Toon posts:

[citrixXP] Internet uitschakelen voor bepaalde users

Pagina: 1
Acties:

dinsdag 7 januari 2003 09:35

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Topicstarter
[SPECS]
Win2k server met terminal services en Citrix XP
Verschillende vestigingen die via dsl (router) verbonden zijn met servers op hoofdkantoor.
Wyse 1200LE terminals op de vestigingen.

[PROBLEEM]
Internet uitschakelen voor de verkopers maar niet voor de verkoopleiders.

[GEPROBEERD]
Policies instellen per user group -> werkt niet afdoende, verkopers kunnen dan via explorer (die WEL opstart maar geen inet laat zien) browsen over het netwerk.

InternetScout aangeschaft -> Programma kan aan de hand van NTusers permissie geven of een lege pagina weergeven.
1 probleem, citrix geeft geen NTusername of ip mee, alleen de username van de server (beheerder) en het ip van de citrixserver.

[IDEALE OPLOSSING]
Een manier om verkoopleiders wel internet te geven zonder dat de verkopers via bijvoorbeeld het helpmenu op een link kunnen klikken en zo kunnen internetten.
enz. (geld ook voor de telefoongids, alles eruitgesloopt wat met inet te maken had, blijkt er achter bedrijfsnamen nog een link te staan in de database :( )

Het enige wat verkopers dus kunnen is een eigen (verkoop)applicatie opstarten en de telefoongids.
Verkoopleiders kunnen ook met office werken e.d.

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

dinsdag 7 januari 2003 09:52

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 17:48

Koffie

Koffiebierbrouwer

Braaimeneer

Wat voor proxy server draai je :?
Ekl zichzelf repsecterende proxy software kan internet access toestaan/verbieden op basis van username/ip-adres/group

Maak 2 groepen aan, inet en geen-inet. Gooi daar de users in stel rechten op de groepen.

Tijd voor een nieuwe sig..

dinsdag 7 januari 2003 10:21

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Topicstarter
We gebruiken een firewall als gateway, de sorftware regelt wie waar wel heen mag op internet en houdt het netjes bij in een database.
Het probleem is juist dat we met dat programma niet kunnen filteren op username/ip-adres/group.
Vanuit Citrix XP wordt deze niet meegegeven, hij ziet elke keer standaard de Citrixserver vanwaar de user internet aanroept. Dus beheerder als user, ip van de citrixserver...

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

dinsdag 7 januari 2003 10:36

Acties:

Verwijderd

Je kan ook een loginscript maken dat als ze inloggen dat ze geen gebruik kunnen maken van hun browser.

dinsdag 7 januari 2003 11:05

Acties:
  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 18:30

paulhekje

[[GEPROBEERD]
Policies instellen per user group -> werkt niet afdoende, verkopers kunnen dan via explorer (die WEL opstart maar geen inet laat zien) browsen over het netwerk.
ntfs rechten weghalen van iexplore.exe?

via policy instellen:
- proxy
- geen netwerkomgeving

[ Voor 4% gewijzigd door paulhekje op 07-01-2003 11:06 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 7 januari 2003 12:28

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

arjants schreef op 07 januari 2003 @ 09:35:
[SPECS]
InternetScout aangeschaft -> Programma kan aan de hand van NTusers permissie geven of een lege pagina weergeven.
1 probleem, citrix geeft geen NTusername of ip mee, alleen de username van de server (beheerder) en het ip van de citrixserver.
Ik weet niet hoe InternetScout werkt (ik kan er ook geen webpage van vinden oid?), maar normaal gesproken is geen enkele user ingelogd als beheerder. Heb jij een idee waar Internetscout die username dan vandaan haalt?
Het enige wat verkopers dus kunnen is een eigen (verkoop)applicatie opstarten en de telefoongids.
Verkoopleiders kunnen ook met office werken e.d.
Zoals al eerder gezecht, rechten geven op iexplorer.exe, of nog beter op wininet.dll.

Je maakt 1 groep aan die je expliciet internet access ontzegd en daar geef je een "No Access" recht op de file "%Systemroot%\system32\wininet.dll"

dinsdag 7 januari 2003 14:56

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Topicstarter
*Elevator*
Superscout emailfilter heet het en is te vinden op: http://www.surfcontrol.com
Ze hebben ook een goed emailfilter, draait hier ook al een tijdje :)

Weet zelf ook zo niet hoe íe aan die info komt, zal wel een niveau hoger kijken dan MSProxy o.i.d.

Je tip ga ik nu proberen, danke alvast!

Modbreak
Graag MS schrijven ipv M$ ...

[ Voor 35% gewijzigd door Predator op 08-01-2003 10:15 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

donderdag 9 januari 2003 11:24

Acties:
  • ExcaliburDexter
  • Registratie: Februari 2002
  • Laatst online: 07-06-2025

ExcaliburDexter

Wil je het echt voor 100% tegengaan dat ze kunnen internetten dan moet je zoiets als powerfuse gaan draaien.

Hier op stage hadden mensen het zelfs klaar gekregen om via de help naar winfile te gaan en dan via ftp.exe phoenix te downloaden en in hun pers.map te zetten waardoor ze nog konden interneten. ( :+ voor zoiets heb ik wel respect, zijn meestal wel de users die je nooit overlast bezorgen met domme vragen :+ )

Met zo'n programma als powerfuse moet je toewijzen welk programma ze wel mogen opstarten, alles wat daar niet bij zit wordt door powerfuse netjes afgesloten. Hier werkt het perfect, er is maar een manier om er omheen te komen icm win2000 + MetaframeXP, maar die lijkt me wat te ingewikkeld voor hun :D .

donderdag 9 januari 2003 12:28

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Wat jij beschrijft, ExcaliburDexter, is de functionaliteit van Appsec, dus PowerFuse zal wel meer kunnen, hoop ik :P

donderdag 9 januari 2003 12:51

Acties:
  • ExcaliburDexter
  • Registratie: Februari 2002
  • Laatst online: 07-06-2025

ExcaliburDexter

elevator schreef op 09 January 2003 @ 12:28:
Wat jij beschrijft, ExcaliburDexter, is de functionaliteit van Appsec, dus PowerFuse zal wel meer kunnen, hoop ik :P
Is natuurlijk maar een kleine greep uit de functionaliteit van het pakket :)

donderdag 9 januari 2003 12:56

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 17:52

sh4d0wman

Attack | Exploit | Pwn

hier ook powerfuse! werkt perfect :)
zal nog wel even speuren naar wat andere mogelijkheden, denk niet dat er veel zijn :D

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zaterdag 11 januari 2003 01:34

Acties:
  • Routed
  • Registratie: Januari 2000
  • Laatst online: 26-01 18:22

Routed

op 1 van mijn vorige klussen reguleerde wij internet gebruik op de werkplek dmv een kix script die aan de hand van group membership (wel_internet) een aantal waardes in het register wegschreef zoals proxy server en mogelijkheid tot het zelf wijzigen van deze waardes (en nee dit mochten ze niet ;)).

Als je dit kan doorvoeren in een TS omgeving (ook hier krijgen users toch gewoon login scipts) kan je heel makkelijk de users die niet mogen internetten een "bogus" waarde in het register laten krijgen welke betrekking heeft op een proxyserver, ze kunnen IE nu wel gewoon opstarten maar surfen (en andere dingen) gaat niet werken omdat IE opzoek gaat naar een niet bestaande proxy server en dan vanzelf een timeout of error hierop geeft (en inderdaad je hebt hier geen proxyserver bij nodig).

Voor de users die wel mogen internetten veranderd er verder niets.

nu ben ik voor het gemak van 2 dingen uitgegaan:
1: dat je binnen een TS sessie wel register waarde kan laden die user specifiek zijn
2: dat je op een goede manier hebt ingesteld dat gebruikers niet zelf van alles en nogwat kunnen installeren om toch op internet te komen (dus dat ze geen rare systeem vreemde browsers/internet apps gaan installeren).

Slash Care
Mementô

zondag 12 januari 2003 01:16

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Wat deff zegt is zeker ook een optie en wordt vrij veel gebruikt.

Enigste nadeel hiervan is dat aangezien je dit in een logisn script regelt, het betekent dat die registry key ook schrijfbaar is voor de normale user. Een "Disableproxy.reg" die ze kunnen importen is dan al voldoende om deze beveiliging te omzeilen, theoretisch.

maandag 13 januari 2003 20:07

Acties:
  • THIJZEL
  • Registratie: Januari 2001
  • Niet online

THIJZEL

elevator schreef op 12 januari 2003 @ 01:16:
Wat deff zegt is zeker ook een optie en wordt vrij veel gebruikt.

Enigste nadeel hiervan is dat aangezien je dit in een logisn script regelt, het betekent dat die registry key ook schrijfbaar is voor de normale user. Een "Disableproxy.reg" die ze kunnen importen is dan al voldoende om deze beveiliging te omzeilen, theoretisch.
nee op 2000 zijn als het goed is de policy's niet terug te draaien

maandag 13 januari 2003 20:15

Acties:

Verwijderd

een beetje firewall (of zoals koffie zegt "Ekl zichzelf repsecterende" firewall", kun je ook koppelen aan een RADIUS server, welke op username bepaalde personen kunt blokken.

Ik gebruik zelf ook surfcontrol, en bij mij laat ie WEL de correcte username's zien (ook van citrix sessies), heb je toevallig bij alle clients bij network credencials beheerder als username ingevuld?

maandag 13 januari 2003 23:48

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

THIJZEL schreef op 13 January 2003 @ 20:07:
nee op 2000 zijn als het goed is de policy's niet terug te draaien
het gaat hier niet om een policy, maar om een registry entry die via een loginscript wordt aangepast.

code:
1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer


Om precies te zien. Als je deze wijzigt, en je IE afsluit / opstart, neemt die wijziging direct plaats.

zaterdag 25 januari 2003 15:57

Acties:
  • mister iks
  • Registratie: September 2001
  • Laatst online: 03-04 16:21

mister iks

ExcaliburDexter schreef op 09 januari 2003 @ 11:24:
Hier werkt het perfect, er is maar een manier om er omheen te komen icm win2000 + MetaframeXP, maar die lijkt me wat te ingewikkeld voor hun :D .
Op welke manier kan je er dan omheen en welke versie van PowerFuse gebruiken jullie, ik ben hier zeer benieuwd naar.
Pagina: 1
Reageer