user internet und schreibzugriff auf C sperren

[Lustgewinn 10]

hi leuts,

 

ich habe einen neuen user in meinem AD angelegt. was muss ich einstellen damit er nicht surfen kann und keinen Schreibzugriff auf LW C hat??

[k_a 10]

moin

 

wie wärs mit noch ein paar zusätzlichen infos?

[reyeg 10]

Also zum Surfen....

 

Den Client net auf dem Proxy freigeben?

Den Inhaltsratgeber aktivieren und alles sperren?

[Lustgewinn 10]

die infos:

- Win2003Server Stand. Edt.

- 4 Clients (WinXP prof)

 

Server ist DC, DNS und verwaltet AD.

Ein D-Link Router übernimmt DHCP.

Client-LANconfig: ip und dns werden automatisch bezogen

 

Wie mache ich das in AD, dass ich den Client nicht auf dem Proxy freigebe? Und wo finde ich den Inhaltsratgeber?

 

Hängt das alles irgendwie mit den User-GPO's zusammen?

[lennu 10]

Moin moin,

 

die erste Frage wäre da erstmal: Wie gelangen Deine Clients denn ins Internet? Hast Du überhaupt nen Proxy-Server (ansonsten lohnt sich das mit dem sperren wollen nicht ;) )? Wenn Du keinen Proxy-Server hast und die Clients nicht den W2k3-Server als Gateway benutzen, dann könntest Du noch so dreist sein und den Rechnern das Standardgateway wegnehmen (solange sich alles im selben Segment befindet). Vielleicht kann Dein Router aber auch Access-Lists, mithilfe derer Du einzelne IP-Adressen für bestimmte Aktionen sperren kannst...

 

Gruß,

Lennu

 

P.S.: Der Internetzugriff hat soweit erstmal überhaupt nüschts mit dem Active Directory zu tun...

[Lustgewinn 10]

meine clients bekommen ihre ip (192.168.0.x) über den router (dhcp). gateway ist ebenfalls der router.

 

beides wird bei jedem client (in der lanconfig) automatisch bezogen.

 

access-list's unterstützt der router leider nicht.

 

die idee mit dem gateway wegnehmen ist gut, nur soll es sich nicht auf den rechner beziehen, sondern auf einen bestimmten user. alle anderen user dürfen ja surfen.

 

greets

 

ps: sorry, viell. bin ich ja blind aber wo finde ich den inhaltsratgeber für das sperren von LW C?

[lennu 10]

Moin moin,

 

zur Internetfreigabe:

Wenn Du das Userbezogen machen willst, bleibt Dir wohl nichts anderes übrig, als einen Proxyserver einzusetzen und diesen (z.B. per GPO in die Internet Explorer der User einzutragen). Dort kannst Du dann konfigurieren, welcher User auf welche Seiten darf, etc.

 

zur Schreibsperre:

Eine hässliche, aber mögliche Variante wäre: Gruppe im AD erstellen und alle User einfügen. Gruppe lokal auf den Rechnern zu Laufwerk C hinzufügen und dort den Schreibzugriff explizit verweigern. Da Verweigern vor Erlauben kommt, dürfen die User dort nicht mehr schreiben, auch wenn ihnen selber ein Schreibzugriff erlaubt wäre. Du solltest den Admin dort aber nicht einfügen, sonst sperrst Du Dich selber aus ;) ).

 

Gruß,

Lennu

[shambler 10]

@Lustgewinn

 

Geht der Server per RRAS ins Internet?

Wenn ja, kannst du ganz einfach neue Regeln an der NAT-Basisfirewall einrichten.

 

Eingehende Filter -> Neu -> Zielnetzwerk angeben (Der Rechner, der NICHT darf -> Protokoll: TCP -> Zielport: 80, 443, 21, usw.

[Lustgewinn 10]

nein, der server hängt genauso am router (port 1) wie die anderen clients.

[shambler 10]

Hm, sehr unsichere und ungewöhnliche Konfiguration, noch dazu sehr uneffektiv. Sorry, aber da kann ich leider keine weiteren Tips geben.

[lennu 10]

Muss ich shambler Recht geben: Wenn der DLink-Router keine eigene Firewall bietet, ist das Netzwerk zur Zeit völlig offen nach aussen. Das solltest Du so schnell wie möglich ändern.

Auch wenn das hier ein Microsoft-Forum ist: Wenn Du es preiswert haben willst, schnapp Dir alte Hardware mit zwei Netzwerkkarten, und bau Dir mit Linux eine Firewall, einen Proxy und eine Viruswall. Geht natürlich auch alles mit Microsoft Produkten, aber dann kostet es halt ein bisserl mehr...

 

Gruß,

Lennu

[NightFlight 10]

hi,

 

was würdest du davon halten, dem betreffenden user eine personal firewall (zur not die win eigene) "unterzujubeln" und dort sämtlichen traffic außer dem erlaubten zu verbieten???

 

zur not würde es auch ein script tun, das den routeneintrag für den default gw "verbiegt" ...

 

 

mit nem netten gruß

 

 

 

NightFlight

 

 

p.s. die meisten dsl router haben eine firewall funktion und die von den dlink routern, solang sie nicht asbach uralt sind, sind mit die besten in diesem preissegment die ich kenne. schaue mal bei dir unter adv. options, da müsste ein eintrag filtering exisitieren und dort auch irgendwo ein mac filter und das wäre das was du suchst.

 

pps

 

bezüglich des schreibzugriffes auf lw c, hast du schonmal etwas von ntfs berechtigungen gehört??? falls ja, betreffenden user hinzufügen und wie schon gesagt, schreibzugriff auf deny setzen. sind es mehrere user und oder rechner das über eine gruppe und einer gpo regeln.

[shambler 10]

Ich hab Soft-Firewalls ausprobiert .... nicht gut

Da fällt mir nur das ein ....

 

eine Firewall ist ein Sicherheitskonzept, und keine Software, die man einfach installiert.

Will man einen Rechner oder ein Netzwerk schützen, benötigt man zuallererst einmal ein Konzept. Daher geht die Sprachregelung meistens auch eher dahin, daß man, wenn man von "der Firewall" spricht, zunächst einmal dieses Konzept meint. Dieses beinhaltet u.a., das man sich fragt, was man vor welcher Art von Angriff schützen möchte.

eine Firewall, die auf dem System läuft, welches geschützt werden soll, ist oft sinnfrei, da sie es ja gerade verhindern muß, daß schädigende Datenpakete zum zu schützenden System vordringen können.

So sind evtl. bereits anfällige Komponenten, welche hätten geschützt werden sollen, durchlaufen worden, bevor die Firewall überhaupt eingreifen konnte. Gleichzeitig wird die Komplexität des zu schützenden Systems erhöht.

jedes zusätzliche Programm auf einem System erhöht die Anfälligkeit, da Programme und damit auch PFW's Fehler und Sicherheitslücken enthalten, die sich in ihrer Anzahl summieren können.

Die Komplexität des zu schützenden Systems wird erhöht. Mehr Komplexität heißt aber zwangsläufig mehr Fehlermöglichkeiten und damit weniger Sicherheit.

sie täuscht dem Benutzer eine falsche Sicherheit vor, da er denkt, er wäre jetzt rundum geschützt. In Wahrheit wird er dadurch allzuoft nur nachlässiger - dies wird häufig auch als "Risikokompensation" bezeichnet.

Viele werden schon einmal Benutzer gesehen haben, die ohne eine Sekunde des Nachdenkens ein EMail-Attachment geöffnet hatten - und wenn man nachfragt, ob sie keine Bedenken haben, da könnte ein Virus drin sein, kommt fast immer "Wieso, ich hab doch ein Antivirus-Tool!".

Personal/Desktop-Firewalls können problemlos umgangen und ausgeschaltet werden, ohne das der Benutzer davon etwas bemerkt.

Vor allem die Regelanpassung zur Laufzeit ist als kritisch anzusehen, da Dialogboxen von Würmern o.ä. schneller 'weggeklickt' werden können, als das sie der Benutzer je zu Gesicht bekommt. Und Regeln, die der Anwender selbst definieren kann, sofern er diese auch versteht, kann auch ein Wurm verändern, da PFW's meist mit den Rechten des angemeldeten Benutzers ausgeführt werden.

[NightFlight 10]

sicher, damit hast du vollkommen recht, aber dann baue dir ein vernünftiges konzept auf in dem die anforderungen die du stellst alle berücksichtigt werden. aber dazu müsste man dann auch wissen was man will.

 

so wie du die fragen gestellt hast, bin ich nicht davon ausgegangen, das du allzuviel "wissen" über diese gebiete hast.

 

andernfalls wäre es dir vielleicht in den sinn gekommen, die dhcp funktion des routers zu deaktivieren, diesen in ein seperates netz zu stellen und einen eigenen dhcp aufzusetzen und den internetzugang für alle user über rras zur verfügung zu stellen. alle diese funktionen bietet die win 2k3 server version.

 

 

mit nem netten gruß

 

 

 

NightFlight

 

 

edit: ops ... hab gerade gesehen, das ich das an die falsche adresse gerichtet habe ... sorry ...