eddi the cat 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo zusammen, in unserem Netzwerk regeln wir einiges über Policys, was auch super funktioniert. Der Internetzugang wird über Proxy gesteuert und der wird per Policy auf die Clients aufgedrückt. Was auch soweit keine Probleme bereitet. Jetzt haben ein paar User herausgefunden, dass wenn sie den Firefox als Browser nutzen, den Proxy umgehen und frei surfen können. Dazu von mir, die User dürfen nichts installieren, die USB ports sind jetzt auch gesperrt, aber einige haben Mailaccounts, diese senden sich von Zuhause aus den Firefox, entpacken diesen dann und legen ihn auf einem Share ab, von dort wird er dann geöffnet. Jetzt meine Frage: Wie kann ich dieses unterbinden, per Policy, dass der Firefox sich nicht mehr starten lässt? Hat da jemand eine Idee? Server: Win2003 Clients: XP prof. SP2 Danke schon Mal MfG eddi Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Man kann in der Sicherheitskonfiguration Dateiausführungspfade so konfigurieren, dass Programme nur aus zugelassenden Verzeichnissen ausgeführt werden können, also z.B. C:\Windows und C:\Programme. Da der User dort kein Schreibrecht hat, kann er die Programme dort nicht ablegen und auch nicht ausführen. Siehe Gruppenrichtlinien - Übersicht, FAQ und Tutorials -Zahni Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 ich würd den user-workstations einfach kein default gateway per DHCP zukommen lassen...d.h. entweder per proxy raus oder gar nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 ich würd den user-workstations einfach kein default gateway per DHCP zukommen lassen...d.h. entweder per proxy raus oder gar nicht. Das ist genauso eine "sinnlose" Sicherheitsmaßnahme wie die, einen falschen Proxy einzutragen. Entweder ich habe einen Proxy und der ist mein Gateway ins Internet, oder eben nicht. Bye Norbert Zitieren Link zu diesem Kommentar
eddi the cat 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Hallo zusammen, die Vorgabe über DHCP kommt vom Mutterkonzern, da können wir nix ändern. Ich habe schon gelesen dass man über den Hash-Wert der Datei das ganze einschränken kann, hat da jemand Erfahrung, wie ich vom Firefox den Hash-Wert ermittele? Danke eddi Zitieren Link zu diesem Kommentar
toad 10 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Bei sowas würde es mir in den Fingern jucken, Meetings mit den entsprechenden Herrschaften und deren Vorgesetzten anzusetzen. Sich von zuhause aus den Firefox per Mail schicken, ich glaube es hackt. Zitieren Link zu diesem Kommentar
eddi the cat 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Ja, wem sagst du das! Wir haben einige Meetings abgehalten, es werden jetzt auch Abmahnungen ausgegeben, aber es sind immer noch einige nicht schlau geworden! Wie kann ich denn bzw., wo finde ich in den Gruppenrichtlinien den Eintrag mit dem Hash? Ich probiere es Mal damit! Danke eddi Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Hallo zusammen,die Vorgabe über DHCP kommt vom Mutterkonzern, da können wir nix ändern. Ich habe schon gelesen dass man über den Hash-Wert der Datei das ganze einschränken kann, hat da jemand Erfahrung, wie ich vom Firefox den Hash-Wert ermittele? Danke eddi Was würde dir das nutzen? Wenn überhaupt, dann bringt dir das nur was, wenn du mit Whitelists statt mit Blacklists arbeitest. Bye Norbert Zitieren Link zu diesem Kommentar
eddi the cat 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet. Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten. >>>> >>>> >>>> Hallo zusammen, ich habe die Einstellungen vorgenommen, die Policy ausgerollt und ein paar Tests gemacht. Es funktioniert, der Firefox lässt sich nicht mehr starten, er brint die Meldung, dass es untersagt ist diese Datei auszuführen und man sollte sich mit dem Admin in Verbindung setzen. SUPPI Danke für eure Mithilfe eddi Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 3. Juni 2008 Melden Teilen Geschrieben 3. Juni 2008 Haben wir ja auch, beides sogar, aber ich möchte verhindern dass der FireFox über startet.Ich habe jetzt die Einstellung mit dem Hash gefunden und werde die Mal austesten. Danke eddi Du weißt doch gar nicht, welche Firefox Version deine User nutzen. Wie willst du also einen passenden Hash erstellen? Du mußt mit Whitelist SRP arbeiten. Sprich du erlaubst das, was erlaubt sein muß und alles andere ist verboten. Du willst jetzt Firefox verbieten und alles andere erlauben. Das muß zwangsläufig fehlschlagen. ;) Hier was zum Einlesen: SRP - Software Restriction Policies Bye Norbert Zitieren Link zu diesem Kommentar
spaceguy 10 Geschrieben 4. Juni 2008 Melden Teilen Geschrieben 4. Juni 2008 Hallo zusammen, also was mir so einfällt: 1. Mailgateway konfigurieren das alle firefox.exe gelöscht werden (ich weiß nicht sicher ob sowas geht. Sollte aber machbar sein) 2. Virenscanner konfigurieren und firefox.exe quasi als Trojaner/Virus behandeln 3. Ein Script bauen das jede Nacht den/die Fileserver umkrempelt und firefox.exe löscht. 4. evtl. gibt es einen Dienst der bestimmte Prozesse überwacht und beendet. (Evtl. lässt sich da was mit firedaemon oder ähnlichem basteln) Diesen dann lokal auf die Clients verteilen. Per GPO oder so. 5. Zentral von einem Server aus alle Clients (keine Ahnung wieviele das sind) periodisch per WMI abklappern und falls gestartet entsprechenden Prozess stoppen. Eine Lösung gibt es immer! :-) CU Chris Zitieren Link zu diesem Kommentar
eddi the cat 10 Geschrieben 4. Juni 2008 Autor Melden Teilen Geschrieben 4. Juni 2008 Hallo Norbert, klar, die genaue Version kenne ich nicht, habe aber noch ein paar Versionen gehabt und von denen den Hash erstellt, auch von Opera. Ganz sperren kann ich den nicht, da manche Stabsstellen sowie Notebooknutzer den FireFox noch verwenden. Ich möchte dies nur für die Normal-User ausschließen, sofern es mir möglich ist. Ich schau mir den Link nochmals genauer an, vieleicht kann ich nochwas verwenden! @spaceguy Hi, die Mailserver sind nicht an unserem Standort, Virenscanner geht auch nicht, da einige den FireFox nutzen, Script bauen der die exe löscht, die benennen die Firefox.exe um, dann wars das schon, alle Prozesse überwachen, über 500 Clients. bis denne eddi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.