Win2k client u. Win2003SBS Standard Internet sperren

[Candy 27]

Hallo,

 

wir haben in einer Vertragsfirma wo ich für das Netzwerk zuständig bin einen Windows Server2003 Standard Edition, 9 client PCs mit WindowsXPPro und einen client PC Windows2000Pro.

Domain Umgebung, alle Mitarbeiter haben eine Anmeldung als normaler Benutzer.

 

Der einzige Windows 2000Client steht in der Produktion. Leider war ein Wechsel auf XP noch nicht möglich, weil der 2k client eine Gravurmaschiene bedient und die Software noch nicht in der passenden Version angeschafft worden ist.

Aus verschiedenen Gründen sollte für diesen client das surfen im Internet unterbunden werden, aber der E-Mail Empfang über Outlook weiterhin gewährleistet sein.

Aus zeitlichen Gründen hatte ich mir das Thema letzte Woche etwas einfach gemacht. Ich habe die drei Benutzerkonten in eine Gruppe gesteckt und lokal am Client Zugriff verweigert auf den Ordner Internet Explorer unter C:

Den noch installierten Firefox habe ich mit Hilfe des Adminkontos deinstalliert und noch das lokale Benutzerkonten mit einem sehr sicheren und nur mir bekannten Kennwort gesichert.

 

Nun meldet mir der Geschäftsführer das der Firefox an dem AP wieder installiert ist und auch der IE wieder funktioniert. Gewesen ist das natürlich keiner, aber das soll der CEO klären.

 

Leider sind mir die Auswirkungen auf einen 2kclient nicht so geläufig.

Die wichtigen Kenwörter werde ich beim nächsten Termin ändern.

Gibt es eine sichere Möglichkeit, vielleicht nicht über die Benutzerkonten, sondern direkt für den PC Windows2000 die Nutzung für das Internet zu sperren, aber die Nutzung von Outlook weiter zu gewährleisten?

Also keine Softwareinstallationsmöglichkeit und keine Nutzung Internet Explorer.

 

Danke für eure Unterstützung!

[NorbertFe 2.105]

Du brauchst nen Proxy und alles andere ist Gebastel, welches zusätzlich auch noch nicht funktioniert. ;)

 

Bye

Norbert

[Candy 27]

Hi Norbert,

 

o.k. das habe ich mir schon fast gedacht.

Im Proxy Bereich sind meine Erfahrungen doch ein wenig gering und so wie ich das bis jetzt erlesen konnte, ist der Einsatz eines Proxys am besten auf einer eigenen Maschine vor dem SBS möglich.

Es soll aber wegen diesem einen PC nicht so ein großer Aufwand betrieben werden. Immerhin handelt es sich nur um einen AP der gesperrt werden muss.

Hasst du vielleicht noch einen Vorschlag für eine Software in Sachen Proxy die ich auf dem SBS installieren könnte um den Zugriff von dort zu steuern?

Software gibt es ja, Jana, winproxy usw. Aber welche eignet sich am besten ?

 

 

Danke für deine Hilfe.

[ara 10]

es würde helfen wenn du erwähnen würdest wie die Clients überhaupt ins Internet gehen. Gibt's einen DSL Router, routet der SBS, etc.?

[NorbertFe 2.105]

Es soll aber wegen diesem einen PC nicht so ein großer Aufwand betrieben werden.

 

Anscheinend betreibst du aber Aufwand. ;) Wenns nicht so wichtig ist, laß es, denn es wird nur Gebastel und keine Sicherheit.

 

Hasst du vielleicht noch einen Vorschlag für eine Software in Sachen Proxy die ich auf dem SBS installieren könnte um den Zugriff von dort zu steuern?

Software gibt es ja, Jana, winproxy usw. Aber welche eignet sich am besten ?

 

Das was ich empfehlen würde, wäre wahrscheinlich zuviel Aufwand. ;)

 

Bye

Norbert

[ara 10]

Nunja, eine einfache und schnelle Lösung könnte das Entfernen des Standard-Gateways bei dem Rechner sein. Dazu müsste man aber halt die Umgebung kennen bzw. diese dafür geeignet sein.

[Candy 27]

Hmm,

 

ja sry, das hatte ich nicht erwähnt.Es wird ein Router im Netzwerk eingesetzt. Der SBS dient zur Benutzerverwaltung und Datenbankserver und ist als 1. DNS eingetragen.

Klar könnte ich den Gateway entfernen, die Idee hatte ich auch schon, aber dann funktioniert E-Mail/ Outlook nicht mehr, weil kein E-Mail server eingesetzt wird, sonder pop3 E-Mail Adressen wo die clients direkt die E-Mails abholen.

 

@Norbert

Ich will nicht basteln, deswegen ja meine Fragen. Und das mit dem Punkt Aufwand hast du wohl ein wenig falsch verstanden. Natürlich geht es mir um die Sicherheit, sonst hätte ich hier nicht gefragt, aber es muss eben auch bezahlt werden.

In erster Linie suche ich Lösungsvorschläge die aus der Praxis kommen, oder ich habe den Sinn dieses Forums falsch verstanden.

Trotzdem Danke, ich schaue einmal weiter.

 

Viele Grüße...

[NorbertFe 2.105]

Ja, aus der Praxis kommen der Einsatz von Firewalls bzw. Proxyservern. Welchen du einsetzt, und welchen du bevorzugst hängt doch eher davon aus, was dir die Implementierung Wert ist. Es gibt kostenfreie Lösungen (auch Astaro bietet für kleinere Umgebungen was an), und es gibt kostenpflichtige Lösungen. Ich persönlich würde zu MS TMG 2010 raten, aber das kann dir schon wieder zu aufwendig/teuer werden.

 

Bye

Norbert

[XP-Fan 220]

Der SBS dient zur Benutzerverwaltung und Datenbankserver und ist als 1. DNS eingetragen.

Klar könnte ich den Gateway entfernen, die Idee hatte ich auch schon, aber dann funktioniert E-Mail/ Outlook nicht mehr, weil kein E-Mail server eingesetzt wird, sonder pop3 E-Mail Adressen wo die clients direkt die E-Mails abholen.

 

Du hast doch einen SBS incl Exchange am laufen, warum nutzt ihr den denn nicht ?

[Candy 27]

Für die SBS Abkürzung muss ich mich entschuldigen, mein Fehler. Wie im ersten post geschrieben, Windows Server 2003 R2 Standard Edition.