Hallo Zusammen, Haben verschiedenste Windows Versionen in einem AD gemischt. Die User können sich auf jedem PC anmelden und über den DHCP wird der Gateways usw. eingetragen. Ein Proxy filtert nach Content und User. Leider kann der Proxy nicht nach Maschinen über den AD filtern :-( Nun möchten wir gewährleisten, dass kein Windows 7 Rechner mehr ins Internet ABER ins Netzwerk schon kann. Aufgrund unserer Geschäftleitung darf jeder User die Proxyeinstellungen ändern. Da bereits jeder in unserem Unternehmen die Einstellungen kennt, wird er immer wieder selbst eingetragen. Wollte über die Hosts die IP des Proxys blockieren. Über die Hosts kann ich leider die IP des Proxys nicht zurechtbiegen :-( Programme könnte ich als Admin installieren. Diese sollten aber nicht "Kindersicherheit 2021" o.ä. heissen. Hat da jemand eine Lösung?
Nimm den Windows 7-Maschinen ihr Default Gateway in den Netzwerkeinstellungen weg. Dann können die aus dem lokalen Netz nicht mehr raus. Bei Verwendung von DHCP entweder feste IP-Adressen und Default-GW 0.0.0.0 anhand der MAC vergeben. fchk
Idee dahinter ist, dass Windows-7 wegen End-of-Life besser nicht mehr in's Internet sollte? Kannst du am DHCP ansetzen, und Windows 7 - Rechner alle in eine eigene IP-Range packen? Microsoft schickt beim DHCP-Request meines Wissens eine Versionsnummer im "Vendor Class Identifier" mit, #60/0x3C, damit konnte man Früher™ Windows98 von XP unterscheiden. Aber ob das heute noch reicht um Win7 von Win10 zu unterscheiden musst du selber rausfinden. Wenn nicht, kannst du evlt. per Group Policy o.Ä. den Windows-7-Kisten einen "Client unique identifier" für den DHCP-Request verpassen? Ansonsten: Bricht dein Proxy TLS auf und könnte nach "User-Agent" filtern? fchk schrieb: > Nimm den Windows 7-Maschinen ihr Default Gateway in den > Netzwerkeinstellungen weg. Dann können die aus dem lokalen Netz nicht > mehr raus. Das wird nicht reichen, die kommen ja jetzt schon ohne Default-Gateway auf den Proxy-Server im Lokalen Netz, und der lässt die ins Internet.
:
Bearbeitet durch User
Uernakii92 schrieb: > Leider kann der Proxy nicht > nach Maschinen über den AD filtern :-( "AD" sagt mir nichts. "Ab/Download"? Heisst das, alle proxy- oder routingsseitigen Massnahmen sind ausgeschlossen? Können die Nutzer Firewall, Netzwerkeinstellungen und LMhost verstellen? Dann wird es eng. Ansonsten: - Alle Dienste in der Firewall außerhalb des netzinternen IP-Bereichs aussperren - LMHosts anpassen
Uernakii92 schrieb: > Wollte über die Hosts die IP des Proxys blockieren. > Über die Hosts kann ich leider die IP des Proxys nicht zurechtbiegen :-( Probier mal eine Firewall-Regel ausgehend zum Proxy einzurichten.
Ich würde die Win7-Maschinen in ein eigenes Netz packen. Eventuell kannst du auch die Windows-Firewall nutzen.
Uernakii92 schrieb: > Leider kann der Proxy nicht nach Maschinen über den AD filtern :-( Es gibt natürlich Proxies/Firewalls, die den am PC aktiven User mitkriegen und darüber filtern können. Und auch der freie Squid kann Authentifizierung via AD: https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#Authentication
:
Bearbeitet durch User
(prx) A. K. schrieb: > Es gibt natürlich Proxies/Firewalls, die den am PC aktiven User > mitkriegen und darüber filtern können. Es geht ihm aber um die Maschine (OS), nicht um den User.
Habe ich gesehen. Aber vielleicht deckt sich das.
Ein ordentlicher Proxy(*) kann auch auf den User Agent filtern. Und in dem steht normalerweise die Version des Betriebssystems drin. *) Z.B. die von Bluecoat
Eigenes Netz ist leider nicht. Thema Firewall (War mein erster Gedanke): Proxy ist auf dem System auf 192.168.1.80:8080 gesetzt. Die Firewall Regeln ausgehend auf den Gateway (.80) gesetzt.(Block) Den 192.168.1.80 kann ich dann nicht mehr anpingen. Sehr gut. Nun schalte ich den Proxy auf dem System entweder aus, oder auf Auto -> Der dumme Browser browsed wieder. Tracert liefert den 192.168.1.80 und im Proxy sehe ich die Aktivität vom PC. :-/
Dafür braucht man weder ein eigenes Netz - noch muss man die gatewayadresse verbiegen oder Firewall Spielereien durchführen Im AD gibt es dafür gruppenrichtlinien - und genau für solche Fälle sind sie da … z.B. ob an einer bestimmten Maschine jemand die Proxy oder Netzwerkeinstellungen ändern darf - oder eben nicht!
Gib ein paar 100 Euro aus, oder nimm eine alte Kiste und setze da eine Proxy als Gatway auf. Dann kann der User nur das machen was du willst. Habe ich damals mit WINGATE gemacht. K.a. obs die Firma/Software noch gibt. Hatten sogar ein Kaspersky-Plugin. Was sehr effektiv war. Jedenfalls war mein Firmen-Netz sauber. https://de.wikipedia.org/wiki/WinGate <- DIE DA. Firma gibts noch. Habe gegooglet. Ist in meinen Augen die perfekte Lösung.
Uernakii92 schrieb: > Die Firewall Regeln ausgehend auf den Gateway (.80) gesetzt.(Block) Ich hätte den Block für alle Dienste (meinetwegen auch Ports) außerhalb der IP-Range des internen Netzes gesetzt.
:
Bearbeitet durch User
Schlaumaier schrieb: > Gib ein paar 100 Euro aus, oder nimm eine alte Kiste und setze da > eine Proxy als Gatway auf. Dann kann der User nur das machen was du > willst. > Habe ich damals mit WINGATE gemacht. K.a. obs die Firma/Software noch > gibt. Hatten sogar ein Kaspersky-Plugin. Was sehr effektiv war. > Jedenfalls war mein Firmen-Netz sauber. > https://de.wikipedia.org/wiki/WinGate <- DIE DA. Firma gibts noch. Habe > gegooglet. > Ist in meinen Augen die perfekte Lösung. Wir setzen auch Wingate ein. WIE geht das?
Schlaumaier schrieb: > Uernakii92 schrieb: >> Wir setzen auch Wingate ein. WIE geht das? > > Wie geht was. ??? Die Windows 7 Rechner ausschliessen. Über Benutzer geht es nicht, da die User auf Windows 10 PCs ja das Internet nutzen dürfen. Filterreglen mit eingefügten Win7 AD PCs greifen nicht.
Gibt es eigentlich einen Grund, warum die Win7-Büchsen unter Win7 laufen? Ein Update auf Win10 ist nicht sooo schwierig.
Frank M. schrieb: > Gibt es eigentlich einen Grund, warum die Win7-Büchsen unter Win7 > laufen? Falsche Frage ;) Oliver
Uernakii92 schrieb: > Die Windows 7 Rechner ausschliessen. > Über Benutzer geht es nicht, da die User auf Windows 10 PCs ja das > Internet nutzen dürfen. > Filterreglen mit eingefügten Win7 AD PCs greifen nicht. Wir haben das Wingate (Zugang) damals über die IP geregelt. JEDER Rechner hatte eine feste IP die dann in der User-verwaltung bei Wingate einen User zugewiesen wurde. Ich habe also entweder die IP o. den User gesperrt bzw. einen Regelwerk unterworfen. Das ist zwar schon locker 16-20 her, aber das geht heute noch genau so, so wie ich mir die Bilder angesehen habe. Ich muss aber dazu sagen, das der Wingate-Rechner 2 Netzwerkkarten hatte. Eine mit fester IP und eine mit einer IP vom Router. Für Gäste hatte ich noch einen W-Lan-Access-Point der dann auch via Wingate geroutet wurde. Wenn Gäste kamen einfach Stecker rein, ansonsten habe ich den Raus gezogen. Die konnten zwar via Wlan in I-Net aber NICHT ins direkte Firmennetz. Ich hatte damals 4.o.5 Regelgruppen erstellt. Und den Users einfach eine der Regelgruppen zugewiesen. Fertig war das spiel. An den Rechner mussten die halt überall Proxy eingeben = IP-des Wingate-Router. Unterstüzte eine Software kein Proxy hatten die halt Pech gehabt. Dazu ein paar Regeln auf den PC das die User keine Gruppenrichtlinien editieren konnten, und dort die Einstellung der Netzwerkverbindung abgeschaltet. So einfach war das. Man muss halt vorher ein Konzept machen. Und SEHR wichtig, aber heute unmodern, einen NETZWERKPLAN. Ich hatte ein Plan, wo jeder Rechner drauf stand, über welchen Switch er lief und welche IP er hatte, und mit Bleistift wer da saß. Z.b. Unser Kopierer konnte E-Mails verschicken. Der E-Mail-Zugang nach draußen war für ihn gesperrt. Also mussten die Mitarbeiter die E-Mail sich über xxx@firma.intern selbst zuschicken. Und lange vor der Rechtsgrundlage konnte ich JEDE Email die rein o. raus kam nachvollziehen und speichern.
Nachtrag: Falls du ein DNS-Server in der Firma hast, blockiere einfach ein Bereich den der DNS-Server nicht zuweisen darf. Verpasse den Win-7 Rechner ne feste IP und sag Wingate das er diese IP's nicht routen darf nach außen. Da die Win-7-Rechner immer weniger werden, sollte das nicht wirklich ein Problem sein. Gruppenrichtlinien gegen Manipulation. Ich habe das zwar gemacht, aber jeder Manipulationsversuch an den Rechnern / Servern und der Mitarbeiter hatte die fristlose Kündigung bzw. eine Abmahnung die es in sich hatte. Haben die Unterschrieben. Und es gab nicht ein Fall wo das einer wirklich gewagt hat. Allerdings muss ich zugeben ich musste nur 20 Mitarbeiter inkl. Chef + ca. 30 Geräte mit IP kontrollieren.
Uernakii92 schrieb: > Hat da jemand eine Lösung? Die einfachste Variante ist ein Router, der auf MAC filtern kann. Ich würde aber Windows 7 und Windows 10 durch VLANs trennen. Damit können sie sich auch gegenseitig nicht mehr erreichen. Sollen sie das schon noch können, ist damit eine Filterung auf bestimmte Ports möglich. Die müssen ja nicht alles miteinander besprechen können. Das bedeutet natürlich, dass die Geräte nicht einfach umgesteckt werden können. Bei WLAN sind zwei SSIDs sinnvoll. Wer es ganz toll machen will, setzt ein NAC (Netzwerkzugriffsschutz) ein. Die Rechner werden dann automatisch in das korrekte VLAN einsortiert, egal wo sich sich ins Netz hängen.
Man kann Netze auch auf Layer 2 trennen. Dann liegen beispielsweise alle Geräte in einem einzigen IP-Netz (Layer 3), können aber nur über ein Regelwerk gesteuert miteinander kommunizieren. Stichwort hierzu ist eine Layer 2 Firewall zwischen VLANs. Die filtern nicht auf MAC, sondern genau wie im L3 auf IP/Port. Aber eben nicht als Router arbeitend, sondern als Switch/Bridge.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Stichwort hierzu ist eine Layer 2 Firewall zwischen VLANs. Gibt es nicht auch Netzwerkkarten die Vlan können? Dann ist da sauf den PC beschränkt und nicht auf die Netzwerkdose. Man kann die überall reinstöpseln und braucht nur einen Switch mit VLAN.
Hallo, habt ihr eine Firewall vor eurem DSL/Standleitung? Dann wäre das der ideale Punkt für eine saubere Konfiguration. Filter für MAC setzen - und alles ist erledigt. Unbekannte MACs dürfen sowiso nichts und nirgends hin... Kannst auch über Active Directory environment eine Group Policy erstellen. Dort kannst du Routen eintragen, macht aber wenig spass. Da diese GOP von der Domäne kommt und die lokale überschreibt, also durchgedrückt wird, kann der normale Domänenbenutzer an seinem Win 7 PC nichts daran ändern. Die meisten User haben aber mehr Rechte und Berechtigungen als notwendig, von daher siehe oben - Fitewall Liebe Grüße
Da das nur ein Netz ist setz die Win7 Maschinen in eine eigene OU im AD und konfigurier via GPO dass die Nutzer keine Netzwerkeinstellungen machen können (das kann man auch so machen dass lokale Admins es nicht mehr können) und dass die keinen upstream Router haben. Bzw die GW Adresse auf etwas setzen was kein routing macht. Danach ggf. Noch ein BIOS Passwort setzen, booten nur von der Windows Partition und ggf auch alles an USB ausser Eingabegeräte verbieten.
Beitrag #6791733 wurde vom Autor gelöscht.
F: Wie am einfachsten Internet unter Windows 7 sperren? A: per router/fritzbox natürlich. alles andere ist pfusch. denn JEDE app/update/virus/etc (ggf admin) könnte alle software-settings zurücksetzen, und damit wieder den www-access aktivieren. zusätzlich kann man wunderbar granular whitelists per fritbox nutzen. falls mal explitzit www-server zugreifbar sein sollen. mache ich seit jahren für alle LAN-ONLY geräte. egal ob lan-video-server, iot-gerät, smarttv etc etc etc. und bevor wieder gelaber kommt: die fritzbox macht natürlich den timeserver im lan. ergo auch für alle www-blockierten geräte. denn esp, raspi/linux, win-lan-only-server,etc mögen natürlich nen korrekten NTP-sync beim boot etc. der ROUTER erlaubt den www-zugriff. also ist das der einzig sinnvolle knoten um es zu sperren.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.