Problem mit Mitarbeiter und Illigalen Aktivitäten. Einschränken?

[STI]

Hi, habe ein Problem, arbeite in einer Firma, in welcher ich mehr oder weniger des Sys Admin bin. Meinem Chef ist nun aufgefallen das viele Mitarbeiter Sachen aus dem Netz ziehen, also über eMule und so. Da ich im Handel beschäftigt bin (sowas wie Mediamarkt), liegt es für die anderen auch sehr nahe sich mal eben eine neue DVD von vorne zu nehmen und sie sich zu rippen, das gleiche gilt für Musik CD's.
Damit soll jetzt allerdings schluss sein, ich habe die Aufgabe bekommen diesem entgegen zu wirken. Nur wie?
Also, ich gehe mal davon aus, das die einzelen die es machen verschidene Programme benutzen, deshalb war meine Überlegeung, das ich einfach die Software Benutzung einschränke.

Ich dachte erst an sowas wie in der Windows Regestrirung was zu ändern, aber das haben die paar Leute die sich mit Rechnern auskennen ganz schnell wieder ausgehbelt gehabt.
Nun, mein neuer gedanke ging dahin Zenworks von Novell zu benutzen, aber das Problem ist, das es sich um mehrere Filialen handelt und nicht nur um eine, man bräuchte also ein paar Server Versionen und nicht nur eine. Kostet also wieder sehr viel Geld. Bin ein Freund von "Freeware" und von Linux. Also gibt es eine möglichkeit sowas in der Art von Zenworks anzuwenden, oder habt ihr noch andere Ideen oder Vorschläge, wäre für alles offen.



Mein letzter, aber wohl auch die letzte möglichkeit wäre es alle CD Laufwerke auszubauen und auch intern alle Ports dich zu machen, halt ausser 80 und 443, nur selbst dann können die Pakete ja immer noch über diese Ports geleitet werden. Tja, aber die Firewall/der Proxy wären dann noch eine überlegeung.


Wie gesagt wäre für jede Idee und jeden Vorschlag sei er noch so ausgefallen, sehr dankbar.

Gruss

 

[ikemi]

Du sprichst zwar von Windows, aber egal.
Bei uns im Unternehmen ist einfach der FirewallPort / Ports gesperrt und z.B die Laufwerke deaktiviert - USB detto. Bei Windows lässt du via Policy einen User einfach keine Installationen zu und überwachst die Installierte Software.

PROXY eintragen ist nicht, da _DU_ dem User den Zugriff auf diese Browsereinstellung verwehrst.

Bei uns funktioniert es und wir haben ca. 6000 -7000 Clients.

Aber in ertser Linie würde ich mit den Mitarbeitern über dieses Thema sprechen und sie darauf aufmerksam machen, das bei solchen "Aktionen" der Arbeitsplatz gefährdet ist.

 

[STI]

Hi, die Gespräche und auch die Unterschriften, das sie die Computer nur für Arbeitszwecke nurtzen gabs schon, aber wem willst du nachweisen, dass er es war?

Weisst du Zufällig wie mal die Laufwerke, vorallem die USB Sachen sperrt?
Hab leider nicht so die Ahnung von Windows.
Und wo die Policy sich versteckt weisst du nicht zufällig oder?

Das Problem ist, das die User alle Adminestrations Rechte für eins unserer Programme benötigen. Also gehts nicht über den schönen Trick einfach nur User Konten anzulegen.

Ausserdem kann ich ja den Server so einstellen, das der Server alle anfragen automatich auf den Proxy umleitet, also brauch ich ncihts an den eizelen PC's einzustellen.

Gruss

 

[ikemi]

Hi, die Gespräche und auch die Unterschriften, das sie die Computer nur für Arbeitszwecke nurtzen gabs schon, aber wem willst du nachweisen, dass er es war?

Habt ihr soetwas wie UserAccounts?!

Weisst du Zufällig wie mal die Laufwerke, vorallem die USB Sachen sperrt?

Wir haben es über das BIOS gesperrt. Ich muß aber schon dazusagen, das es bei uns viele weitere Sperren gibt. In der Produktion dürfen die User nichteinmal etwas speichern usw.
[...]

Und wo die Policy sich versteckt weisst du nicht zufällig oder?

START / AUSFÜHREN gpedit.msc und secpol.msc sind deine (zukünftigen) Freunde ;-)
Wenn ihr nen Windows Server habt, richte eben die Policy dort für die Domäne ein. Oder am Client, da kannst du die Policy auf alle anderen Pc´s kopieren.

Das Problem ist, das die User alle Adminestrations Rechte für eins unserer Programme benötigen. Also gehts nicht über den schönen Trick einfach nur User Konten anzulegen.

Beim Start und der Benutzung des Programms, oder muss ein User mit Adminrechte am PC eingeloggt sein?

Ausserdem kann ich ja den Server so einstellen, das der Server alle anfragen automatich auf den Proxy umleitet, also brauch ich ncihts an den eizelen PC's einzustellen.

Ich hatte Zeiten, wo ich über Port 80 zuhause via SSH Arbeitete...aber das ist eine andere Geschichte.

 

[STI]

Hi, nein keinen Windows Server, Gott sei danke nur Linux und Unix.

Um die Sachen übers BIOS zu sperren, muss es glaube ich sehr neu sein und das kann ich nicht Garantiren.

So extrem, das man nichts mehr speichern kann, solls nicht sein, soll ja immer noch nen PC zu arbeiten sein.
Das ist eben mit das Problem. Sonst könnten wir ja einfach sagen jeder muss sich mit seiner Separten Kennung einlogen, aber dadurch verliert man einfach die Funktionalität. Das beführchte ich zumindest.

Du musst dir das so vorstellen, das die PC's morgens hochgefahren werden und dann meldet man sich nciht exrtra an oder sonst was, sondern man kann einfach damit arbeiten (oder was auch immer) und da liegt das Problem. Im Grunde kann jeder dran.
Und alles machen. Die Admin Rechte werden während des Ausführens des Programmes benutzt.

Bei den Gpedit bin ich mir nicht sicher ob das nur in der XP Pro Version ist oder auch in der Home. Weisst du es. Ich meine in Erinnerrung zu haben, das es nur in der Pro Version drin war.

Gruss

 

[theton]

Ich würde empfehlen einen Router auf Linux-Basis zum Einsatz zu bringen. Diesen macht man dann zum Zwangsproxy und schränkt mit Hilfe von iptables den ausgehenden und eingehenden Traffic ein. Ausserdem hat man dann eine zentrale Kontrollmöglichkeit, über die man z.B. mit dem Zonk-Skript oder Etherreal/tcpdump/snort usw. überprüfen kann, ob Filesharing-Tools benutzt werden und von welchen Rechnern. Ausserdem sollten die User auf allen Windows-Rechnern zu eingeschränkten Benutzern gemacht werden, so dass sie keine Software mehr installieren können. Unerwünschte Programme sind natürlich zu deinstallieren. Wenn die Mitarbeiter erstmal merken, dass jeglicher Traffic überwacht wird, werden sie das ganz allein bleiben lassen, so zumindest meine Erfahrung.
Nachtrag:
Im übrigen sind Admin-Rechte für Normaluser auf Windows-Kisten, die den ganzen Tag am Netz hängen, so ziemlich das schlimmste, was man mit Windows machen kann. Das ist, als würdest du mit Linux die ganze Zeit mit Root arbeiten.

 

[STI]

Hi, ja mit den User Rechten ist das sone Sache, habe leider die Erfahrung amchen müssen, das ein Programm welches benutzt wird nur mit Admin Rechten benutzt werden kann, da es in irgend einen Windows Ordener seine Datenbank abspeichert. Aber leider weiss ich nicht in welchen.

Und nichts gegen Windows, aber irgendwo fühle ich mich noch nicht so sicher wenn ich als einzigste Massnahme User Rechte vergebe.

Aber die Idee mit dem Gateway werde ich wohl so umsetzen, danke.


Weiss garnicht, gibt es ein Programm welches den Traffic Überwacht und mir Automatische ne Mail schickt, wenn es bestimmten Traffic erkennt?

Kennt ihr eins?

 

[ikemi]

[...]
Im übrigen sind Admin-Rechte für Normaluser auf Windows-Kisten, die den ganzen Tag am Netz hängen, so ziemlich das schlimmste, was man mit Windows machen kann.

Ich Arbeite hin und wieder auch für kleinere Unternehmen oder Ärzte. Die haben leider meist Software im Einsatz, die einfach ohne Admin Account nicht funktioniert. Außerdem funktioniert bis heute die Rechtevergabe unter Windows nicht richtig.

Hatte mal in einer kleinen Buchhaltung ein Programm das auf das _gesamte_ Laufwerk Alle Berechtigungen für_Jeder_ benötigte...

Thats Windows.

 

[ikemi]

[...]
Um die Sachen übers BIOS zu sperren, muss es glaube ich sehr neu sein und das kann ich nicht Garantiren.

Den BIOS könnte man Knacken, was aber gegen eure (hoffentlich) Security Policy verstößt.

So extrem, das man nichts mehr speichern kann, solls nicht sein, soll ja immer noch nen PC zu arbeiten sein.

Ist schon klar, das war ja nur der Hiweis, das es bei uns teilweise /Schräger/ abläuft. Andererseit für was brauche ich in einem Geschäft normale Desktop funktionen. Ich lasse Daten auf ein Netzlaufwerk speichern, das nochdazu geBackup´d wird. Dort habe ich ein FileLimit, somit ists mit dem DVD Rippen und Co auch vorbei. Du kannst auch Dateiendungen sperren usw.
[...]

Die Admin Rechte werden während des Ausführens des Programmes benutzt.

Ja, das ist das Alte Windows leid.

Bei den Gpedit bin ich mir nicht sicher ob das nur in der XP Pro Version ist oder auch in der Home. Weisst du es. Ich meine in Erinnerrung zu haben, das es nur in der Pro Version drin war.

Das weiß ich leider nicht mehr, aber Google oder M$ können dir da sicherlich viel mehr dazu sagen. Ich bin leider auf dem Sprung nach England... Kurz Urlaub oder wie auch immer.

Bis dann, ikemi

 

[STI]

Hi, danke schön erstmal.

Ich habe mir überlegt es wohl wie folgt zu machen:

1. Firewall neu konfigurieren, alles blocken ausser Internet, Mail und einen sonder Port!

2. Versuchen das Programm zu besämftigen und User Acc's zu vergeben

3. USB Sticks unzugreifbar machen(wie auch immer, hoffe ich finde da noch was bei Google)

4. CD Laufwerke dich machen

5. Event. Speicher reduzieren, durch Partion oder so, reicht ja schon.


Also, danke nochmal und nen schönen Urlaub.

P.S. Falls jemand noch Ideen hat, bin ich natürlich auch weiterhin für alles offen. Verbessern kann man alles!

Gruss

 

[Jabo]

Alarm

Hi, habe ein Problem, arbeite in einer Firma, in welcher ich mehr oder weniger des Sys Admin bin.

Hey,

nichts für ungut, aber es gibt niemanden, der "mehr oder weniger" Sysadmin ist. Ich bin übrigens keiner.

[...snipp.... Liste diverser verbnotener Dinge ....]
Damit soll jetzt allerdings schluss sein, ich habe die Aufgabe bekommen diesem entgegen zu wirken. Nur wie?

Obwohl die Debatte thematisch interesssant sein mag.... (z.B. wenn du - Achtung: keine Unterstellung sondern Beispiel - gar nicht der bist, der das verhindern soll, sondern einer, der hier lernen möchte, wie er dran vorbei kommt....)

Mach dich da vom Acker!! Du sollst in arbeitsrechtlich relevante Prozesse eingreifen, Protokolle führen / einrichten, weiterleiten und zu Entscheidungen über Sanktionen beitragen, und zwar gerade die Grundlage dafür sollst du beitragen.

Und das führt dich zu der Frage "...nur wie?"

Rate mal, auf wen alle zeigen, wenn das irgend wie komisch läuft. Was willst du sagen? "Im Unixboard stand aber..."??

Meine Einschätzung ist (unter Heranziehung deines Vergleiches mit Mediamarkt und dem Hinweis auf diverse Filialen...), daß du auf ein Pulverfaß gesetzt wirst, weil deine Firma zu geizig ist, Admins zu bezahlen (oder dir eine solche Ausbildung z.B.), die sich unter Windows und was auch immer so auskennen, daß sie hier einen selbstgeschriebenen Filteralgorithmus zur Debatte stellen würden, aber nicht gleich die Frage nach ner Grundkonfiguration....

Tschulligung, aber mein momentaner Eindruck von dem, was du beschreibst, ist so..

 

[STI]

Hi,
also mit mehr oder weniger Admin war gemeint, das ich eigendlich keiner bin, ich aber schon ein bischen was von Computern verstehe und schon das ein oder andere mal in der Firma gemacht habe, weshalb ich gefragt wurde ob ich wieder helfen könnte.

Es geht auch nicht um Sanktionen oder sonstwas, vieleher sollen Grenzen geschaffen werden, die den Mitarbeitern aufzeigen sollen bis wohin die Firma es erlaubt und ab wann es nicht mehr OK ist.
Aber ich stelle oder vielmehr probiere das System dafür aufzubauen, du kannst auch nicht sagen, das der Bundestag dafür verantwortlich ist, das es Verbrecher gibt, nur weil die Abgeordneten die Gesetzte aufstellen.

Gruss

 

[Jabo]

das war mein Ernst.

Es geht auch nicht um Sanktionen oder sonstwas, vieleher sollen Grenzen geschaffen werden, die den Mitarbeitern aufzeigen sollen bis wohin die Firma es erlaubt und ab wann es nicht mehr OK ist.

Hey,

ich wollte dir *echt* nicht zunahe treten, aber einerseits redest du von Kuschelkurs und andererseits von einer Firma, die du mit Mediamarkt vergleichst und von einem Netz über mehrere Filialen.

Wir reden also nicht über einen Gemüse-Shop, der 2 PCs im Büro hat und noch 3 Leute, die von zuhause Daten von Grünzeugmärkten eingeben und nebenher auf der Leitung, wo gerade halt on ist, nen Song eselt.

Ich habe den Hinweis bei aller Liebe zu deiner Sichtweise, die ich übrigens kenne, sehr ernst gemeint. Zum Beispiel deute ich Maßnahmen zur Überwachung am Arbeitsplatz nach dem Betriebsverfassungsgesetz an. Nur so zur Vorsicht.

Ich zweifele deine Absicht nicht an. Ich ermahne dich nur, daß du dein Umfeld sehr gut kennen solltest, wenn das nicht wichtig wäre bei euch. Ansonsten ziehe dich sehr gut an, bevor du einen nett gemeinten Automaten programmierst, der dir deine gerade erst gebüglete Hose anzündet.

 

[theton]

Tja, das Problem mit den notwendigen Admin-Rechten bei einigen Programmen (Datev, Freehand u.a.) kenne ich auch.
In diesem Fall lässt sich bis auf totale Überwachung nichts machen. Traffic überwachen und entsprechende Meldungen zumailen lassen lässt sich sicherlich machen indem du das zonk.pl einfach entsprechend modifizierst. Wenn die Mitarbeiter erstmal mitbekommen, dass alles bemerkt wird, was sie im Netzwerk machen und das nicht erlaubte Dinge an den Chef gemeldet werden (ist ja schliesslich ein Kündigungsgrund), werden sie es sicher bleiben lassen. Wichtig ist halt, dass dabei die Administration gut mit der Geschäftsleitung zusammen arbeitet und dass solche Mitarbeiter auch wirklich Konsequenzen zu spüren bekommen. Bei uns war's schlagartig vorbei mit Donkey-Traffic im Netzwerk nachdem die erste Mitarbeiterin deswegen entlassen wurde. Sie hatte nach mehrfacher Aufforderung durch mich immernoch weiter gemacht und dann habe ich es halt an unseren Chef gemeldet, der ihr die Kündigung auf den Tisch packte. Abschreckung ist also immernoch das Effektivste in diesem Fall.
Evtl. auf den Windows-Kisten auch einfach ein Skript laufen lassen, das regelmässig checkt ob die Registry geändert wurde. Ist das der Fall, kann man davon ausgehen, dass irgendwas installiert wurde und kann das dann entsprechend überprüfen.