default Gateway ins Internet? Falls ja, bist du gegenüber einer portablen Firefox-Installation nicht sicher. Die portable Version hat die Proxybeschränkung nicht und geht über das Default Gatway einfach raus. Mit Applocker kannst du z.b den File Hashwert von einer Datei (bemerke das müsstest du bei sehr sehr vielen Versionen etc machen, sehr ungünstig) als "verboten" deklarieren. Du kannst auf der anderen Seite signierte exe-Dateien auf Ihre Signatur hinerkennen und diese dann verbieten. Z.B könnte eine Applocker-Rule dafür sorgen, dass alle von der Mozilla Foundation signierten exe-Dateien als "verboten" deklariert sind. Mit Windows 7 hast du sicherlich ein gutes Dutzend an Ansätzen wie du eine ordentliche Client Security implementieren kannst. Möglich wäre z.b - Client PCs können nur über den gemanagten Proxy ins Internet, es findet eine Authorisierung statt - per Applocker werden div. Executables verboten, Regeln sind Hash Werte und Publisher - per Bitlocker werden nur vom im Unternehmen verschlüsselte USB Sticks erlaubt usw usw cheers, Daniel Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 20. September 2011 Melden Teilen Geschrieben 20. September 2011 Ich würde die Idee mit exe Dateien vergessen (boot von Life CD mit Browser oder ne VM hällt das z.B. nicht auf) und den Proxy richtig nutzen (zwangs- / Transparenter- Proxy). Zitieren Link zu diesem Kommentar
JustinXiang 10 Geschrieben 22. September 2011 Autor Melden Teilen Geschrieben 22. September 2011 Hallo! Danke mal für eure Tipps! Hab mich die letzten 2 Tag intensiv mit dem APPLocker beschäftigt! Leider mußt ich feststellen das zwar meine Regeln auf einem Windows Server 2008 R2 tadellos funktionieren! Sobald es aber ans Verteilen via GPO an die Clients ging, war das ganze dann schon wieder nicht mehr so toll. Ich mußte leider feststellen das sichtlich Windows 7 Professional für die Nutzung von APPLocker ausgeschlossen wurde. So schreibt es zumindestens Microsoft. Dem kann ich im Moment nur rechtgeben oder hat jemand von euch das zum laufen gebracht unter Windows 7 Pro. Wäre nochmals froh über ein paar Infos von euch. Bezüglich des Proxy-Servers. Ich nehme mal an das sie irgendwie an die Ports gekommen sind und dann durch diese Portable Apps natürlich wieder die Ports wieder umstellen können und somit wieder ins netz kommen! Ich denke sie haben es vielelicht auch mit einem dieser Tools rausgefunden. So genau hab ich mir die Portable Apps Tools noch nicht angesehen! Hat jemand für mich eine Idee warum bzw. wie ich portable apps zum laufen bringe bzw. andere vorschläge wie ich meine User wieder eindämmen kann? Lg JustinXiang Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. September 2011 Melden Teilen Geschrieben 22. September 2011 Hallo Gibt es in den Gruppenrichtlinien nicht die Möglichkeit, erst alle Anwendungen zu verbieten und dann gezielt zu erlauben? Für Lernräume verwende ich Netop Schol und Netop Vision 7. Der PC-Wächter von Dr. Kaiser soll auch das Internet sperren können, ich habe es selbst noch nicht getestet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.