Messenger sperren (hauptsächlich Datentransfer)

[UweB75 10]

Hallo ihr lieben Microsofties,

 

ich habe mich seit einiger Zeit schon gefragt wie ich es anstelle den Benutzern die Nutzung von Messengern zu erlauben, aber mit der Einschränkung das keine Dateien damit transferiert werden können.

 

ZIEL:

Messenger-Kommunikation - erlaubt

Messenger-Dateitransfer - verboten / unmöglich

 

Wie schon erwähnt würde ich aber gerne den Benutzern die Möglichkeit geben den Live Messenger zu benutzen, aber gleichzeitig möchte ich sicherstellen das kein Datenaustausch per Messenger funktioniert.

 

Der Grund liegt einfach darin, das wir sicher gehen wollen, das kein MA irgendwelche dubiosen und gefährlichen Dateien aus versehen empfängt.

 

Den einzigen Weg den wir akzeptieren ist der per Email.

Die Nichtnutzung von nicht zugelassenen USB-Sticks ist auch in Planung.

 

Die portable Apps (pidgin/miranda/trillian) sind inzwischen schon gesperrt.

Übrigens Skype als portable ist ein Albtraum - man könnte auch Firewallbohrer dazu sagen.

 

Ein weiterer Punkt:

Da inzwischen ja viele Messenger über sogenannte Sammeldienste wie Meebo.com genutzt werden können muss man auch diesen Aspekt berücksichtigen.

 

Vielleicht sollte man das ganze mal als Howto ins Auge fassen?

Die Thematik dürfte jedenfalls nicht nur mich ansprechen - denk ich mal jedenfalls. Was sagt ihr dazu und wer kann zur obigen Thematik etwas beisteuern?

 

Grüß'le

Uwe

[LukasB 10]

Naja, das ganze wandert stark ins philosophische ab, und ist vielfach auch garnicht so einfach zu beantworten.

 

Selbst wenn du z.B.den Datentransfer per Messenger sperrst, können die Leute immer noch Rapidshare Links kriegen. Und wenn du Rapidshare sperrst kommt irgendein anderer Dienst der dasselbe macht.

 

Natürlich gibt es auch hier wieder Contentfilter die sowas teilweise einschränken können.

 

Der bessere Weg ist also sicherzustellen das die Leute keinen Schaden anrichten können - das kannst du erreichen indem du ihnen als erstes Mal die lokalen Adminrechte wegnimmst.

 

Und dann gibt es mehrere Wege:

 

* Passende User-Schulung und ein passendes internes IT-Reglement

 

* Software-Restriction-Policies mit WHITELISTs, Trusted Path Execution, etc.

 

Die Frage ist immer welches Problem du lösen willst, wieviel User du hast, welche Mittel dir zur Verfügung stehen, etc. Gerade in einem 15 Mann Betrieb lässt sich der Aufwand für Software-Restriction-Policy Whitelists kaum rechtfertigen. Und wenn ein Betrieb keine Interne IT sondern nur einen Dienstleister, dann können je nachdem lokale Adminrechte auch nötig sein.

 

Meistens ist es einfacher ein soziales Problem auf sozialer Ebene (Regeln, Kurse, etc.) zu lösen anstelle versuchen mit technischen Mitteln das ganze zu unterbinden.

 

Ich weiss z.B. das die SonicWALL-Produkte auf ihrem IDP die Möglichkeit haben Filetransfer zu erkennen und zu blocken - aber eben, das Problem löst dies nicht.

 

Alles nicht so einfach, und es gibt keine "Endgültige" Lösung.

[UweB75 10]

Ich denke das mit den "Lokalen Admin-Rechten" sollte eigentlich jeder beherzigen der ein Netz administriert in welchen gearbeitet und nicht nur gespielt wird.

Ich würde jetzt viel lieber erfahren ob es möglich ist nur den Dateitransfer per Messenger zu sperren, ohne groß Software von weiteren Herstellern installieren zu müssen. Weil darüber hab ich nichts brauchbares gefunden. Nur wie man den Messenger (Live-Messenger) komplett an der Ausführung hindern kann.

[LukasB 10]

Wie gesagt, die SonicWALL IDP kann das, das heisst also das es diverse andere Firewall Appliances die nicht gerade eine ZyWall sind wohl auch können werden.

 

Hersteller gibts da ja hunderte - Watchguard, Checkpoint, Astaro, SonicWALL, etc. pp.

[firefox80 10]

Bei Astaro tut sich hier einiges in letzter Zeit. In der erst erschienen Release 7.200 wurde eine granulare Filterung für IM und P2P eingeführt. Auch Ausnahmen können jetzt definiert werden. Skype blocken ist auch endlich möglich. Wenn du Fragen zur Astaro hast, nur her damit ;)

[toad 10]

Kannst du nicht den Live Messenger einfach sperren und den Nutzern den Hinweis auf webmessenger.msn.com geben? Damit kann man chatten aber keine Dateien übertragen.