Internet sperren

[mosquito87]

Hallo zusammen,

für einen Kunden benötige ich eine Lösung, mit der es möglich ist, sowohl unter Windows XP wie unter Windows 7 für einen Benutzer (aus der Domäne) oder den kompletten PC das "Internet zu sperren".

Lösungen wie das deaktivieren der Netzwerkkarte oder ändern der hosts-Datei scheint dabei nicht zielführend, da natürlich weiterhin Software-Updates über das Internet bezogen werden müssen.

Als Browser sind auf dem System der IE sowie Firefox installiert.
Erschwerend kommt hinzu, dass der arbeitende Nutzer mit Adminrechten ausgestattet ist, so dass eine 100%ige Sicherheit wohl nicht zu erreichen ist ...

Was sind für dieses Szenario die besten Lösungen?

Gruß & Danke

 

[TheFameGamer]

Proxy?

 

[rheno456]

Sofern möglich innerhalb der Domäne per GPO den Internet zugang sperren, und für die Update einen Wsus sofern nicht vorhanden installieren und per GPO umleiten zum Wsus.

Keine Internet möglich, aber die Windows Updates.

oder Firewall dicht machen bis auf die Windows Updates.

 

[Touchthesky]

egal, was du einstellst, ein Benutzer mit Administratorrechten kann aber alles wieder rückgängig machen

 

[TheFameGamer]

Aber nicht wenn er den Proxy Port oder so nicht weiß
Aber Proxy würde dann jeden betreffen, also denke ich mal das ist nicht Zielführend

 

[Touchthesky]

aber irgendwie ist ein bisschen unlogisch, der bekommt Administratorrechten , aber darf nicht im Internet surfen, oder es ist noch zu früh und mein Gehirn schläft noch

 

[mosquito87]

Ja, Proxy ist evtl. zu aufwendig. Zumal dann die GPOs angepasst werden müssen, so dass der Proxy nicht umgestellt werden kann (in allen Browsern).

Dass der Nutzer ggf. alles rückgängig machen kann ist klar. Ist in diesem Fall aber leider nicht zu verhindern, da der Nutzer ab und zu Software installieren muss ...

Bin gerade auch am überlegen, ob das Umbiegen der Firewall evtl. eine gute Lösung ist.
Zwar kann auch das der User wieder rückgängig machen, doch ich gehe davon aus, dass hierfür das Know How fehlt.

@Touchthesky: Der Benutzer/Mitarbeiter darf seine Arbeitszeit mit der Installation von Software versüßen, nicht aber mit dem Surfen im Internet. Ist eine politische Entscheidung. Ich hätte hier wohl auch einen anderen Weg gewählt, aber wenn es der Auftraggeber so will ...

 

[TheFameGamer]

Nene Touchthesky du hast schon richtig gedacht
Warum soll ihm das Internet gesperrt werden?
Seit ihr ein Unternehmen? wenn gesagt wird er darf nicht ins Internet und er macht es trotzdem werft den raus
Spaß bei Seite..
Das mit den Admin rechten solltest du vielleicht mal überdenken..

Ergänzung (23. Mai 2013)

Der Benutzer/Mitarbeiter darf seine Arbeitszeit mit der Installation von Software versüßen, nicht aber mit dem Surfen im Internet.

So machen wir es mit unseren Praktikanten (bin IT Techniker)
Wir lösen alles mit einem Proxy. :/
haben halt volle Rechte aber dürfen nicht ins Netz

 

[Tranceport]

IP fest vergeben und falsches Gateway eintragen wäre die simpelste Lösung.
*Edit: sry, funktioniert leider nur lokal

 

[TheFameGamer]

Aber wenn man ein bisschen erfahrung hat und die IP auf Dynamisch stellt und Gateway löscht?
Dann issa wieda im Netz ^^

 

[Luxuspur]

naja der wird ja nicht direkt am Modem hängen ;p ... also regelt das am Gateway ... der wird ja wohl auch nicht Adminrechte fürs gesamte Netzwerk haben oder? Da kann er dann am Rechner seine Adminmuskeln spielen lassen wie er will, wird ihm ned helfen!

Andere Seite in ner Firma darf man durchaus protokollieren und auswerten ... surfen trotz Verbot: Abmahnung ... 3 Abmahnungen --> fristlose Kündigung ... konzequent umgesetzt wirkt das 100% ...

 

[Touchthesky]

Der Benutzer/Mitarbeiter darf seine Arbeitszeit mit der Installation von Software versüßen, nicht aber mit dem Surfen im Internet.

aber wenn er die ganze Zeit Software installiert, dürfte der PC nur ein Testtechner sein oder, wenn ja, muss dieser PC dann überhaupt im Netzwerk sein? Softwareupdates könnte man auch manuell von einem anderen Pc runterladen, falls nötig ist

 

[Hito]

URL Blocker - alles blocken.
Port 80 sperren.
html links in der Registrierung blocken.
Wieso sind Browser installiert wenn surfen nicht erlaubt ist?

 

[maloz]

Das, was du willst, bekommst du idR nur mit gescheiter NW-Technik hin. Proxy, block basierend auf AD Gruppen oder was weiß ich. Alles andere, insb. Einstellungen auf dem Client direkt, ist quatsch, da der User lokale Adminrechte hat.

 

[fireblade_xx]

Die eleganteste Lösung ist wirklich ein Proxy. Squid ist kostenlos und dank ausreichend Anleitungen für jeden mit ein wenig Grundwissen konfigurierbar. Macht sowieso Sinn, da du die ganze Firma drüber laufen lassen kannst und der erste Scan auf verdächtige Daten gleich im Proxy erfolgen kann.

 

[TheFameGamer]

Proxy ist in einer Firma immer Sinnvoll..
Solltest echt mal drüber nachdenken und evt. mal mit deinem Chef reden.

 

[Frightener]

Wenn der User lokaler Administrator ist, kannst Du Dein Vorhaben nur umsetzen, wenn Du nach dem PC filterst - wie schon erwähnt durch einen entsprechenden Proxy/Gateway, der gruppenbasiert User für den Internetzugang sperrt/freigibt.

 

[Quanar]

Jede grössere Firma hat eine firewall die soereas kann... Ne kleine sonicwall oder teilweise können das auch core switche... Vlans?

 

[Frightener]

Das sollten auch kleinere Firmen haben. Sowas kann sogar eine einfache Fritz!Box

 

[chrigu]

die einfachste lösung: dem mitarbeiter abmahnen und bei nochmaligem verstoss gegen "internet-verbot"... kick in se ärsch

oder dem nutzer ein eingeschränktes konto auf dem pc machen, auf dem er die netzwerkkarte nicht aktivieren kann. und einmal im monat loggt sich der admin auf diesem pc an und macht die updates.