[2003] Server, script voor iexplorer policies

Pagina: 1
Acties:

  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
We maken hier gebruik van een w2k3 server, en een exchange server.
De exchange server maakt gebruik van de users in het AD (zo heet dat toch? of maakt ie dan alleen gebruik van de 'users' die op de DC staan?)

De users die loggen ook in dmv de die users die op het DC staan, maar hebben gewoon een lokaal profiel.

Nu willen wij ervoor zorgen dat ze alleen maar op sites komen waarvan wij aangeven dat dat mag.
Ik loop me al 3 dagen het schompes te zoeken naar een oplossing, maar ik kan hiervoor niet specifiek iets vinden.

En proxy is helaas geen optie, omdat we per 'afdeling' willen werken. Zodat de ene afdeling op sites kan komen waar de andere afdeling niet op hoeft.

Het zou ook eventueel mogen via een login script.

Daar had ik wel iets over gevonen maar dat was onduidelijk of ik dan ook kan aangeven
waar ze wel en niet mogen opkomen.

[WhatPulse Profiel] [ Tuumke's n00by website]


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Denk dat je dan juist een proxy nodig hebt, of een soortgelijk apparaat waarmee je op basis van groepslidmaatschap of een ander identificerend gegeven kan filteren.

Wat heb je zelf allemaal al geprobeerd?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
sanfranjake schreef op vrijdag 20 januari 2006 @ 16:24:
Denk dat je dan juist een proxy nodig hebt, of een soortgelijk apparaat waarmee je op basis van groepslidmaatschap of een ander identificerend gegeven kan filteren.

Wat heb je zelf allemaal al geprobeerd?
nog niks (op het zoeken op internet na dan), heb namelijk geen idee waar ik het zoeken moet...

of ik dus via policies sites moet gaan blokkeren, of via een proxy.

[WhatPulse Profiel] [ Tuumke's n00by website]


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Via policies kun je dit bijna niet configureren er zijn altijd wel wegen erom heen namelijk.. even nslookup doen en rechstreeks op IP connecten en je zit op de website. Een firewall of Proxyserver is een betere optie om er tussen te zetten. Als je hier niets of bijna niets van afweet is het misschien handiger om een consultant in de armen te nemen die je precies kan vertellen wat je nodig hebt.

  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
okay, maar als ik het nu wel via de policies wil proberen
waar kan ik dan verboden en trusted sites toevoegen op de DC ?! :S
heb daar al in de help gezocht, op 't forum gezocht...
opt forum kom je wel dingen tegen zoals:

[rml][ 2003] IE GPO instellingen worden niet doorgevoerd[/rml]

maar dat kan ik ook niet vinden :S

ah eindelijk gevonden
dat ga ik es even mee aanklooien.. even kijken hoe dat werkt..

[ Voor 13% gewijzigd door Tuumke op 27-01-2006 12:38 ]

[WhatPulse Profiel] [ Tuumke's n00by website]


  • Angelfire
  • Registratie: September 2000
  • Laatst online: 16:37

Angelfire

AKA AZwaanR or RZA

Excuses voor de opmerking: "Maar denk je niet dat het beter is om hiervoor een professional in te schakelen? Dit is niet iets wat "out of the box" werkt en kan onder windows en ik maak op uit je openingspost dat je nog niet heel ervaren bent met Windows en Active Directory"

Om je op weg te helpen: Een goede firewall (professionele dus) met URL en/of DNS blocking rule-sets op Groepen doet wonderen.
Ik doe dit zelf met ISA 2004. Ik heb een aantal URL-Deny sets. En als je lid bent van een bepaalde groep mag je daar niet naar toe. Andersom kan je het ook doen. Je mag alleen naar URL's die je toe staat. Er zijn meerder producten die dit kunnen, ik heb voornamelijk ervaring met ISA 2004 hiervoor, en ik maak hiervoor geen gebruik van een proxy.

I play my enemies like a game of chess...


  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 15:56

sh4d0wman

Attack | Exploit | Pwn

De meest effectieve methode is inderdaad het gebruik van een proxy server. ISA is hiervoor zeker geschikt. Zelf ben ik meer bekend met Webmarshal van NetIQ. Daarin kun je diverse categorien aan websites opgeven en instellen voor wie (welke groep/gebruiker) ze beschikbaar zijn. Eventueel kun je er nog een tijds-schema aan hangen. Verder is het mogelijk om upload en download verkeer te blokkeren danwel te beperken. Met het oog op security is het ook mogelijk diverse file extensies te blokken en een virusscanner te intergreren welke realtime alle verkeer over de proxy monitord.
Uiteraard zijn er ook allemaal mooi raportages voor het management uit te halen ;)

Als het bedrijf waar je werkt groot genoeg is dan kunnen ze imo beter over een proxy oplossing nadenken.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


  • spone
  • Registratie: Mei 2002
  • Niet online
Angelfire schreef op vrijdag 27 januari 2006 @ 12:43:
en ik maak hiervoor geen gebruik van een proxy.
Hoogstwaarschijnlijk wel, een transparante proxy. Of je proxy verzorgt NAT.

Desktop: i5-14600K, 32GB DDR5-6000, RTX 5070 Ti; Laptop: MacBook Pro M1 Pro 14" 16/512; Server: R9-7950X, 192GB DDR5-5600


  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Angelfire schreef op vrijdag 27 januari 2006 @ 12:43:
Om je op weg te helpen: Een goede firewall (professionele dus) met URL en/of DNS blocking rule-sets op Groepen doet wonderen.
Ik doe dit zelf met ISA 2004. Ik heb een aantal URL-Deny sets. En als je lid bent van een bepaalde groep mag je daar niet naar toe. Andersom kan je het ook doen. Je mag alleen naar URL's die je toe staat. Er zijn meerder producten die dit kunnen, ik heb voornamelijk ervaring met ISA 2004 hiervoor, en ik maak hiervoor geen gebruik van een proxy.
Dit is een white list functie, hiermee blokkeer je dus alles behalve wat je toestaat.
Blacklist is precies het omgekeerde.
en ISA is een handig product om dit mee voor elkaar te boxen.

Het is overgens geen makkelijk iets, trouwen op een DC (Domain controller) staan geen lokale profielen omdat Active Directory dit niet toestaat. een member server is geen DC maar heeft wel lokale profielen.
Trouwens exchange is voor e-mail en heeft niks met internte verkeer te maken

Tja vanalles


  • TweeB
  • Registratie: November 2003
  • Niet online
Op m'n werk hebben wij dit opgelost door middel van een .pac (Proxy Auto Config) file.. Is een configuratie file die je in policies kun zetten. In principe wordt elke URL eerst getoetst tegen deze file. Al dan niet wordt je re-directed naar een proxy (van een isp of zo) of naar localhost.. (oid)

  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
he tis nu nog maar tijdelijk want rond eind april verhuizen wij naar het nieuwe pand :)

dus we zoeken naar een goeie tijdelijke oplossing

-edit-

hhmm voor die internet advanced security moeten de gebruikers dat aan hebben staan
op de windows xp bakken.. anders werkt het niet heb ik gemerkt

maar nog niet gevonden waar je dat aan moet zetten op een gebruikers pc...

[ Voor 46% gewijzigd door Tuumke op 09-02-2006 15:52 ]

[WhatPulse Profiel] [ Tuumke's n00by website]


  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
Ik heb nog weer verder gezocht,
en rond gevraagt bij vrienden.

Een van deze vrienden wees mij op een ISA server.

Maar is het met een ISA server ook mogelijk om op gebruikers/groep niveau websites te blokkeren?

[WhatPulse Profiel] [ Tuumke's n00by website]


Verwijderd

tuumke leest dit topic niet he !!
tuuumke zou er goed aan doen om de testversie van isa2004 te downloaden en gelijk alle tutorials die hij erover kan vinden, want het is voor een leek niet echt makkelijke software.
dus veel succes

  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

Tuumke schreef op maandag 27 februari 2006 @ 15:08:
Ik heb nog weer verder gezocht,
en rond gevraagt bij vrienden.

Een van deze vrienden wees mij op een ISA server.

Maar is het met een ISA server ook mogelijk om op gebruikers/groep niveau websites te blokkeren?
Er wordt meerdere malen aangegeven wat er allemaal mogelijk is met isa2000 / isa2004. Ja je kunt op group niveau filteren, ja je kunt op IP segmenten filteren.etc, www.isaserver.org ga daar maar eens kijken.

  • Tuumke
  • Registratie: Januari 2002
  • Laatst online: 14-10-2025

Tuumke

Shingaling?

Topicstarter
mutsje schreef op dinsdag 28 februari 2006 @ 10:25:
[...]

Er wordt meerdere malen aangegeven wat er allemaal mogelijk is met isa2000 / isa2004. Ja je kunt op group niveau filteren, ja je kunt op IP segmenten filteren.etc, www.isaserver.org ga daar maar eens kijken.
maar ik mag aanemen dat als ik ISA gebruik, dat al het verkeer door de ISA server heen gaat, wat dus weer meer netwerk verkeer veroorzaakt? (het netwerk is hier niet goed geregeld.. maar in het nieuwe pand zit dat wel snor)

het is dus eigenlijk de bedoeling, dat er op de clients een instelling wordt overgenomen o.i.d.
waarin staat aangegeven wat wel niet mag.
zodat het lokaal staat... en niet via de server

[WhatPulse Profiel] [ Tuumke's n00by website]


  • mutsje
  • Registratie: September 2000
  • Laatst online: 19-02 13:21

mutsje

Certified Prutser

erg simpel in te regelen. alles via de isa server laten lopen en de default gateway op de clients de isa server maken. verder naar buiten toe netwerken onmogelijk maken... dus netwerk op de isa server toespitsen.

Verwijderd

Tuumke schreef op donderdag 02 maart 2006 @ 10:20:
[...]


maar ik mag aanemen dat als ik ISA gebruik, dat al het verkeer door de ISA server heen gaat, wat dus weer meer netwerk verkeer veroorzaakt? (het netwerk is hier niet goed geregeld.. maar in het nieuwe pand zit dat wel snor)

het is dus eigenlijk de bedoeling, dat er op de clients een instelling wordt overgenomen o.i.d.
waarin staat aangegeven wat wel niet mag.
zodat het lokaal staat... en niet via de server
nee, het genereert intern exact dezelfde hoeveelheid netwerk verkeer (gewoon de pagina's ophalen), maar aangezien een proxy cached, scheelt het behoorlijk wat verkeer naar buiten toe.
Pagina: 1