toegang gebruikersgroep tot internetpagina's blokkeren

woensdag 16 februari 2022 16:12

Acties:

0 Henk 'm!

Topicstarter

Bij een bedrijf (MKB 50 mwrs) waar ik werk wordt een bepaalde sharepointsite gebruikt om werkinstructies etc te verspreiden. Men wil echter niet dat een bepaalde medewerkersgroep (productie) hun desktops gebruikt om te internetten.
Ik kreeg dus de vraag om te laten nakijken of het mogelijk is productiemw's de sharepointsite te laten bekijken en geen enkele andere site.

Verzoek bij IT-partner ingediend, die geven aan dat het niet kan

Volgens mij zou het mogelijk moeten zijn
https://support.google.com/chrome/a/answer/7532419?hl=nl
Dat gaat dan wel over Chrome Enterprise

Het is een domeinnetwerk (met domeinserver etc), en productie werkt in een RDP omgeving.

Iemand tips die ik kan (door)geven aan de IT-partner?

woensdag 16 februari 2022 17:17

Acties:

+2 Henk 'm!

Rolfie

Kan het ja, maar is wel het nodige werk.

Je kan met een proxy.pac of setup het nodige doen. Maar onderschat niet hoeveel verschillende URL gebruikt worden richting het Internet.

woensdag 16 februari 2022 17:22

Acties:

0 Henk 'm!

Mschamp

Kan je bij die groepen niet zorgen dat ze geen default gateway ingesteld hebben (of krijgen van de DHCP server)? Dan kunnen ze wel in het eigen netwerk blijven, maar er niet uit.
Andere optie: netwerk segmentatie en een firewall.

woensdag 16 februari 2022 17:22

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Draait die sharepoint site intern? Zo ja, dan moet dat vrij makkelijk in de firewall te regelen zijn dat die machines alleen interne connecties kunnen maken?

Zo niet dan zal je een proxy moeten inrichten die voor die gebruikers/machines alleen verkeer naar die sharepoint site toelaat. Dat zou volgens mij niet bijster ingewikkeld moeten zijn.

Er zijn vast nog andere creatieve opties te bedenken, maar een proxy is wel de geëikte manier om web verkeer te filteren.

Als je IT partij dat niet kan heb je ze of de verkeerde vraag gesteld, of je moet op zoek naar een nieuwe IT partij...

[ Voor 11% gewijzigd door Orion84 op 16-02-2022 17:25 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 16 februari 2022 17:25

Acties:

0 Henk 'm!

Pielotje

Topicstarter

Ik ben geen beheerder (ook niet bij dat bedrijf). Ik heb alleen een vraag doorgezet naar het bedrijf dat daar de IT verzorgd. Ben zelf niet op de hoogte van de exacte mogelijkheden maar inderdaad, firewalls, proxy etc dat zijn dingen waar ik weinig ervaring mee heb maar wel van weet dat die dit soort mogelijkheden (moeten) hebben.

Het is een externe sharepointsite. De vraag was heel simpel; voor groep X wel toegang tot de sharepointsite, niet tot andere websites.

Let op dat de groep allemaal op RDP werken, en er zitten ook gebruikers op die RDP die wel internettoegang krijgen. Ik weet niet of dat binnen één RDP omgeving weer te scheiden is.

[ Voor 8% gewijzigd door Pielotje op 16-02-2022 17:26 ]

woensdag 16 februari 2022 17:45

Acties:

+4 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Lijkt me allemaal een lastig verhaal. Wij kunnen wel met allerlei ideeën komen, maar kennen de details van de omgeving niet (en die kan jij ons niet vertellen, want je bent niet de beheerder). En jij kan (om diezelfde reden) weinig met de ideeën die wij geven

Sowieso voelt het een beetje alsof wij dan hier het werk van dat IT bedrijf aan het doen zijn.

"Kan niet" geloof ik in elk geval geen snars van, hoogstens dat het te duur/complex is om dat goed in te richten, maar dan moet die IT club dat fatsoenlijk toelichten en niet "kan niet" zeggen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 16 februari 2022 18:18

Acties:

+2 Henk 'm!

MAX3400

XBL: OctagonQontrol

Pielotje schreef op woensdag 16 februari 2022 @ 17:25:

Let op dat de groep allemaal op RDP werken, en er zitten ook gebruikers op die RDP die wel internettoegang krijgen. Ik weet niet of dat binnen één RDP omgeving weer te scheiden is.

Ja, dat kan. Maar blijkbaar niet door jou en ook niet door dat IT bedrijf.

Oplossing: een beheerclub inhuren die wel weet waar het over gaat.

Leuk en aardig dat je de vraag "doorzet" maar ik zou daar verder geen aandacht of tijd aan spenderen. De crux is & blijft "dat IT bedrijf" want ze zullen de enige(n) zijn die policies etc mogen opvoeren op de omgeving.

Zijdelings, Chrome leunt voor 98% van alle settings gewoon op dezelfde settings als IE, EDGE en "het OS" dus staar je vooral niet blind op GPO's voor die ene applicatie.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 16 februari 2022 18:52

Acties:

+1 Henk 'm!

DJMaze

Och deed mijn baas ook eens.
Keek hij op mijn scherm en vroeg: hoezo kan jij wel internetten?
Antwoord: geen idee?!?

Heb hem maanden laten zoeken, zweten en bellen met leverancier.
Daarna maar verteld hoe ik het deed 🤣

[ Voor 41% gewijzigd door DJMaze op 16-02-2022 18:53 ]

Maak je niet druk, dat doet de compressor maar

woensdag 16 februari 2022 18:56

Acties:

+1 Henk 'm!

Vorkie

https://superuser.com/que...o-one-site-only-in-chrome

Hier heb je wat leesvoer.

Alles kan, dus je IT partij afvoeren, nieuwe partij zoeken en daarnaast voor jezelf een testomgeving gaan opbouwen om die IT partij te kunnen controleren en natuurlijk van de juiste input te voorzien.

donderdag 17 februari 2022 07:34

Acties:

+1 Henk 'm!

Pielotje

Topicstarter

Het lijkt mij ook dat het kan en dat de ITer die zich er in "verdiept" heeft het gewoon niet weet, maar wil op zijn minst zelf enige "zekerheid" hebben over dat het wel moet kunnen en ze maar beter moeten zoeken.
Uit jullie reacties maak ik op dat ik gelijk heb (in dat het gewoon moet kunnen) dus dat zal ik aan het bedrijfsmanagement laten weten; zij mogen het vervolgens uitzoeken met het IT-bedrijf.

edit: eventuele mogelijkheden om zoiets te omzeilen zijn sowieso niet mijn probleem. De gemiddelde productiemw in een fabriek heeft daar geen mogelijkheden/kennis voor...

https://support.google.co...02?hl=en#zippy=%2Cwindows

[ Voor 23% gewijzigd door Pielotje op 17-02-2022 10:04 ]

maandag 21 februari 2022 18:22

Acties:

+3 Henk 'm!

Blokker_1999

Full steam ahead

Andere IT partner zoeken?

No offense, maar klinkt alsof ze liever lui dan moe zijn. Er zijn vele manieren waarop dit geimplementeerd kan worden. Sommige met software, andere met hardware. Of de benodigde componenten reeds aanwezig zijn in de setup van je bedrijf, dat is een andere vraag. Maar mogelijkheden zijn er zeker en vast.

Zelf zou ik het oplossen op onze firewall die zich volledig bewust is van welke gebruiker op welke machine zit en kan nagaan in welke groepen deze gebruiker zit en waarbij we dus afhankelijk van de groep andere policies kunnen zetten. Is dat niet mogelijk dan zou mijn volgende oplossing een transparante proxy zijn. Transparant is voor gebruikers niet zichtbaar en maakt het moeilijker om zomaar een applicatie te draaien die er rond probeert te werken. Ook dat kan in je eigen infra of in de cloud (bijv zScaler)..

No keyboard detected. Press F1 to continue.

dinsdag 22 februari 2022 09:05

Acties:

+3 Henk 'm!

Brahiewahiewa

boelkloedig

Blokker_1999 schreef op maandag 21 februari 2022 @ 18:22:
...
No offense, maar klinkt alsof ze liever lui dan moe zijn...

Otoh klinkt het alsof de TS zich niet realiseert dat het ondertussen 2022 is.
Werknemers die niet mogen internetten? Iedere werknemer heeft tegenwoordig minstens één smartphone en die werknemer gaat internetten wanneer hij dat wil. Ik zou er als IT-er ook niet aan beginnen om zo'n non-probleem op te lossen

QnJhaGlld2FoaWV3YQ==

dinsdag 22 februari 2022 09:32

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 09:05:
[...]

Otoh klinkt het alsof de TS zich niet realiseert dat het ondertussen 2022 is.
Werknemers die niet mogen internetten? Iedere werknemer heeft tegenwoordig minstens één smartphone en die werknemer gaat internetten wanneer hij dat wil. Ik zou er als IT-er ook niet aan beginnen om zo'n non-probleem op te lossen

Het kan natuurlijk ook meer een security kwestie zijn dat de machines waarmee productie processen worden beheerd of iets dergelijks niet direct naar het internet mogen ivm. besmettingsrisico's (ransomware en zo).

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 22 februari 2022 09:34

Acties:

0 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Orion84 schreef op dinsdag 22 februari 2022 @ 09:32:
[...]

Het kan natuurlijk ook meer een security kwestie zijn dat de machines waarmee productie processen worden beheerd of iets dergelijks niet direct naar het internet mogen ivm. besmettingsrisico's (ransomware en zo).

Precies.

Hier ook een plethora aan machines die niet met het internet mogen verbinden (althans, niet om te surfen) vanwege security. Alleen bepaalde servers en diensten mogen benaderd worden.

Gebruikers hebben wel allemaal een laptop waarmee het wel kan overigens.

Wij gebruiken hier FortiGuard van Fortinet voor overigens.

[ Voor 4% gewijzigd door Heroic_Nonsense op 22-02-2022 09:34 ]

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

dinsdag 22 februari 2022 09:45

Acties:

0 Henk 'm!

_H_G_

Orion84 schreef op dinsdag 22 februari 2022 @ 09:32:
[...]

Het kan natuurlijk ook meer een security kwestie zijn dat de machines waarmee productie processen worden beheerd of iets dergelijks niet direct naar het internet mogen ivm. besmettingsrisico's (ransomware en zo).

Zou kunnen, al ken ik soortgelijke situaties wel en ik denk toch eerder dat Brahiewahiewa gelijk heeft.

Ik zou adviseren aan directie om het in arbeidsvoorwaarde op te nemen (en staat er misschien al in, maar dan globaler). Die facebooker doet het anders wel op mobieltje.

Als het wel gaat om security dan lijkt het me sterk dat IT partner zegt dat het niet kan (als dat zo is, moet je een andere zoeken. niet-ICTers die tips gaan geven m.b.t. security is wel heel raar).

dinsdag 22 februari 2022 12:05

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 09:05:
[...]

Otoh klinkt het alsof de TS zich niet realiseert dat het ondertussen 2022 is.
Werknemers die niet mogen internetten? Iedere werknemer heeft tegenwoordig minstens één smartphone en die werknemer gaat internetten wanneer hij dat wil. Ik zou er als IT-er ook niet aan beginnen om zo'n non-probleem op te lossen

Niet alleen wat @Orion84 zegt, maar uiteindelijk kan het ook gewoon een opdracht van management zijn.

No keyboard detected. Press F1 to continue.

dinsdag 22 februari 2022 14:14

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Blokker_1999 schreef op dinsdag 22 februari 2022 @ 12:05:
[...]

Niet alleen wat @Orion84 zegt, maar uiteindelijk kan het ook gewoon een opdracht van management zijn.

Als mij als IT-er gevraagd wordt om de collega's met wie ik dagelijks samenwerk hun internet af te pakken dan probeer ik ook eerst even of een simpel "kan niet" een afdoende antwoord is.

Ik bedoel: sinds wanneer neemt "management" beslissingen op detail nivo vwb automatisering? Gaat "management" ook zeggen dat er alleen maar schijven van WD gebruikt mogen worden? Of dat er alleen via TLS gecommuniceerd mag worden en niet via ipsec? Management stelt prestatie eisen aan de IT omgeving. Hoe die prestatie eisen gehaald worden is een beslissing van IT, niet van management

QnJhaGlld2FoaWV3YQ==

dinsdag 22 februari 2022 14:39

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 14:14:
[...]
Ik bedoel: sinds wanneer neemt "management" beslissingen op detail nivo vwb automatisering?

Beleid over voor welke doeleinden bepaalde machines gebruikt mogen worden lijkt me niet echt "detail nivo vwb automatisering". Dat is juist bij uitstek een managementbeslissing.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 22 februari 2022 15:43

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Orion84 schreef op dinsdag 22 februari 2022 @ 14:39:
[...]

Beleid over voor welke doeleinden bepaalde machines gebruikt mogen worden lijkt me niet echt "detail nivo vwb automatisering". Dat is juist bij uitstek een managementbeslissing.

Ik ken jouw werkkring niet, maar mijn ervaring met management is dat ze dan de meest idiote beslissingen nemen. Dat is dan ook geen management, dat is micro-management

QnJhaGlld2FoaWV3YQ==

dinsdag 22 februari 2022 16:00

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 15:43:
[...]

Ik ken jouw werkkring niet, maar mijn ervaring met management is dat ze dan de meest idiote beslissingen nemen.

Daar heeft 'IT' natuurlijk een adviserende rol.

Dat is dan ook geen management, dat is micro-management

Mja, ik blijf er bij dat beleid over dat een bepaalde set machines geen internet toegang mag hebben (of dat nou om security redenen is of wat anders) geen 'micro-management' te noemen is en ook niet iets wat je puur aan IT over kan laten. Dat beleid moet (mede) vanuit de business komen. Daar zit namelijk ook het risico.

En zeker een externe IT supplier kan niet dergelijke beslissingen nemen voor hun klant, dat is totaal de omgekeerde wereld.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 22 februari 2022 17:34

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Orion84 schreef op dinsdag 22 februari 2022 @ 16:00:
[...]
En zeker een externe IT supplier kan niet dergelijke beslissingen nemen voor hun klant, dat is totaal de omgekeerde wereld.

Kijk, als je als bedrijf een beleid hebt om wel of niet internet te verschaffen op je werkplekken, dan heb je wel gelijk. Maar in dit geval is er gewoon een terminal server neergepleurd met voor iedereen internet. Heeft niemand over nagedacht; was er gewoon. En nu moeten er ineens mensen afgesloten worden van internet. En ik wil dan graag weten waarom. En vooral: "wat denkt de TS of zijn opdrachtgever/manager/whatever daarmee te bereiken?".

Jij noemt security als reden, maar omdat het in dit geval over een terminal sessie gaat, kan security al nauwelijks een reden zijn. Het internet afsluiten is in ieder geval dan geen goede oplossing voor het security probleem.
Iemand noemt bandbreedte maar bandbreedte is ook nauwelijks een issue in geval van terminal sessies.

De vraag klinkt dus naar mijn idee vooral als een wens die ingegeven wordt door een verkeerde voorstelling van zaken. Men wil een bepaalde groep werknemers van het internet afsluiten om iets te bewerkstelligen. Internet afsluiten is geen doel op zich. Ik acht de kans groot dat het iets dat men wil bewerkstelligen, op een betere manier bereikt kan worden.

QnJhaGlld2FoaWV3YQ==

dinsdag 22 februari 2022 17:44

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 17:34:
[...]

Kijk, als je als bedrijf een beleid hebt om wel of niet internet te verschaffen op je werkplekken, dan heb je wel gelijk. Maar in dit geval is er gewoon een terminal server neergepleurd met voor iedereen internet. Heeft niemand over nagedacht; was er gewoon. En nu moeten er ineens mensen afgesloten worden van internet. En ik wil dan graag weten waarom. En vooral: "wat denkt de TS of zijn opdrachtgever/manager/whatever daarmee te bereiken?".

Dat is natuurlijk helemaal prima. Maar de vraag stellen is wat anders dan het op voorhand afdoen als een non-issue.

Jij noemt security als reden, maar omdat het in dit geval over een terminal sessie gaat, kan security al nauwelijks een reden zijn. Het internet afsluiten is in ieder geval dan geen goede oplossing voor het security probleem.
Iemand noemt bandbreedte maar bandbreedte is ook nauwelijks een issue in geval van terminal sessies.

Volgens mij doe je hier een boel aannames zonder dat we hier met z'n allen ook maar enig idee hebben over wat nu exact de omgeving is waar het om gaat en wat daar wel of niet belangrijk/beperkend zou kunnen zijn. En dat is ook mijn grootste probleem met dit hele topic. Dit soort kwesties zijn nauwelijks zinvol te bediscussiëren wanneer je alleen wat gebrekkige informatie hebt van iemand die er zelf geen verstand van heeft.

De vraag klinkt dus naar mijn idee vooral als een wens die ingegeven wordt door een verkeerde voorstelling van zaken. Men wil een bepaalde groep werknemers van het internet afsluiten om iets te bewerkstelligen. Internet afsluiten is geen doel op zich. Ik acht de kans groot dat het iets dat men wil bewerkstelligen, op een betere manier bereikt kan worden.

Dat zou kunnen en dat is een valide vraag om te stellen als externe IT leverancier, maar dat is heel wat anders dan "kan niet".

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 22 februari 2022 19:27

Acties:

+1 Henk 'm!

Blokker_1999

Full steam ahead

Brahiewahiewa schreef op dinsdag 22 februari 2022 @ 14:14:
[...]

Als mij als IT-er gevraagd wordt om de collega's met wie ik dagelijks samenwerk hun internet af te pakken dan probeer ik ook eerst even of een simpel "kan niet" een afdoende antwoord is.

Ik bedoel: sinds wanneer neemt "management" beslissingen op detail nivo vwb automatisering? Gaat "management" ook zeggen dat er alleen maar schijven van WD gebruikt mogen worden? Of dat er alleen via TLS gecommuniceerd mag worden en niet via ipsec? Management stelt prestatie eisen aan de IT omgeving. Hoe die prestatie eisen gehaald worden is een beslissing van IT, niet van management

Wat heeft dit in hemelsnaam met management op detail niveau te maken? Het wel of niet toestaan van (bepaalde) internetpagina's of internettoegang in het algemeen is een beslissing die perfect door management te nemen is. Management stel eisen aan het personeel en het niet gebruiken van bedrijfscomputers voor private doeleinden is zo een eis die management perfect kan stellen.

Geen idee in wat voor bedrijven jij de afgelopen 20 jaar gewerkt hebt of in welke functie, maar ik ben zie maar zelden firma's waar het internet gewoon volledig openstaat voor iedereen op de werkvloer.

Jij noemt security als reden, maar omdat het in dit geval over een terminal sessie gaat, kan security al nauwelijks een reden zijn.

Excuseer?

Iemand noemt bandbreedte maar bandbreedte is ook nauwelijks een issue in geval van terminal sessies.

Want op een TS heb je magische onbeperkte bandbreedte

Het is net op onze terminal servers dat wij in mijn huidige onderneming een stuk meer blokkeren dan op de laptops van onze gebruikers. Al krijgen ze op hun laptops ook geen onbeperkte toegang tot het internet. En daar zijn enkele belangrijke redenen voor. Veiligheid. Zowel van wat mensen zouden kunnen bezoeken en downloaden op een terminal server alsook wat zij kunnen uploaden aan data maar evenzeer het feit dat die terminal servers net gebruik maken van gedeelde resources, deze reeds overbevraagd zijn (dankzij de chip shortage zijn levertijden absurd geworden) en we dus een zo eerlijk mogelijk speelveld moeten maken.

Als management zegt dat het internet dicht moet mag je daar gerust vragen bij stellen. Waarom moet het? Zijn er geen andere oplossingen? Kan ik iets betekenisvol bijdragen in de discussie? Maar op het einde van de dag wordt je manager betaald om beslissingen te nemen en jij om die uit te voeren. Ga je daar niet mee akkoord? Dat mag, maar dan heb je 2 keuzes: je werk naar behoren doen, of ander werk zoeken.

No keyboard detected. Press F1 to continue.

woensdag 23 februari 2022 07:50

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Blokker_1999 schreef op dinsdag 22 februari 2022 @ 19:27:
[...]
Als management zegt dat het internet dicht moet mag je daar gerust vragen bij stellen...

Ja maar in dit topic is het niet management die zegt dat het moet. In dit topic vraagt de TS of het überhaupt mogelijk is, want dat weet hij niet zeker. En jij beweert dat management het aan hem gevraagd heeft, maar dat weten wij ook niet zeker. Vooralsnog kan het ook de toiletjuffrouw zijn geweest

QnJhaGlld2FoaWV3YQ==

woensdag 23 februari 2022 08:13

Acties:

0 Henk 'm!

Pielotje

Topicstarter

Jawel, het is het management dat de vraag neerlegt.

De productie werkt op een RDP server, daarop start in hun sessie alleen het ERP systeem (MS Dynamics) en ze kunnen niet op hun bureaublad. Nu kwam de vraag of het mogelijk is om alleen een specifieke sharepoint site benaderbaar te maken (en géén andere websites)

Dat mensen op hun mobiel kunnen internetten realiseren ze zich wellicht hopelijk ook wel, maar voor gebruik van mobiel zijn in dit soort omgevingen ook wel bepaalde afspraken (of mwrs zich daar aan houden is een tweede)
Maar bij internetten op je eigen telefoon stel je in ieder geval het bedrijfsnetwerk niet bloot aan gevaarlijke websites/bestanden, al denk ik niet dat dat een overweging is die meegenomen wordt; ze willen gewoon dat mwrs zich met productie bezighouden.

Op zich lijkt het mij inderdaad een beslissing van management om te bepalen of bedrijfsmiddelen gebruikt mogen worden om te internetten.

Anyway, dat is hier het punt niet; ze kunnen dit vragen. Het punt is dat het IT bedrijf geen mogelijkheden ziet, ik denk wel dat ze er zijn, al ben ik niet bekend met de exacte mogelijkheden (hou ik ook liever zo

) maar ik zoek wat mogelijkheden om management danwel IT bedrijf in een bepaalde richting te duwen.

Ik heb ook al gevraagd wat er dan precies op die sharepointsite staat en of dat niet op een andere manier te delen is...

woensdag 23 februari 2022 08:28

Acties:

0 Henk 'm!

unezra

Ceci n'est pas un sous-titre.

@Pielotje Bij veel firewalls is het mogelijk het dáár te regelen. Zowel op IP niveau (client IP) als op persoonsniveau (inlog).

De vraag is wel of dit het juiste is. Het technisch onmogelijk maken, zorgt eerder dat mensen gaan proberen er omheen te werken dan er afspraken over te maken dat het bijvoorbeeld enkel tijdens pauzes mag. Tegelijkertijd, dat is een managementbeslissing. (Waar je ze wel bewust van kunt maken.)

Ná Scaoll. - Don’t Panic.

woensdag 23 februari 2022 08:54

Acties:

0 Henk 'm!

Rolfie

Blokker_1999 schreef op dinsdag 22 februari 2022 @ 19:27:
Geen idee in wat voor bedrijven jij de afgelopen 20 jaar gewerkt hebt of in welke functie, maar ik ben zie maar zelden firma's waar het internet gewoon volledig openstaat voor iedereen op de werkvloer.

Van grote tot kleine, en eigenlijk bij de meeste mag alles. Soms wel met analyse en of monitoring, maar blocks komen zelden voor.

Maar zo zijn er ook bedrijven waar het inderdaad gelimiteerd is, maar dat zijn meestal de uitzonderingen en met goede redenen hiervoor en een goede en grote IT afdeling.

Ik mag hier ook niet bij ons op kantoor alle bijvoorbeeld wetransfer varianten sites gebruiken, https analyse op bepaalde sites.

woensdag 23 februari 2022 08:58

Acties:

0 Henk 'm!

Oon

Orion84 schreef op dinsdag 22 februari 2022 @ 09:32:
[...]

Het kan natuurlijk ook meer een security kwestie zijn dat de machines waarmee productie processen worden beheerd of iets dergelijks niet direct naar het internet mogen ivm. besmettingsrisico's (ransomware en zo).

Ik neem aan dat ze dan gewoon fysiek airgapped zijn, en niet alleen een firewall, zeker niet als die firewall toch wel verbinding naar SharePoint toestaat.

Dan maar een tablet in de buurt waar wel internet op zit, kun je ook in SharePoint.

woensdag 23 februari 2022 09:01

Acties:

0 Henk 'm!

De_Bastaard

Internet blokkeren is toch echt zó niet meer van deze tijd, waarom wilt men dat?

Je kunt toch gewoon je productiepersoneel erop aanspreken als ze niet doorwerken?

En ja, waarschijnlijk kun je gewoon heel wat blokkeren via de firewall.

woensdag 23 februari 2022 09:22

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Pielotje schreef op woensdag 23 februari 2022 @ 08:13:
De productie werkt op een RDP server, daarop start in hun sessie alleen het ERP systeem (MS Dynamics) en ze kunnen niet op hun bureaublad.

Wellicht zit 'm daar dan de "kan niet". Toegang geven tot de browser om die sharepoint pagina te bezoeken is wellicht niet (makkelijk) te doen in zo'n afgegrendelde sessie waar alleen Dynamics beschikbaar is. Maar goed, dat is nog steeds giswerk.

Hoe maken ze verbinding met die RDP server? Vanaf een normale laptop/desktop? Of gebruiken ze een of andere thin client die alleen maar direct die RDP sessie opent? Want als die RDP sessie vanaf een normaal werkstation wordt geopend, dan kunnen ze die sharepoint site toch gewoon openen naast de RDP sessie in plaats van binnen de RDP sessie?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 23 februari 2022 09:44

Acties:

0 Henk 'm!

Pielotje

Topicstarter

Internet blokkeren is toch echt zó niet meer van deze tijd, waarom wilt men dat?

Dat zie je in zoveel bedrijven, die ouderwetse houding m.b.t. IT of werkzaken. Tijdens corona moest iedereen ook gewoon op kantoor zitten, terwijl in de vergaderruimte een enorme TV met conferentiesysteem staat.
Daarom zeg ik al; ze zijn zich bewust van het feit dat mensen niet op de PC kunnen internetten, maar ik vraag me af of ze zich realisereren dat iedereen op zijn mobiel youtube kan zitten kijken tijdens productie.

Ik vind het zelf niet zo vreemd dat ze bepaalde informatie willen ontsluiten op de werkomgevingen waar gebruikers alleen bij Dynamics kunnen, maar wellicht is het inderdaad te lastig.

Over het algemeen thin clients, daar zit geen browser op. In de RDP omgeving is wel een browser, maar de gebruikers kunnen niks opstarten (geen bureaublad/geen startmenu). Misschien zijn er "hacks"/"workarounds" voor maar ik denk dat de betreffende gebruikers die niet kennen.
Ze zijn dus al 100% gewend aan "niet internetten" op de werkomgeving. Het is wel mogelijk om vanuit Dynamics een URL op te starten, maar dan zit je dus in een browser waar je vervolgens een andere URL in kunt typen (en dat zou dus niet mogelijk moeten zijn).
Op zich verwondert het me een beetje dat browser niet een soort demo-optie hebben om één specifieke URL te starten en de URL balk te blokkeren (in de praktijk zal dan waarschijnlijk gewoon fullscreen gezet worden)

Anyway, ik heb dus ook de vraag gesteld wat precies het doel is van die sharepointomgeving, want misschien is er een andere benadering mogelijk.

Ik kom ook bij een ander (groot) bedrijf, daar zijn specifieke pagina's niet toegankelijk: facebook, gmail, hotmail (outlook.com) en een hele rits andere pagina's. Daar is security een enorm "ding"; er hangen zelfs instructies op kantoortrappen dat je met één hand verplicht aan de leuning de trap op moet.

[ Voor 21% gewijzigd door Pielotje op 23-02-2022 09:48 ]

woensdag 23 februari 2022 09:58

Acties:

+1 Henk 'm!

Rolfie

Pielotje schreef op woensdag 23 februari 2022 @ 09:44:
Op zich verwondert het me een beetje dat browser niet een soort demo-optie hebben om één specifieke URL te starten en de URL balk te blokkeren (in de praktijk zal dan waarschijnlijk gewoon fullscreen gezet worden)

Een lastige is.... CRM gebruikt bijvoorbeeld al Azure AD waarschijnlijk als authenticatie, dus die URLs moeten ook beschikbaar zijn.
Java scripts / fonts / plaatjes / css files die bijvoorbeeld van andere sites gedownload worden.
De verbinding gaat over https, dus de machine moet bijvoorbeeld de CRLs kunnen controleren.
En in die keken kan bijvoorbeeld nog wel eens het 1 en ander aangepast worden in het ergste geval, die niet toegestaan is/was.

Zo is nu het ineens een stuk lastiger geworden, want het is niet 1 bepaalde site geworden, maar een hele variatie van sites.
Waarbij het vandaag kan werken, maar als er ergens om de keten iets aangepast wordt, dat kan ook in eens alles omvallen en CRM bijvoorbeeld niet meer werken waarbij er productie impact is.

Is het technisch mogelijk, zeker, maar het is complexer dan even een bepaalde site toestaan.

Is dit het productie risico waard het risico waard vs wat je er mee wilt bereiken?

woensdag 23 februari 2022 16:42

Acties:

+1 Henk 'm!

akimosan

Welke browser wordt er op de RDS host gebruikt?

In Edge / Chrome kun je dit vrij makkelijk blokkeren met een blacklist/whitelist regel.

Dan toepassen met een GPO/GPP en targeten/scopen op een gebruikersgroep. Als een IT bedrijf dat niet kan, moeten ze stoppen met IT ondersteuning geven.

Dit is even een simpele technische oplossing, enkel op applicatie/browserniveau. Dekt heus niet alles. Maar snel en eenvoudig te implementeren zonder dat andere systeemprocessen of achtergrond applicaties stoppen met werken.

Heb het zelf onlangs toegepast op een Kiosk PC (mbv Endpoint Manager) en werkt in de praktijk prima
Als je in de blacklist * en ook nog url's edge://* opneemt en enkel DIE settings in edge://settings opneemt die wel moeten werken plak je ook nog de userinterface van Edge redelijk dicht.

Vergelijkbaar kun je dit doen met Chrome of een andere chromium browser. Firefox even geen idee..

[ Voor 5% gewijzigd door akimosan op 23-02-2022 16:44 ]

Vraag

Alle reacties