ostadler 10 Geschrieben 7. Juni 2003 Melden Teilen Geschrieben 7. Juni 2003 Hallo Leute, ich versuche gerade hier in unserem Netzwerk (Win2K, Domaine) den Usern das Internet-surfen zu entziehen. Die üblichen Dinge wie "Verbindungsassistent entfernen", "Netzwerkumgebung entfernen", "Ausführung iexplore.exe untersagen", den Umweg über den Windows-Messenger, habe ich schon entsprechend eingestellt, aber man kommt ja über jedes Windows-Explorer Fenster oben in der Adressen-Leiste in das Internet. Man muss als Adressen einfach nur eine korrekte URL eingeben, und dann kann man wieder surfen. Wie kann ich denn dieses "Schlupfloch" stopfen? In den GPO habe ich bisher nichts gefunden, weiss da jemand Rat :-/ ? Viele Grüße aus München, Oli Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 7. Juni 2003 Melden Teilen Geschrieben 7. Juni 2003 An der Firewall filtern oder einen Proxy-Server installieren und per GPO verteilen, der alle Anfragen auf eine Intranet-Seite umleitet :) Zitieren Link zu diesem Kommentar
ostadler 10 Geschrieben 7. Juni 2003 Autor Melden Teilen Geschrieben 7. Juni 2003 Hallo klausk, Ersteinmal Danke für Deine Antwort. Hmm, sonst gibt es keine Möglichkeit? Das kann ich mir fast nicht vorstellen, das würde ja bedeuten, dass es standardmaessig _KEINE_ Möglichkeit gibt, das Internet-Surfen zu unterbinden. Das wäre ja echt ein Hammer! Hat sonst noch jemand eine Idee? :-/ Grüße, Oli Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 8. Juni 2003 Melden Teilen Geschrieben 8. Juni 2003 Über GPOs geht es IMHO definitiv nicht, den Internetzugang abzuschalten, lasse mich aber gerne eines besseren Belehren. Üblicherweise werden die Beschränkungen am Proxyserver/der Firewall konfiguriert. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Juni 2003 Melden Teilen Geschrieben 8. Juni 2003 Hi ostadler, Du kannst mittels GPOs und IPSEC-Filtern die Internetports (TCP 80, 443, 20,21, etc.) auf den Clients abdrehen. Für W2k/XP Domänenclients ist dann garantiert Schluss mit Internet. Cu blub Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 8. Juni 2003 Melden Teilen Geschrieben 8. Juni 2003 @blub gute Idee, ist aber keine wasserdichte Lösung. Wenn die User über einen frei verfügbaren Proxyserver im Internet gehen werden die IPSEC-Policies ausgehebelt. Und selbst wenn die User die Proxy-Einstellungen des IE nicht ändern können - bringen sie halt Mozilla Firebird auf CD oder USB-Stick mit ... ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Juni 2003 Melden Teilen Geschrieben 8. Juni 2003 klaus, wenn ich clients verbiete, auf Port 80 etc. Anfragen an Webserver zu senden, dann ist doch Schluss mit Internet, egal ob IE, Netscape oder Mozilla, oder seh ich was falsch? Schlecht schauts natürlich aus, wenn die User sich lokal anmelden können oder noch NT4.0 Kisten im Netz sind. Wasserdicht ist IPSEC-Lösung daher nicht, aber dafür einfach und kostenlos :) . Cu blub Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 8. Juni 2003 Melden Teilen Geschrieben 8. Juni 2003 Im Prinzip hast Du schon recht. Allerdings könnten die User, wie bereits geschrieben, einen im Internet frei nutzbaren Proyserver eintragen und über den surfen. Dann läuft die Kommunikation zwischen Client und Internet nicht über Port 80 sondern z.B. über Port 8080. Man könnte natürlich mit entsprechenden Performance-Einbußen nur noch gesicherten IP-Verkehr erlauben, diese Lösung wäre dann IMHO wasserdicht. Ob diese Lösung in Frage kommt hängt aber von den bisher nicht genannten Randbedingungen ab, z.B Internet für Email benötigt? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.