ostadler 10 Geschrieben 7. Juni 2003 Melden Geschrieben 7. Juni 2003 Hallo Leute, ich versuche gerade hier in unserem Netzwerk (Win2K, Domaine) den Usern das Internet-surfen zu entziehen. Die üblichen Dinge wie "Verbindungsassistent entfernen", "Netzwerkumgebung entfernen", "Ausführung iexplore.exe untersagen", den Umweg über den Windows-Messenger, habe ich schon entsprechend eingestellt, aber man kommt ja über jedes Windows-Explorer Fenster oben in der Adressen-Leiste in das Internet. Man muss als Adressen einfach nur eine korrekte URL eingeben, und dann kann man wieder surfen. Wie kann ich denn dieses "Schlupfloch" stopfen? In den GPO habe ich bisher nichts gefunden, weiss da jemand Rat :-/ ? Viele Grüße aus München, Oli
klausk 10 Geschrieben 7. Juni 2003 Melden Geschrieben 7. Juni 2003 An der Firewall filtern oder einen Proxy-Server installieren und per GPO verteilen, der alle Anfragen auf eine Intranet-Seite umleitet :)
ostadler 10 Geschrieben 7. Juni 2003 Autor Melden Geschrieben 7. Juni 2003 Hallo klausk, Ersteinmal Danke für Deine Antwort. Hmm, sonst gibt es keine Möglichkeit? Das kann ich mir fast nicht vorstellen, das würde ja bedeuten, dass es standardmaessig _KEINE_ Möglichkeit gibt, das Internet-Surfen zu unterbinden. Das wäre ja echt ein Hammer! Hat sonst noch jemand eine Idee? :-/ Grüße, Oli
klausk 10 Geschrieben 8. Juni 2003 Melden Geschrieben 8. Juni 2003 Über GPOs geht es IMHO definitiv nicht, den Internetzugang abzuschalten, lasse mich aber gerne eines besseren Belehren. Üblicherweise werden die Beschränkungen am Proxyserver/der Firewall konfiguriert.
blub 115 Geschrieben 8. Juni 2003 Melden Geschrieben 8. Juni 2003 Hi ostadler, Du kannst mittels GPOs und IPSEC-Filtern die Internetports (TCP 80, 443, 20,21, etc.) auf den Clients abdrehen. Für W2k/XP Domänenclients ist dann garantiert Schluss mit Internet. Cu blub
klausk 10 Geschrieben 8. Juni 2003 Melden Geschrieben 8. Juni 2003 @blub gute Idee, ist aber keine wasserdichte Lösung. Wenn die User über einen frei verfügbaren Proxyserver im Internet gehen werden die IPSEC-Policies ausgehebelt. Und selbst wenn die User die Proxy-Einstellungen des IE nicht ändern können - bringen sie halt Mozilla Firebird auf CD oder USB-Stick mit ... ;)
blub 115 Geschrieben 8. Juni 2003 Melden Geschrieben 8. Juni 2003 klaus, wenn ich clients verbiete, auf Port 80 etc. Anfragen an Webserver zu senden, dann ist doch Schluss mit Internet, egal ob IE, Netscape oder Mozilla, oder seh ich was falsch? Schlecht schauts natürlich aus, wenn die User sich lokal anmelden können oder noch NT4.0 Kisten im Netz sind. Wasserdicht ist IPSEC-Lösung daher nicht, aber dafür einfach und kostenlos :) . Cu blub
klausk 10 Geschrieben 8. Juni 2003 Melden Geschrieben 8. Juni 2003 Im Prinzip hast Du schon recht. Allerdings könnten die User, wie bereits geschrieben, einen im Internet frei nutzbaren Proyserver eintragen und über den surfen. Dann läuft die Kommunikation zwischen Client und Internet nicht über Port 80 sondern z.B. über Port 8080. Man könnte natürlich mit entsprechenden Performance-Einbußen nur noch gesicherten IP-Verkehr erlauben, diese Lösung wäre dann IMHO wasserdicht. Ob diese Lösung in Frage kommt hängt aber von den bisher nicht genannten Randbedingungen ab, z.B Internet für Email benötigt?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden