MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Ist meine Einstellung so wie im Bild denn nicht richtig? Proxy läuft über einen TMG in der DMZ. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 (bearbeitet) Nun, das sind Einstellungen für den IE. Ob die etwas nützen, wenn sich der User einen Firefox installiert? Der FF kann die Einstellungen des IE opder des Systems verwenden, er kann diese aber auch ignorieren, es liegt ganz in der Hand Users beim FF. Der Proxy in der DMZ? Nun, das übersteigt doch meinen Horizont. Nun, wollen mal lesen, was die anderen Kollegen dazu meinen. bearbeitet 25. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Hi lefg, Du hast mir das geschildert, und alle anderen aber nicht. Man möchte ja auch mal mehr als nur eine Aussage dazu hören. Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Achso, bei mir gibt es den Internet Explorer. mehr nicht ! FF Portable? was soll das? Gruß martin Und wie verhinderst du das? :rolleyes: also auch wenn ich mich wiederhole: Internet kann man nicht sicher und sinnvoll per gpo steuern. Und ansonsten hast du doch antworten bekommen. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Ist meine Einstellung so wie im Bild denn nicht richtig? Proxy läuft über einen TMG in der DMZ. GPO für Proxyeinstellungen.JPG Die Einstellung über GPO ist nicht falsch, aber auch nicht hilfreich, da man diese Einstellung Problemlos umgehen kann. Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Wenn der User die Einstellungen mitbekommt und selber nicht ändern darf, dann kann er was ändern daran? Registry darf er ja auch nicht editieren. Bei Softwareinstallation kommt eine Fehlermeldung das er nix installieren darf. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Ich brauch keine Installation für Firefox. Oder setzt du Applocker ein? Das wäre die einzig sinnvolle Methode. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Wenn der User die Einstellungen mitbekommt und selber nicht ändern darf, dann kann er was ändern daran? Registry darf er ja auch nicht editieren. Die Einstellungen über GPP sind änderbar wenn sie in CurrentUser vorgenommen werden. Und in CurrentUser (<> Policies) darf der User editieren. Bei Softwareinstallation kommt eine Fehlermeldung das er nix installieren darf. Nimm doch mal FF Portable, keine Installationsroutine, keine Fehlermeldung. Dafür sofort einsetzbar. Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Hi Zusammen, hmm, ich hab etwas überlegt und gegrübelt. Ich stelle meine Frage jetzt mal anders. Wie sieht es in eurer Domäne aus und wie habt Ihr das gelöst mit verschiedenen Abteilungen und verschiedensten Benutzereinstellungen. Eigentlich wäre ein Bild aus der MMC mit aufgeklappten Baum ganz gut, ich weiß man zeigt das nicht gerne aber irgendwie muss ich mal was anderes sehen. Ich habe tausende Ideen, kann aber nicht genau abwägen ob die zum Ziel fürhen werden. Ein DC zum probieren hab ich am Start. Zum Thema FF Portable: Das herunterladen einer Exe Datei wird vom TMG nicht zugelassen (ich weiß zip und so andere sachen gehen.) Dann kommt der nächste Punkt, die Proxyadresse kennen die Leute nicht da sie die Registerkarte Verbindungen nicht einsehen können. Dann wird es aber schon echt schwierig für die meisten oder? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 (bearbeitet) Wie sieht es in eurer Domäne aus und wie habt Ihr das gelöst mit verschiedenen Abteilungen und verschiedensten Benutzereinstellungen. Verschiedene Benutzereinstellungen? Was für verschiedene Benutzereinstellungen? Wozu soll so etwas gut sein? Bei uns gibt es so etwas nicht. Es gibt an einigen Standorten Teilnetze, daie liegen hinter einem IPCop mit einem Transparentproxy und Contentfilter. Wir drehen nicht an Gruppenrichtlinien um User etwas zu verbieten oder etwas zu erlauben. Ich hab so etwas schon erlebt, hat man den Leuten z.B. den Zugriff auf die Systemsteuerung weggenommen, weiter Netzwerk und den Browserdienst, die Icons auf dem Desktop. Im Menü gab es nur Word, Excel, .... Dort mussten die Führungskräfte Bleistiftstummel aufbewahren. bearbeitet 25. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Hi Zusammen, Wie sieht es in eurer Domäne aus und wie habt Ihr das gelöst mit verschiedenen Abteilungen und verschiedensten Benutzereinstellungen. Wie es bei uns aussieht hilft dir aber nicht. ;) Ich habe tausende Ideen, kann aber nicht genau abwägen ob die zum Ziel fürhen werden. Ein DC zum probieren hab ich am Start. Na dann fang bei Idee 1 an und arbeite dich vor. Wo ist dein Problem? Zum Thema FF Portable: Das herunterladen einer Exe Datei wird vom TMG nicht zugelassen (ich weiß zip und so andere sachen gehen.) 1. das was du sagst, und 2. Du hast ein TMG im Einsatz und popelst mit GPOs rum, anstatt einfach die User am TMG zu authentifzieren? Ich könnte jetzt mit dem Kopf schütteln, aber ist ja deine Sache. Ums mal in einen Vergleich zu packen, du hast also einen Schwertransporter vor der Tür stehen, aber schraubst lieber ne Hängerkupplung an dein Fahrrad, um die 7t zu transportieren. Dann kommt der nächste Punkt, die Proxyadresse kennen die Leute nicht da sie die Registerkarte Verbindungen nicht einsehen können. Uhui Security by obscurity. Dann wird es aber schon echt schwierig für die meisten oder? Ich denke du solltest dir einen Satz über deinen Schreibtisch nageln: Unterschätze die User nicht. Bye Norbert Zitieren Link zu diesem Kommentar
MHenning 11 Geschrieben 25. Juli 2014 Autor Melden Teilen Geschrieben 25. Juli 2014 Hi Zusammen, Ich mache alles mit Gruppenrichtlinien, es gibt kein Anmeldescript für jemanden. Gruppenrichtlinien + Sicherheitsfilterung bewirken das bestimmte Leute bestimmte Einstellungen bekommen. Sehr viele unterschiedliche Netzlaufwerke für unterschiedlichste Benutzgruppen, dazu kommt das ich mehr als 3 Unternehmen da drin habe. Dann Benutzer die nur über Citrix rein kommen, dann wieder welche die über VMWare View arbeiten. Spezielle Computer OU's da Hardwarecomputer und Viewcomputer getrennt sein müssen. und Server auch wieder extra sind. Nun sind aber meine User alle in einer OU drin und es wirken 17 Gruppenrichtlinien die nur per Sicherheitsfilterung getrennt wirken. Wenn das kein Problem darstellt dann ist ja kein Problem da. Nur wenn etwas da drin nicht klappt gestaltet sich die Suche immer so eklig. Dann wünsche ich mir da etwas mehr Struktur bei den Usern damit es einfacher wird und ich nicht immer alle 17 GPO's in Betracht ziehen muss. Fazit: ich werd meine Spielwiese mal vergewaltigen und sehen was dabei rauskommt. @ Norbert Meine Erfahrung sagt: Überschatze den User nicht. Immer wenn ich denke, das der Benutzer es schafft sich alleine anzumelden, geht mal wieder nix. Drucker hinzufügen, nach dem 3. mal zeigen weiss man es immer noch nicht. Wir haben auch pfiffige User, dort konnte ich noch nicht feststellen das jemand FF Portable oder ähnliches Installiert hat. Jeder hat da wohl seine eigene Erfahrung und auf die Firma kommt es auch an. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 (bearbeitet) .Drucker hinzufügen, nach dem 3. mal zeigen weiss man es immer noch nicht. Zeigen, vormachen ist ja nicht die richtige Ausbildungsmethode. Die Azubis müssen sich das selbst erarbeiten. Fazit: ich werd meine Spielwiese mal vergewaltigen und sehen was dabei rauskommt. Auch hier sehe ich falsche Methodik bearbeitet 25. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Meine Erfahrung sagt: Überschatze den User nicht. Naja, aber du fragst ja auch hier nach Hilfe, oder? ;) Wir haben auch pfiffige User, dort konnte ich noch nicht feststellen das jemand FF Portable oder ähnliches Installiert hat. Vielleicht sind sie auch einfach pfiffiger als du? ;) Wie willst du denn Portable Apps feststellen? Im Zweifel starte ich die vom Netzlaufwerk/USB oder sonstwo. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 25. Juli 2014 Melden Teilen Geschrieben 25. Juli 2014 Zum Thema FF Portable: Das herunterladen einer Exe Datei wird vom TMG nicht zugelassen (ich weiß zip und so andere sachen gehen.) Dann kommt der nächste Punkt, die Proxyadresse kennen die Leute nicht da sie die Registerkarte Verbindungen nicht einsehen können. Die meisten Angriffe kommen von innen. Deine User können eine Suchmaschine benutzen, kommen auf das Wort Proxy, suchen danach in der Registry, werden fündig, löschen ihn raus, kommen ins Internet. Suchen weiter, finden heraus dass FF Portable gar nicht installiert werden muss, sondern vom USB Stick aus gestartet werden kann. Denk dran, alles was Du suchst im Netz und findest, finden deine User genauso. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.