Hallo Leute,

wir haben hier in der Firma ein Konstrukt aus einem Internet-Filter als Proxy, einer Windows-2003-Domäne und als Firewall einen ISA.
Nun ist es so, dass die Azubis hier im Hause den Proxy über eine VPN übergangen haben. Dies habe ich mittlerweile unterbunden mithilfe einer Gruppenrichtlinie.

Nun haben sie aber einen neuen Weg gefunden, den Proxy zu umgehen: Mittels eines SSH Tunnels und einem portablen Firefox.

Nun sollte ich das als Admin irgendwie unterbinden, bevor ich von meinem Chef einen auf den Deckel bekomme, weil er wieder einen Azubi erwischt hat.
Ich habe es schon per ISA-Richtlinie versucht, leider ohne Erfolg.

Wisst Ihr einen Rat hierzu?
Thx!

Solange HTTPS nach außen erlaubt ist, wirst du da nicht viel machen können. Vielleicht kannst du das Tool (ich vermute mal: putty) irgendwie sperren? Evtl. manuell dem Virenscanner hinzufügen? Ansonsten würde ich den Azubis mal ins Gedächtnis rufen, dass man für sowas auch gekündigt werden kann.

Ist bei euch denn die private Internetnutzung erlaubt? Es wird sehr schwer für dich als Admin da jede Möglichkeit abzuklopfen. Ohne SPI sehe ich keine Möglichkeit es vollkommen zu verhindern.

Solange HTTPS nach außen erlaubt ist, wirst du da nicht viel machen können. Vielleicht kannst du das Tool (ich vermute mal: putty) irgendwie sperren? Evtl. manuell dem Virenscanner hinzufügen? Ansonsten würde ich den Azubis mal ins Gedächtnis rufen, dass man für sowas auch gekündigt werden kann.
Ja, es geht um Putty. Das Problem dabei ist, es sollten nur die azubi Rechner hierbei "eingesperrt" werden, da wir das Zeug auch noch produktiv brauchen ;)
Beim Virenscanner muss ich deshalb auch leider passen, der, den wir haben, is crap.

/e: Eigentlich bin ich ja der letzte, der alles sperren muss. Aber in letzter Zeit geht es halt zu weit und ich hab kB dafür dann meinen Kopf hinzuhalten.

Wenn ihr eine globale Sicherheitssoftware wie Lumension oder Forefront einsetzt, könntest du auf den PCs mit einer Whitelist arbeiten. Oder wenn es eure Switche hergeben, SSH auf den Ports der PCs sperren. Den PCs über die MAC eine feste IP im DHCP zuweisen und die dann für SSH blocken ginge auch. Kommt halt sehr darauf an, was du zur Verfügung hast und welche Rechte die User auf den lokalen Maschinen haben.

Das Einfachste wäre eine Betriebsvereinbarung und dann einem eine Abmahnung um die Ohren hauen, das wirkt normalerweise.

Das Einfachste wäre eine Betriebsvereinbarung und dann einem eine Abmahnung um die Ohren hauen, das wirkt normalerweise.


Jup, denn auch ich gehe mal davon aus, daß jeder Azubi eine eigene Nutzerkennung/Identität und PW hat? Diese Armleuchter würd ich auch sofort zu einem Gespräch beim Rektor einladen und sie darauf hinweisen, daß sie gegen die Nutzungsbestimmungen verstoßen und bei Verstoß gegen diese mit entsprechenden Konsequenzen zu rechnen haben, und notfalls ein abschreckendes Präsedenzfall schaffen.

Ja, es geht um Putty. Das Problem dabei ist, es sollten nur die azubi Rechner hierbei "eingesperrt" werden, da wir das Zeug auch noch produktiv brauchen ;)
Beim Virenscanner muss ich deshalb auch leider passen, der, den wir haben, is crap.mmm...

Wenn ich mich richtig erinnere, kann man per GPO bestimmte Dateinamen sperren lassen, so dass sie nicht mehr ausgeführt werden.
Allerdings braucht man dann die Putty.exe nur umbenennen und es geht wieder ;( ...

Ebenso ist es möglich einen Desktop stark einzuschränken, aber wie gut sich jemand bei euch in der Firma mit so was auskennt ...

Weißt du ansonsten, was das Ziel des Tunnels ist? Die IP auf jeden Fall schon mal sperren und schauen, ob sie eine andere IP als Ziel nehmen.

mmm...

Wenn ich mich richtig erinnere, kann man per GPO bestimmte Dateinamen sperren lassen, so dass sie nicht mehr ausgeführt werden.
Allerdings braucht man dann die Putty.exe nur umbenennen und es geht wieder ;( ...Man kann auch die Ordner beschränken und dann gibt es dort halt keinen Schreibzugriff. Habe ich bei meinen Eltern so gelöst. Die können nur etwas in C:\Programme und C:\Windows ausführen, dürfen dort aber nichts schreiben.
Da kann man auch auf die virenseuchte exe im Mailanhang klicken.
Wobei es aber auch nicht angehen kann, dass die Azubis einfach versuchen, die Anweisungen zu umgehen.

Geht das auch über GPOs? NTFS will ich nicht...

Geht das auch über GPOs? NTFS will ich nicht...
Mit FAT32 kannst du sämtliche Sicherheitskonzepte eh vergessen.

Es geht eher um externe USB-Sticks und HDDs, die ich per GPOs behandelt wissen will.

Es geht eher um externe USB-Sticks und HDDs, die ich per GPOs behandelt wissen will.
Per Whitelist würde auf unbekannten Laufwerken auch nichts ausgeführt.

Es geht eher um externe USB-Sticks und HDDs, die ich per GPOs behandelt wissen will.mmm...

http://www.google.de/search?q=gpo+usb

Erledigt. Geht schon...
Sicherheitsstufe/'Nicht erlaubt' (als Standard) + Pfadregel (Whitelist).

C:\Windows
C:\Program Files
C:\Users\{USER}\Desktop
C:\ProgramData\Microsoft\Windows\Start Menu
C:\Users\{USER}\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\{USER}\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned