[Trader-Joe]

Hallo!

Ich stehe vor folgendem Problem und habe bisher keine Lösung gefunden:

Bei uns im Unternehmen stehen ca. 26 PC's. Davon soll ein Teil der Rechner nicht mehr ins Internet dürfen - der andere Teil schon. Das Problem ist jedoch, dass alle Rechner weiterhin ins Netzwerk müssen um Daten für die Produktion laden zu können.

Wie kann ich das lösen?

Der Server ist ein alter Dell mit Windows 2000 Server. Die "Clients" bzw. die Produktionsrechner laufen auf XP (zum Teil XP-Pro).

Auf den Produktionsrechnern möchte ich dafür keine Firewall installieren. Diese kann ja vom Nutzer umgangen werden.

Für Lösungen im Vorfeld ein großes DANKE. Bei Rückfragen einfach hier posten.

Gruß
Trader-Joe

[urmel88]

Hallo Trader-Joe,

für solche eine Aufgabe sollte (muss) in einer Firma immer ein ISA Server auf einem Proxy aufgesetzt werden. Das bringt einfache Konfiguration, Modularität und Sicherheit mit sich.

MfG Urmel

[Trader-Joe]

Irgendwie habe ich befürchtet, dass ich ohne große "Umbauten" keine Chance habe...

[urmel88]

Hallo Trader-Joe,

Das ist doch kein großer Umbau einen Rechner mit 2 Netzwerkkarten und einem ISA Server. Das ganze zwischen Gateway und internem Netz und alles ist toll! Also Umbau ist nun wirklich anders!

MfG Urmel

[sammler2k]

einfachste lösung ohne umbau - entfern einfach bei denen wo kein internet mehr da sein soll den Gateway..doof ist hier nur wer sich halbwegs auskennt packt den wieder rein. (vorraussetzung natürlich das die IPs manuell vergeben sind)

ne einfach kleine Linux-maschiene tuts hier auch warum nen ISA Server wo die Software mehr Kostet als nen alter gebrauchter Rechner mit 2 Netzwerkkarten. Hier installierst du einfach nen Proxy und schon is dein Problem mit Opensource erledigt

Und sicher ist es auch noch

[tox1c60]

Hallo,

auf dem Server eine Firewall installieren, die es erlaubt, für einzelne IPs externen Traffic zu unterbinden.. Google.. Dazu auf den Nutzerrechnern Accounts erstellen, die es nicht gestatten, die Netzwerkeinstellungen zu ändern.

Alternativ wäre natürlich auch ein Proxy-Server ganz sinnvoll, da könnte man z.B. auch einzelne Seiten Blocken (Youtube, ebay..).. - Ist dann nur doof, wenn andere Anwendungen als der Browser ins Internet will.

[urmel88]

@ tox1c60

Das ist völlig egal wenn andere Programme ins Netz wollen, da diese Programme zu 90% nicht über Port 80 raus wollen! Also von Dehmer gibt es dabei ein bisschen Administrationsarbeit keinerlei Probleme.

@ sammler2k

Wer soll den Linux administrieren? Eine Sicherheitsfunktion zu bedienen, von welcher ich nicht alle Hintergründe verstehe. Da kann ich auch einen Blinden in ein Atomkraftwerk setzen. Außerdem sicher? Es gibt für Linux, vor allem für diese Aufgabenbereich, genug Backdoor Software, also daran mach ich hier jetzt mal gar nichts fest. Punktuell ist nichts sicher in der Informatik.


MfG Urmel

[Melvin van Horne]

Moin,

die "Gateway Lösung" von sammler2k ist der einfache und schnelle Schritt. Und wenn die Benutzer nicht als lokale Admins unterwegs sind können sie es auch nicht so leicht ändern. Und wenn doch kann man Hardwareseitig den Mitarbeiter auswechseln. Eine Abmahnung oder schlimmeres hat als Teil des Sicherheitskonzeptes manchmal mehr Wirkung als eine Firewall ...
Zu beachten ist dann das eine Virenschutzsoftware noch in der Lage ist Updates zu ziehen. Da wäre dann ggf. eine serverbasierte Geschichte (also Updates intern verteilen) das richtige.
Die Vergabe von festen IP´s ist dann sicher das kleinere Problem.

[urmel88]

Gib mir mal bitte einer einen Tipp, was das für eine Gatewaylösung mit was für einem Gerät werden soll? Nur damit ich es auch verstehe.

MfG Urmel

[Melvin van Horne]

Moin,

bei den IP Einstellungen gib es drei wesentliche Einträge.

Die IP Adresse -> Die Adresse des Rechners. Im Internen Netz ist das häufig 192.168.x.x

der DNS Server -> auf dieser Adresse werden Namen in IP Adressen umgewandelt damit das Paket seinen Weg durch das Internet findet. Z.B. mygully.com wird 212.117.183.66

Das Gateway ist praktisch die Brücke zwischen dem internen Netz und dem Internet. Wenn also ein Paket mit der Zieladresse 212.117.183.66 am Gateway (zuhause ist das zum Beispiel meist der Router) ankommt, erkennt das Gateway das es sich bei 212.117.183.66 nicht um eine interne Netzwerkadresse (z.B. 192.168.x.x) handelt und sendet (routet) das Paket ins Internet.

Wenn man bei den IP Einstellungen des Rechners kein Gatway eingetragen existiert für diesen Rechner keine Brücke zwischen internem Netz und Internet. Alles was mit IP Adressen 192.168.x.x abläuft funktioniert, alles was sich ausserhalb dieses Adressbereiches abspielt nicht. Also kann man durch einfaches entfernen des Gateway Eintrages den Rechner vom Internet abtrennen.
Aber das gilt dann für alles was "Internet" braucht. Onlineupdates, Virendefinitionen u.s.w. Und gerade bei den aktuellen Virendefinitionen ist das heikel. Denn das der Rechner das Internet nicht mehr erreichen kann heisst nicht das er von aussen nicht mehr erreichbar ist. Ein Virus der sich auf einen im gleichen Netzwerk befindlichen Rechner (mit Gateway Eintrag) eingenistet hat verbreitet sich dann über das interne Netz. Hierfür braucht es dann eine Virenlösung bei der die Updates auf einem PC aus dem Internet geholt werden und von da aus über das interne Netz verteilt werden.

Ein ist noch wichtig. Wenn man beim DNS einen externen DNS Server eingetragen hat (ja ich weiss ... Aber sowas gibts wirklich) muss dieser Eintrag natürlich geändert werden. Sonst kann es etwas merkwürdig werden ...

Das ist eine etwas grobe Erklärung. Aber ich denke mal zum grundlegenden Verstehen reichts hin. Wenn nicht, frag einfach nach.

[urmel88]

Und das siehst du allen Ernstes als einen ordentlichen Sicherheitsersatz in einer Firma an? Arbeitest du in der Brache? Das ist mit Sicherheit alles, außer eine ordentliche Sicherheitslösung. Davon mal ganz abgesehen, setzt du einen Domaincontroller voraus, welcher die Gruppen so händelt, dass sie keine Rechte an Windows Systemkonfigurationen besitzen. Oder willst du das alles händisch mit eingeschränkten Benutzerrechten machen?

MfG Urmel

[Melvin van Horne]

Moin,

Zitat:

Zitat von urmel88

Und das siehst du allen Ernstes als einen ordentlichen Sicherheitsersatz in einer Firma an?

Nein natürlich nicht. Es geht hier auch nicht primär um Sicherheit. Es geht darum, das man einigen Rechnern den Zugriff auf dass Internet verwehrt. Und DAFÜR ist diese Lösung in Ordnung. Wenn die anderen Bedingungen (Virenscanner u.a. )stimmen. Ein Ersatz für Firewall u.a. ist es nicht. Aber das war ja auch nicht gefragt. Abgesehen davon. Im Moment haben alle Rechner den Gateway Eintrag. Wie soll sich die Sicherheitslage (bei sonst gleichen Bedingungen) verschlechtern wenn man den Gateway Eintrag bei einigen Rechnern entfernt? Die Sache mit den Virenscanner- und den evtl nötigen Firewallupdates (interne Verteilung) bleibt natürlich.

Zitat:

Zitat von urmel88

Oder willst du das alles händisch mit eingeschränkten Benutzerrechten machen?

Wieso noch machen? In einem vernünftig eingerichteten Netzwerk HABEN die Benutzer keine lokalen Admin Rechte. Und wenn man das nicht über den DC abklären kann weil es z.B. keinen gibt dann macht man das eben bei der Installation der AP´s von Hand. Auch ein fauler nachlässiger Admin ist ein Risiko. Wer aus Benutzern lokale Admins macht weil er es dann bequemer hat wenn mal was zu installieren ist naja ...
Wo kämen wir denn da hin wenn jeder sich Software downloaden oder von Zuhause mitbringen und installieren kann oder die Systemeinstellungen ändert wie er will. Damit fängt der Ärger doch meistens an. Welcher Admin kennt nicht "Ich hab mir ein Tool aus dem Internet runtergeladen und aufgespielt um meinen Rechner aufzuräumen weil er so langsam war." "Ich wollte die IP Einstellungen ändern damit mein Internet so schnell ist wie zuhause"

Bei mir bekommen die Benutzer gerade eben so viel Rechte wie sie zur Erfüllung ihrer Aufgaben benötigen. Und wenn das z.B. bedeutet das ich USB Anschlüsse deaktiviere und Kartenslots abklemmen muss, dann mach ich das. Und es gibt nur zwei Leute die die Systemeinstellungen ändern können. Der Administrator und der liebe Gott. Und der auch nur unter Aufsicht des Admin! Ja ich weiss es gibt Tools mit denen man trotz eingeschränkter Rechte ... Dazu nur eines. Ich hab schon Abmahnungen mit Kündigungsdrohung gesehen wegen mitgebrachter Datenträger ...

Das grösste Sicherheitsrisiko ist immer noch der Benutzer. Am Spieltrieb, am Halbwissen und an Unachtsamkeit sind schon mehr Netzwerke eingegangen als man glauben mag.

[urmel88]

Ich sehe das schon als Sicherheitslösung, da die größte Bedrohung für eine Infrastruktur immer von innen kommt. Stimmt ich kann Leute über einfache Benutzerrechte alles entziehen, aber dabei ist zum einen so gut wie keine Selektion von Rechten möglich, zum anderen kann ich keine präzise, schnelle Änderung durchführen, sollten sich Auftragslage oder momentane Situation so ändern, dass ich andere Maßnahmen ergreifen muss. Administration sollte aus meiner Warte, nie dezentralisiert werden und das sehe nicht nur ich so, dass sehen auch ganze Stämme von Fachliteratur so. Von dem her ist ein händisches Anpassen von Benutzerrechten in Form von Clients ab einer Firmengröße von vielleicht 10 Rechnern nicht sinnvoll und auch zu träge in der Reaktionszeit. Außerdem ist es bekanntlich problemlos möglich, verschiedenste Betriebssysteme in kürzester Zeit auch ohne externe Daten, mit einem gewissen Grad an Administrationsrechten auszustatten, ein bisschen Recherche vorausgesetzt.

Allem in allem ist es für mich keine akzeptable Lösung 26 Clients, alle händisch zu verwalten. Schon vom Kosten- Nutzenaufwand her nicht. Wenn ich die Arbeitsstunden hochrechne, welche ich für Einzelplatzkonfiguration benötige, im Gegensatz zu einem Server Rollout, für welche Funktion auch immer, wird sich der Server immer amortisieren und das innerhalb kürzester Zeit.

MfG Urmel

[Melvin van Horne]

Moin,

Es ging hier nicht darum wie man eine Netzwerk plant und aufbaut. Es gibt auch Stämme von Fachliteratur über die Rumpfgestaltung von Segelbooten. Aber auch darum geht es hier nicht. Und es ging auch nicht um die Sicherheit des Netzwerkes bei Trader Joe. Da scheint mir auch einiges im argen zu sein. Zitat: "Auf den Produktionsrechnern möchte ich dafür keine Firewall installieren. Diese kann ja vom Nutzer umgangen werden." Das halte ich für bedenklich. Aber danach wurde ich nicht gefragt. Das muss Trader Joe alleine verantworten.

Die Rechner haben alle XP. Aber nur einige haben XP Pro. Also scheidet ein Domaincontroller schon mal aus. Und mit einem reinen "Dateiablageserver" wird die zentrale Verwaltung ja eher schwierig. Und damit sind wir schon beim Thema "händische Verwaltung".

Zum Thema Admin Rechte erlangen. Da hab ich einen eigenen Standpunkt. Ich sichere ein Netz gegen Eindringen von aussen, gegen Viren gegen Datenklau und gegen Schäden durch Fahrlässigkeit. Den Schutz gegen mutwillig erzeugte Schäden übernimmt die Personalabteilung. Ich lehne es ab mir einen Haufen Arbeit zu machen nur um ein Arbeitsmittel gegen Spielfritzen zu schützen. Ich hab einen gesehen der brachte sein Notebook mit auf Arbeit, stöpselte es ein und liess den Jdownloader über den Internetanschluss seines Arbeitgebers rödeln. Soll ich mir Arbeit machen und an der Firewall rumfummeln um solchen Blödsinn zu unterbinden? Und was noch alles? Das wurde schriftlich geklärt ...

Es geht mir nicht darum zu zeigen was man theoretisch machen müsste. Damit kann der fragende nichts anfangen es hilft ihm nicht.
Solche Begriffe wie "Server Rollout" "Kosten- Nutzenaufwand" sind ja alle richtig und klingen auch toll. Aber wenn entschieden wurde "wir lösen das Problem ohne weitere Anschaffungen" dann zersplittern sie an der Wirklichkeit.

Beispiel: Ich habe einen Kunden der brauchte seinerzeit für seine neue Software einen Terminalserver. Er hatte noch keinen Server nur fünf AP´s. Ich hab ihm gesagt "Du brauchst einen Server und einen Terminalserver" Microsoft rät ja dringend davon ab beides auf einem Gerät darzustellen.
Geld war aber nur für einen vernünftigen Server vorhanden. Ich hab damals in einem Forum gefragt ob es Erfahrungen gibt wie man soetwas am besten löst. Grundsätzlich war es mir klar aber vielleicht weiss ja einer einen guten Tip. Alle Antworten bis auf eine waren "kauf einen zweiten Server!" mit ellenlangen Begründungen. War für mich alles sehr richtig und sehr nutzlos.

Oder anders erklärt.
Zwei Männer fliegen in einem Heißluftballon. Es kommt Nebel auf, und sie können nichts mehr sehen. Nach einer Zeit lichtet sich der Nebel wieder, aber sie wissen nicht mehr, wo sie sind. Da sehen sie unter sich einen Mann, der im Garten arbeitet. Der eine ruft runter:" Wo sind wir hier?" Es kommt keine Antwort. Endlich, als sie schon fast außer Hörweite sind, ruft der Mann hoch: "Sie sind in einem Ballon." Daraufhin meint der eine Mann: "Das war bestimmt ein Mathematiker." Fragt der andere: "Wie kommst Du denn darauf?" Antwortet der erste: "Das ist doch ganz klar. Erstens hat es ewig gedauert, bis eine Antwort kam. Zweitens war die Antwort einfach total richtig. Da gab es überhaupt nichts dran auszusetzen, die war einfach nur richtig. Und drittens war sie zu überhaupt nichts zu gebrauchen..."

Oder kürzer: Ein Theoretiker ist ein Mensch der kennt 129 Positionen der Liebe. Und keine einzige Frau ...

P.S. ist wirklich nicht persönlich gemeint.

[haze303]

Ich an deiner Stellle, würde ein wirklich tolles Konzept ausarbeiten, welches eine Auffrischung der Software und Server beinhaltet, denn bei dieser Betriebsgröße, ist es wirklich sinnvoll, in eine Domänenumgebung zu wechseln.
Dieses Konzept würde ich der Geschäftsleitung argumentativ/unumstößlich präsentieren und es mit eisernem Willen erfolgreich verkaufen. (Positives Denken! )
Der Verwaltungsaufwand ist mit Sicherheit enorm in einer Workgroup dieser Größe.
Du hättest in einer Domänenumgebung weniger Verwaltungsaufwand, somit mehr Zeit für anderes und Eingliederungen von zukünftigen Neuerungen, sind in einer Domänenumgebung wesentlich einfacher.

Du merkst, dass es nun unheimlich schwer ist, eine machbare Lösung für dich zu finden, da der Step versäumt wurde, ab >5 Clients in eine Domänenumgebung zu wechseln.
Ich würde über die lokale Policy auf jeder Maschine, das Standardgateway von den Netzwerkkarten herunternehmen und den User mit eingeschränkten Rechten beglücken, um eine Veränderung der Einstellung zu vermeiden.
Schön ist die Lösung auf keinen Fall, doch alle Lösungen, welche für deine Situation machbar wären, sind suboptimal und Flickwerk.

Viele Grüße,
haze303

[urmel88]

Ich danke dir Haze. Endlich jemand der auch praktisch denkt und nicht so eine flickschusterei macht, welche alles andere als sinnvoll ist.

MfG Urmel

[Schmuu]

Kurz Anmerkung am Rande.

Ich würde dir einen Samba Server für deine Domäne raten und um den Zugriff von manchen Rechnern auf das Internet einzuschränken würde ich dir als Firewall-Lösung einen IPCop mit dem Add-on BlockOutTraffic empfehlen. Damit fahren wir hier im Moment ziemlich gut und es erfordert keine teure Hardware.

Schmuu

[Melvin van Horne]

Moin,

Zitat:

Zitat von haze303

Ich an deiner Stellle, würde ein wirklich tolles Konzept ausarbeiten, welches eine Auffrischung der Software und Server beinhaltet, denn bei dieser Betriebsgröße, ist es wirklich sinnvoll, in eine Domänenumgebung zu wechseln.
Dieses Konzept würde ich der Geschäftsleitung argumentativ/unumstößlich präsentieren und es mit eisernem Willen erfolgreich verkaufen. (Positives Denken! )

DAS wäre die optimale Lösung. Ich kenn ja den Betrieb nicht um den es da geht. Vieleicht ist es wirklich manchmal das beste zu sagen "das geht nicht". Ich mach solchen Quatsch seit 25 Jahren. Und die Erfahrung sagt mir das es immer wahnsinnig schwer ist jemanden dessen Computer noch irgendwie funktioniert davon zu überzeugen Geld für Neuanschaffungen auszugeben. Solange das noch irgendwie funktioniert und solange der Admin das am laufen hält (und sei es mit wahnsinnigem Aufwand und gewaltigen Bauchschmerzen) sehen viele Entscheider die Notwendigkeit oft nicht ein. Wieso neu? Das geht doch noch! Firmenwagen werden schon mal nur wegen ihres Alters getauscht. Hard- und Software eher selten.
Und so eine Anlage wie sie hier nötig wäre ist ja nicht gerade billig. Wenn das Geld nicht da ist neu anzuschaffen verpufft auch das Argument von den Einsparungen in der Zukunft. Manchmal ist dann der beste Weg die Unzulänglichkeiten der EDV Anlage offen sichtbar zu machen und eben Wünsche nach Veränderung abzulehnen. Mit dieser Anlage geht das nicht! Und das so lange bis der Leidensdruck gross genug ist.

Aber Vorsicht. Ich hab auch schon erlebt das dann der Admin durch die Bemerkung des Chefs "Wenn sie das nicht können, such ich mir einen der es kann" unter Druck geraten ist.

Und nur für den Fall das die beste Lösung nichts wird sind die zweit,dritt und viertbeste Lösung eben da. Ich hoffe das Du keine davon brauchst und wenn doch das dann das passende für Dich dabei war.

[Trader-Joe]

Zitat:

Zitat von melvin van horne

....
Und die erfahrung sagt mir das es immer wahnsinnig schwer ist jemanden dessen computer noch irgendwie funktioniert davon zu überzeugen geld für neuanschaffungen auszugeben. Solange das noch irgendwie funktioniert und solange der admin das am laufen hält (und sei es mit wahnsinnigem aufwand und gewaltigen bauchschmerzen) sehen viele entscheider die notwendigkeit oft nicht ein. Wieso neu? Das geht doch noch!
...

Genau das ist es. Geld ist im Unternehmen genug da. Das wird häufig für ganz andere Wahnwitzige "Projekte" verpulvert. Aber so lange alles läuft... Lief ja bisher auch immer. Wird auch schon weiter laufen. Wenns nicht läuft, wird es schon einer richten (ich). Das Problem ist, dass die Geschäftsführung (unser Boss) absolut keine Ahnung von der Materie hat und damit auch nichts zu tun haben will. Die EDV-Anlage ist nichts was er "anfassen" kann - kein Auto, kein Material für die Produktion, keine Maschine. Sowas kann nichts kosten und wird mal eben nebenbei gemacht (gewartet, administriert...).

Zitat:

Zitat von melvin van horne

...
Mit dieser anlage geht das nicht! Und das so lange bis der leidensdruck gross genug ist.
Aber vorsicht. Ich hab auch schon erlebt das dann der admin durch die bemerkung des chefs "wenn sie das nicht können, such ich mir einen der es kann" unter druck geraten ist.
...

Ein weiteres Problem. Ich habe den ganzen Kram vor 3 Jahren übernommen - in einem katastrophalen Zustand. Es sind noch immer viele Dinge unzureichend administriert. Das Problem ist, dass der Boss zu viele Dinge gleichzeitig in zu kurzer Zeit machen will (neuen Server außerhalb der Firma zum Datenbackup, Software soll programmiert werden um unser Lager zu verwalten (sehr spezielle Anforderungen), neue Website...).
Das man für eine Installation eines PC's ein paar Stunden braucht (OS-Install, Treiber, Software, Patches, Virenscanner, Firewall, Tests...) versteht er nicht. Das Office-Paket hat er sich in seinem Büro schließlich auch in rund 30 Minuten installiert...

Desweiteren hat Cheffe zu viele "Berater"die alles ganz toll können. Er kennt zig Leute von denen leider nur keiner was richtig kann. Vor meiner Zeit wurde alles mit heißer Nadel gestrickt. Nichts wurde vernünftig gemacht. Muß ja schnell gehen, darf nichts kosten, Produktion darf nicht für einen Tag stillstehen.
Die kommen ihm dann alle mit irgendwelchen Bastellösungen die nichts halbes und nichts ganzes sind. Chef glaubt den Mist und fragt sich wohl auch, warum ich das so nicht mache.

Als ich im Urlaub war, hat er einen von denen angerufen. Das Problem was herrschte war zwar behoben - daraus sind aber einige neue entstanden. Ich weiß schon gar nicht mehr um was es dabei genau ging. Glaube es war die Vergabe einer IP-Adresse. Der Dödel hat die IP einer unserer Maschinen an einem Client vergeben. Client lief, Maschine nicht mehr...

An meiner Frage habt ihr sicherlich erkannt, das ich jetzt auch kurz davor stehe, so anzufangen.

Ich denke, lange werde ich mir das auch nicht mehr antun - sollte öfter querschießen, evtl erledigt sich mein Problem irgendwann von alleine. Bin zwar froh Arbeit zu haben, aber so gehts auch nicht. Bin 27. Da ist der Zug ja noch nicht ganz abgefahren - er fängt aber an zu rollen...

Trotzdem DANKE für eure Tips.

[Melvin van Horne]

Moin,

Zitat:

Zitat von Trader-Joe

... Die EDV-Anlage ist nichts was er "anfassen" kann - kein Auto, kein Material für die Produktion, keine Maschine. Sowas kann nichts kosten und wird mal eben nebenbei gemacht (gewartet, administriert...).

Würden Rechner rosten hätte man es oft leichter. Eine vergammelten Kiste ist das Alter eben anzusehen. Aber leider sieht ein völlig veralteter PC/Server nach 7 Jahren oft immer noch aus wie am ersten Tag. Und sowas wechselt man nicht.

Zitat:

Zitat von Trader-Joe

An meiner Frage habt ihr sicherlich erkannt, das ich jetzt auch kurz davor stehe, so anzufangen.

Auch wenn das nicht so gut klingt. Du wirst es müssen. Wenn eine Anlage erstens nicht die notwendigen Voraussetzungen hat zweitens nicht von Grund auf vernünftig geplant und installiert wurde bleibt Dir keine andere Wahl.
In einem Satz. Entweder komplett neu machen, oder weiterflicken.

Zitat:

Zitat von Trader-Joe

Ich denke, lange werde ich mir das auch nicht mehr antun - sollte öfter querschießen, evtl erledigt sich mein Problem irgendwann von alleine.

Greif zur schärfsten Waffe die es in Deutschland gibt. Der Aktennotiz!
Nutze Meldungen über Sicherheitslücken um den Chef darauf hinzuweisen das Du unter den gegebenen Umständen nicht für die Sicherheit der Daten garantieren kannst. Die Anlage ist veraltet und die Software ist nicht in der Lage modernen Sicherheitsrisiken zu begegnen.
Noch ein Tip. Chefs fürchten häufig nicht so sehr den Verlust der Daten. Darunter können sich sich nichts vorstellen. "Mein Leitz Ordner verschwindet doch auch nicht so einfach" Die Vorstellung das die Daten in fremde Hände (Konkurrenz oder noch schlimmer Finanzamt ) geraten könnten bereitet ihm eher Kopfzerbrechen. Und mit solchen "Horrormeldungen" bereitest Du den Boden. Und wenn das eine Weile reift, dann präsentierst Du ein fertiges Konzept. So wie es haze303 vorgeschlagen hat.

Zitat:

Zitat von Trader-Joe

Bin zwar froh Arbeit zu haben, aber so gehts auch nicht.

Na. Nicht gleich die Harpune ins Seegras schmeissen. So eine Situation ist sicher frustrierend. Aber versuch doch erstmal sie zu bessern. Wenn das hinhaut hast Du irgendwann dein "Baby". Und was dann auf Dich wartet siehst Du [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ist zwar schon was älter aber ...

[tox1c60]

Zitat:

Zitat von urmel88

@ tox1c60

Das ist völlig egal wenn andere Programme ins Netz wollen, da diese Programme zu 90% nicht über Port 80 raus wollen!

Eben.. Wenn schon Proxy, dann nur Proxy, also auch keinen Traffic für andere Protokolle auf anderen Ports zulassen. Sonst stell ich mir zuhause nen Proxy hin, der auf Port 1234 lauscht und kann fröhlich weiter in der Firma im Internet surfen..

[Melvin van Horne]

Moin,

Es ist immer das gleiche Problem. Wenn man versucht menschliche Schwächen durch noch mehr Technik auszugleichen findet man nie ein Ende. Ein Netzwerkadmin sollte doch andere Aufgaben haben als einen ständigen Hase - Igel Wettlauf gegen Nutzer die die Sicherungsmassnahmen austricksen wollen.
Wenn für bestimmte oder alle Mitarbeiter das Internet gesperrt ist sollte eine einfache Anweisung reichen. Ok von mir aus noch eine Sicherung als "Erinnerungshilfe". Aber dann sollte auch Schluss sein. Wir sind doch nicht im Kindergarten! Wenn ich sehe wie viele an sich nützliche Funktionen in vielen Netzwerken gesperrt sind weil die Benutzer nur Unfug damit treiben komm ich ins Grübeln.

Ich erlebe sogar schon ein paar mal das sich Firmen komplett vom Internet abtrennen weil der Aufwand der Sicherung und die durch Onlinespiele und Youtube verlorene Arbeitszeit in keinem Verhältnis mehr zum Nutzen des Internets steht. Mail über einen Exchange Server und sonst nix.
Und selbst einen Exchange Server hab ich schon zu Boden gehen sehen weil die Idioten sich "Debby besorgts ganz Texas.avi" als Mail verteilt haben.
Wie soll das weitergehen? Soll man als Admin nur noch durch die Firma hetzen und kontrollieren ob nicht einer einen neuen Trick weiss?
Ich hab hier einen Betrieb der hat bei allen Rechnern den CD Brenner abgeklemmt. Wer CD´s verwenden muss holt sich beim Chef ein USB Laufwerk. Und das nur, weil sich seine Firma zu einer Art Tauschbörse entwickelt hat. Und hin und wieder geht der Chef durch die Büros und prüft die PC´s ob das CD Laufwerk noch funktioniert. daraufhin hat mich einer der Kollegen gefragt ob es nicht einen Trick gäbe das CD Rom per Tastenkombination zu deaktivieren. Wie im Kindergarten.

Auf den Punkt gebracht. Wenn bestimmte PC´s vom Internet getrennt werden sollen gibt es Mittel und Wege. Aber um den Mitarbeitern den vernünftigen Umgang mit einer EDV Anlage beizubringen sind Proxy und Co der falsche Weg.

[tox1c60]

Verstehe ich gerade nicht. Ich finde ein Proxy ist ein günstiger, effektiver Weg, um nur authorisierten Rechnern Zugang zum Internet zu gewähren. Ich schätze mal, das braucht ca. 10 Minuten Konfigurationszeit und ist dann ziemlich sicher.

Also ziemlich genau das, was der Threadersteller wollte.

Man kann den Mitarbeitern auch einfach verbieten im Internet zu surfen, und jeden Verstoß mit ner offiziellen Verwarnung ahnden.. Aber ob das fürs Betriebsklima so sehr förderlich ist..?

[Melvin van Horne]

Moin,

ein Proxy ist sicher eine gute Lösung. Ob das für den TE nun das passende ist muss er selber sehen. Da spielen ja wie gesehen noch andere Faktoren mit rein. Aber wenn dann die Leute anfangen zu versuchen mit irgenwelchen Tricks die Sperren zu umgehen hört der Spass mal auf. Irgendwann ist mal der Punkt erreicht, wo man entscheiden muss ob technische Aufrüstung der richtige Weg ist.

[tox1c60]

Also für mich finge der Spaß dann gerade erst an, aber das ist wohl Ansichtssache )