sämtliche Messenger im Netz blocken?

[SeeTheVNC]

Hallo,

meine Frage kurz und knapp:

Gibt es ne Möglichkeit auf einem PC sämtliche Messenger (ICQ, MSN, Miranda usw) zu blocken?

Ohne irgendwelche zusätzlichen Firewalls (Win-FW only), WinXP.

Danke, stVNC

[robotto7831a]

Hallo,

den MSN Messenger kannst Du über eine Grupenrichtlinie deaktivieren.

Frank

[SeeTheVNC]

joa ok und die restlichen?

geht mir speziell um ICQ und miranda, die gedownloadet und von usern einfach installiert werden können.

kann man die im netzwerk blocken?

danke

[robotto7831a]

Du könntest in einer Gruppenrichtlinie eine Softwareeinschränkung mit der Hashregel machen und so die Programme blocken.

Frank

[Whatever]

Das ist schwieriger als du denkst ^^

AIM/ICQ benutzt zwar normalerweise Port 5190, aber wenn du den blockierst, versucht ICQ über andere Ports nach draussen zu gehen.

Für ICQ/AIM:

Port 5190 -> dicht

Alle Ports zu 64.12.0.0/16

Alle Ports zu 205.188.0.0/16

Der einzige Nachteil: Man kann nichtmehr auf Seiten des AOl-Netzwerks, aber ich glaube das ist zu verschmerzen

Yahoo-Messanger ist quasi unmöglich, da dieser auch über HTTP mit dem Yahooserver kommuniziert.

[SNOWMAN]

wenn die Internetverbindung über nen proxy geht, wovon ich jetzt mal ausgehe, dann sperr dort die IPs auf welche die messenger zugreifen wollen

[SeeTheVNC]

Ok also doch reines IP-Blocking.

Dachte gäbe Alternativen die das Installieren der Programme zB. schon unmöglich machen ohne dabei jedoch den User gar in seinen schon eingeschränkten Rechten zu beeinträchtigen.

Danke aber für die Hilfe, werd sehen was ich machen kann.

Gruß

[Whatever]

Installieren könntest du unterbinden. Allerdings muss man z.B. Miranda garnichts installieren. Der läuft sogar von nem USB-Stick.

[robotto7831a]

Das installieren wahrscheinlich nicht aber das ausführen kann man verhindern mit einer Softwarebeschränkung.

Frank

[Whatever]

Kann man unter Windows wirklich das ausführen von Exe-Dateien einschränken? Oder nur per Filter? Letzteres wäre wirtzlos, dann kan ich ja einfach die Datei umbenennen und fertig isses.

[robotto7831a]

Darum die Hash Regel. Damit kann man ein Programm sperren.

Frank

[hades]

@SeeTheVNC:

Erzaehle mehr von Deiner Umgebung.

Sind alle XP-Clients in einer 2003 Domaene drin?

Hashregeln koennen nur gesetzt werden, wenn die Domaene auf Windows 2003 basiert und alle betreffenden Geraete in dieser Domaene drin sind. Lokale XP-Gruppenrichtlinien und Domaenen auf 2000 bzw. auf NT4 basierend haben diese Moeglichkeit nicht.

Welcher Router haengt vor den XP-Clients?

Aus Sicherheitsgruenden sollten bei jedem Router nur die Ports geoeffnet werden, die benoetigt werden. Hier auch ausgehende Verbindungen betrachten.

Welcher Proxy wird eingesetzt?

Wenn davor noch ein Proxy haengt (Squid, ISA Server, ipcop ...), dann koennen meist mit Hilfe von Signaturen auch Verbindungen von Messengern blockiert werden, die sich z.B. ueber HTTP oder HTTPS verbinden moechten.

Neben diesen Moeglichkeiten solltest Du ueber eine Rechtevergabe an den Clients nachdenken. Domaenen-Benutzer muessen nicht lokale Administratoren auf ihren PCs sein.

Auch gibt es Moeglichkeiten, nur bestimmte USB-Geraete zuzulassen und damit private USB-Sticks/MP3-Player auszuschliessen. (Artikel dazu in einer der letzten ct-Ausgaben)