Hallo zusammen

Zu Testzwecken habe ich einen Benutzer mit eingeschränkten Rechte angelegt. Mir geht es vor allem darum, einzelne Programme zu sperren. Man darf mit einem Arbeitskonto, mit welchem wir täglich arbeiten, nicht ins Internet gelangen. Es gibt schlussendlich in der Abteilung einen Arbeitsplatz, welcher für den E-Mail-Verkehr einen dauernden Internetzugang hat. Mit dem Administratorkonto soll eine Internetanbindung möglich sein. Ich möchte nicht mit mehreren Netzwekkonfigurationen arbeiten. Falls ich als Admin die Systems updaten will, soll das möglichst einfach und schnell gehen.

Ich kriege es hin, dass die Programme beim direkten Starten anzeigen, dass ich keine Zugriffsrechte habe. Sobald ich ein Adobe-Programm öffne und in der Menüleiste zuoberst reinklicke, öffnet sich Safari und baut eine Verbindung zum Downloadbreich der Adobe-Homepage auf. Ist Safari so mal gestartet, lässt sich damit im gesamten Internet surfen.

Wie kann ich das unterbinden?

Gruss
Markus

Ich kann dir nicht sagen, wie man das im Einzelnen anstellt, aber das scheint mir etwas zu sein, was man mit einem Proxy-Server lösen könnte (dort werden einfach die erlaubten Sites eingetragen, die Übrigen gesperrt).

Kann ich das lokal einrichten oder ist das beim Provider und gilt das dann für alle Benutzer? Aus anderen Abteilungen greifen auch noch Leute aufs Internet zu

Gruss
Markus

Das kann man lokal einrichten, wenn man einen Server im Einsatz hat, auf dem man diese Software einrichten kann (OSX Server zum Beispiel) und eine Firewall braucht man dazu auch noch: entweder konfiguriert man die Firewall im Internet-Router (falls vorhanden) oder die Software-Firewall des OSX-Servers.

Erstmal danke für die Antwort. Scheint mir im Moment alles noch ein bisschen kompliziert. Also einen Internet-Router steht irgendwo. Ob dieser aber eine Firewall hat, weiss ich nicht genau (wurde vor meiner Zeit installiert). Einen Server besitzen wir, leider läuft der nicht unter OSX. Ist eine Windose (Windows 2000 Server).

Auf den Arbeitsplätzen selbst kann ich das nicht einrichten?

Gruss
Markus

Hallo,

> Scheint mir im Moment alles noch ein bisschen kompliziert.

Du hast keine Wahl. Entweder Du willst irgendwas "schützen", dann wirst Du um Ahnung oder die Zahlung eines entsprechen Obulus an einen Dienstleister (der dann die Ahnung mitbringt) nicht drumherum kommen...

> Also einen Internet-Router steht irgendwo. Ob dieser aber eine Firewall hat, weiss ich nicht genau (wurde vor meiner Zeit installiert).

Wieso denkst Du bei der Ausgangsbasis weiter darüber nach, "irgendwas" absichern zu wollen. Wenn nicht mal die essentiellen Grundlagen passen also noch nicht mal bekannt ist, auf welcher technischen Basis der Internetzugang funktioniert.

> Einen Server besitzen wir, leider läuft der nicht unter OSX. Ist
> eine Windose (Windows 2000 Server).

Da kannst Du bspw. den Sambar Proxy Server (mit "r", d.h. nicht "Samba") drauf installieren, der diese ganzen Zugriffsbeschränkungen sinnig, d.h. auf Netzwerk-Ebene, realisieren kann:

     http://www.sambar.com/syshelp/proxy.htm

Der Web-Proxy dürfte immer noch Bestandteil der freien normalen Version sein (wobei die Pro-Version auch vergleichsweise günstig, in jedem Fall aber preiswert ist)

> Auf den Arbeitsplätzen selbst kann ich das nicht einrichten?

Einrichten kann man viel. Ob das allerdings sinnig bzw. nicht wiederum simpelst umgehbar ist, steht auf einem anderen Blatt.

Fakt ist, daß mit ausschließlich MacOS X Arbeitsplätzen und Verzicht auf "Admin"-Berechtigung für die die Rechner bedienenden Kollegen, grundsätzlich jede Art von Reglementierung möglich ist. Allerdings nicht ausschließlich mit Klicki-Bunti-Werkzeugen bzw. Spielchen wie dem "Verstecken" eines Browsers.

Weitaus sinniger ist so eine Reglementierung allerdings als Teil eines firmenweiten Sicherheitskonzepts, das auf Netzwerk-Ebene "dicht" macht bzw. feiner granulierte Berechtigungen erzwingt.

Das alles muß (abgesehen von der nötigen Ahnung hinsichtlich Umsetzung) nicht mal teuer sein. OpenSource-Komponenten respektive Freewares, die das Ganze leisten, gibt es in qualitativ völlig ausreichenden Fassungen im Netz.

Gruss,

Thomas

Hallo aus der schweiz

Also das sperren einer internetverbindung resp eines programmes kann man folgendermassen einrichten

Man meldet sich an als der user an, der das betreffende programm nicht starten darf.
Man klickt auf das entsprechnede browser ikon. Unter Ablage > information >eigentümer> zugriffsrechte kann man die zugriffsrechte vergeben
"Keine rechte" auswählen für den entsprechneden benutzer. Achtung am ende die einstellungen wieder auf den ursprünglichen wert System stellen.
Dies gilt allerdings dann für alle standart benutzer. Der administrator ist davon natürlich nicht betroffen.

Dieses verfahren muss für alle browser programme angewendet werden, um sicher zu gehen.
Wenn die rechte repariert werden, dann wird diese sperre allerdings wieder zurückgestellt. Leider.


Versuchs mal.Vielleicht ist das deine lösung.

Gruss
felsen sepp

Hallo,

> das sperren einer internetverbindung resp eines programmes kann
> man folgendermassen einrichten

Nein, genau das, was Du beschreibst, hat exakt nichts mit "Sperren einer Internetverbindung" zu tun, sondern mit ohnmächtigem "Verstecken" von Werkzeugen.

Damit das funktioniert, muß man auch noch alle Wechseldatenträger verbieten und sollte auch nicht vergessen, daß in MacOS X (zum Glück!) in Form des WebKit-Frameworks die passende Funktionalität zum Zugriff auf's Web bereits eingebaut ist.

Moderne MacOS X Anwendungen können simpelst das WebKit-Framework benutzen und stellen dann so gesehen ihrerseits wiederum *vollwertige* (mit Safari vergleichbar) Browser dar.

Ach ja: Und selbst wenn man tatsächlich die CD-/ZIP-/MOD-Laufwerke verplombt und alle vermeintlich internetfähigen Anwendungen *zeitaufwändig* manuell auf jedem Mac kastriert hat, so reicht dann doch sowas Simples wie

     curl http://ftp.mozilla.org/...es/Camino-0.8.dmg.gz | gunzip -c >~/camino.dmg && open ~/camino.dmg

und schon ist wieder ein neuer Browser auf dem System (in Terminal.app eingeben oder via "do shell script" im Skripteditor oder...)

"Security by Obscurity" funktioniert *nie* und schon gar nicht in so einer abstrusen Situation, wo man anstatt den Stöpsel ins Netzwerkkabel zu stecken (also effektiv da dichtzumachen, wo man's auch wirklich will) alle möglichen Client-Anwendungen zu eliminieren versucht.

BTW: Sowas wie ein Intranet (höchstgradig produktivitätsfördernd, wenn man's richtig anpackt) kann man natürlich auch haken, wenn Browser als Teufelszeug verdammt werden...

Gruss,

Thomas