[2000] Policies die ik instel zijn niet afdoende* - Windows clients

woensdag 13 april 2005 21:08

Acties:

Verwijderd

Topicstarter

Ik werk op een school voor voortgezet onderwijs. Nu willen we daar
alles dicht zetten behalve bepaalde specifieke programma's.

Er mag GEEN gebruik gemaakt worden van internet toepassingen.

Het is al een heel eind gelukt, maar ik stuit op een lek(je). Ik gebruik
de windows 2000 ADM geleverd bij Windows 2000 Advanced Server.
Ik zet bijna alles dicht, en voorkom dat ze iexplore.exe kunnen openen.
Als ze in de Quick Launch Bar het Internet Explorer icoon aanklikken
krijgen ze een melding "Geen rechten". Dit zelfde gebeurt vanuit MS word,
als ze een URL typen.

Binnen een programma wat ze gebruiken (h-base) zit een knop die verwijst
naar een lokaal HTML file. Zodra ze deze aanklikken krijgen ze lukraak een
Internet Explorer venster, en kunnen ze ongestoord surfen.

Dit is niet de bedoeling, hoe kan ik dit oplossen

woensdag 13 april 2005 21:09

Acties:

Wolfboy

ubi dubium ibi libertas

iexplore.exe toevoegen aan de programma's die niet moegen draaien?

Blog [Stackoverflow] [LinkedIn]

woensdag 13 april 2005 21:09

Acties:

job

extensies zijn gekoppeld aan bepaalde programma's.
ik zou extensies koppelen aan een ander programma of die koppeling gewoon helemaal verwijderen.

woensdag 13 april 2005 21:09

Acties:

The_Greater

Op de gateway users instellen

Zover dat mogelijk is.

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

woensdag 13 april 2005 21:09

Acties:

SyS_ErroR

iexplore zelf gewoon geen uitvoerbare rechten geven voor die bepaalde user..

(even er van uitgaande dat je filesystem NTFS is..)

woensdag 13 april 2005 21:11

Acties:

Fairy

13kWp

Toevallig internet explorer dat in het programma is verwerkt? Dus geen gebruik maakt van de IE van windows?

Daarnaast ben ik van mening dat je internet moet dichtzetten op de poort naar buiten, dus de router of ISA server, niet door het werkstation dicht te spijkeren. Zo doen wij het althans...

woensdag 13 april 2005 21:16

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Zet ze in een apart IP Subnet met een gateway die niks door laat of een DNS die alles naar 127.0.0.1 redirect. Is het veiligst denk ik zolang ze niet bij die settings kunnen.
Blokkeer je IE dan installeren ze wel FireFox ofzo

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 13 april 2005 21:17

Acties:

Verwijderd

Topicstarter

Wolfboy schreef op woensdag 13 april 2005 @ 21:09:
iexplore.exe toevoegen aan de programma's die niet moegen draaien?

Dit had ik gedaan om het af te schermen

The_Greater schreef op woensdag 13 april 2005 @ 21:09:
Op de gateway users instellen
Zover dat mogelijk is.

Daar zijn we mee bezig, maar is nu nog niet mogelijk

Fairy schreef op woensdag 13 april 2005 @ 21:11:
Toevallig internet explorer dat in het programma is verwerkt? Dus geen gebruik maakt van de IE van windows?

Daarnaast ben ik van mening dat je internet moet dichtzetten op de poort naar buiten, dus de router of ISA server, niet door het werkstation dicht te spijkeren. Zo doen wij het althans...

Het is wel de internet explorer van windows die geladen word. Dit heb ik gecontroleerd
met de task manager om te kijken welk process hij opent bij het klikken op die knop.
Dit is helaas geen oplossing, omdat bapaalde andere systemen wel op internet mogen

woensdag 13 april 2005 21:18

Acties:

Verwijderd

Topicstarter

RobIII schreef op woensdag 13 april 2005 @ 21:16:
Zet ze in een apart IP Subnet met een gateway die niks door laat of een DNS die alles naar 127.0.0.1 redirect. Is het veiligst denk ik zolang ze niet bij die settings kunnen.
Blokkeer je IE dan installeren ze wel FireFox ofzo

Ik heb firefox.exe ook als blacklisted program opgegeven

woensdag 13 april 2005 21:20

Acties:

Verwijderd

Topicstarter

SyS_ErroR schreef op woensdag 13 april 2005 @ 21:09:
iexplore zelf gewoon geen uitvoerbare rechten geven voor die bepaalde user.. (even er van uitgaande dat je filesystem NTFS is..)

En is dit mogelijk om in een ADM in te stellen? Is het makkelijk voor als ze een internet
opdracht hebben deze weer open te zetten?

woensdag 13 april 2005 21:20

Acties:

Remco

Je kan natuurlijk ook je dns servers uit je ip configuratie verwijderen.
Ook de proxy settings uit iexplorer of firefox en je bent klaar volgens mij.

The best thing about UDP jokes is that I don't care if you get them or not.

woensdag 13 april 2005 21:27

Acties:

Verwijderd

Een foutieve proxy in IE instellen doet het ook...
Tools, Internet Options (of Start, Control Panel, Internet Options).
Op het tab Connections, druk je op LAN Settings en vink je "Use a proxy server for your LAN (...)" Bij Address typ je iets als "fakeproxy" en eventueel stel je ook een (door de firewall geblokkeerde) Port in.

woensdag 13 april 2005 21:28

Acties:

Verwijderd

wat een moeilijk gedoe allemaal zeg, wel eens van een firewall gehoord ?

gewoon zorgen dat gebruikers alleen op basis van lidmaatschap kunnen internetten. verder geen geouwehoer op de clients. vooral niks met iexplorer.exe enzo want anders doet veel meer het dadelijk niet meer.

woensdag 13 april 2005 21:41

Acties:

The Eagle

I wear my sunglasses at night

Tsja, d'r zal ongetwijfeld een patch beschikbaar zijn om dit lek te dichten - maar dat wordt denk ik goed zoeken

Mijn idee: onderwijsnet en administratieve net scheiden, klein SoHo-routertje in onderwijsnet ertussen dat iig geen internet verkeer doorlaat. Kwestie van een paar poortjes dichtzetten. Da's een stuk makkelijker te configgen en te beheren als een x-aantal PC's met policys enzo

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 13 april 2005 21:50

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 13 april 2005 @ 21:27:
Een foutieve proxy in IE instellen doet het ook...
Tools, Internet Options (of Start, Control Panel, Internet Options).
Op het tab Connections, druk je op LAN Settings en vink je "Use a proxy server for your LAN (...)" Bij Address typ je iets als "fakeproxy" en eventueel stel je ook een (door de firewall geblokkeerde) Port in.

Ik denk dat dit de beste oplossing is ja, had ik eerlijk gezegd nog niet aan gedacht.
De rest van de suggesties zijn ook bruikbaar, maar kost veel insteltijd.
Mijn dank is groot voor jullie reacties $_/-\o_$

woensdag 13 april 2005 21:53

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 13 april 2005 @ 21:50:
[...]

Ik denk dat dit de beste oplossing is ja, had ik eerlijk gezegd nog niet aan gedacht.
De rest van de suggesties zijn ook bruikbaar, maar kost veel insteltijd.
Mijn dank is groot voor jullie reacties $_/-\o_$

Het voordeel van deze oplossing is dat ik het dus in de policy kan regelen.
En dus niet ieder systeem stuk voor stuk hoef na te lopen

woensdag 13 april 2005 22:15

Acties:

Fairy

13kWp

Verwijderd schreef op woensdag 13 april 2005 @ 21:17:
[...]

Dit had ik gedaan om het af te schermen

[...]

Daar zijn we mee bezig, maar is nu nog niet mogelijk

[...]

Het is wel de internet explorer van windows die geladen word. Dit heb ik gecontroleerd
met de task manager om te kijken welk process hij opent bij het klikken op die knop.
Dit is helaas geen oplossing, omdat bapaalde andere systemen wel op internet mogen

Ja en dat van je dus heel mooi met een policy af!

Op onze ISA server kan ik heel nauwkeurig bepaalde users en bepaalde computers excluden e.d.
Dit hoor je niet op een werkstation af te vangen, als die kutkiddo's weer iets hebben gevonden om een alternatieve browser te installeren (Of firefox vanaf diskette oid) dan kunnen ze er ook bij want je houd alleen maar de browser tegen en geen verbinding.

Pak het probleem bij de bron aan, dat is niet je werkstation (eindgebruiker) maar de bron (de internetverbinding cq. router/server).

[ Voor 9% gewijzigd door Fairy op 13-04-2005 22:15 ]

woensdag 13 april 2005 22:19

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > WOS

Tijd voor een nieuwe sig..

donderdag 14 april 2005 11:44

Acties:

elevator

Officieel moto fan :)

Even een kleine titel edit - 'Policy leak Windows 2000' is mij iets te weinig zeggends

donderdag 14 april 2005 12:57

Acties:

Verwijderd

Verwijderd schreef op woensdag 13 april 2005 @ 21:28:
wat een moeilijk gedoe allemaal zeg, wel eens van een firewall gehoord ?

gewoon zorgen dat gebruikers alleen op basis van lidmaatschap kunnen internetten. verder geen geouwehoer op de clients. vooral niks met iexplorer.exe enzo want anders doet veel meer het dadelijk niet meer.

iexplore is niet zo verweven meer met windows2000 als in nt4, maar wel eens dat je zoiets gewoon netwerk technisch moet oplossen (acl op firewalls/proxies etc) en niet per werkstation moet gaan k*tten

donderdag 14 april 2005 13:46

Acties:

mutsje

Certified Prutser

Je kunt gewoon de eigenschappen van de proxy opgeven naar bv 127.0.0.1 en ook een fake pac file opgeven. Dit alles regel je met de wonderbaarlijke wereld van Policies

donderdag 14 april 2005 18:07

Acties:

Verwijderd

Topicstarter

Ik heb het vandaag een fakeproxy toegepast op mijn policy, en het werkt.
Inderdaad, het is beter om met een hardware proxy / firewall te gebruiken.
Dit zit er aan te komen, maar voorlopig heb ik het zo even opgelost!

Hartelijk dank allemaal $_/-\o_$

Pagina: 1

Reageer