Problem mit Mitarbeiter und Illigalen Aktivitäten. Einschränken?

[STI]

Hi, habe ein Problem, arbeite in einer Firma, in welcher ich mehr oder weniger des Sys Admin bin. Meinem Chef ist nun aufgefallen das viele Mitarbeiter Sachen aus dem Netz ziehen, also über eMule und so. Da ich im Handel beschäftigt bin (sowas wie Mediamarkt), liegt es für die anderen auch sehr nahe sich mal eben eine neue DVD von vorne zu nehmen und sie sich zu rippen, das gleiche gilt für Musik CD's.
Damit soll jetzt allerdings schluss sein, ich habe die Aufgabe bekommen diesem entgegen zu wirken. Nur wie?
Also, ich gehe mal davon aus, das die einzelen die es machen verschidene Programme benutzen, deshalb war meine Überlegeung, das ich einfach die Software Benutzung einschränke.

Ich dachte erst an sowas wie in der Windows Regestrirung was zu ändern, aber das haben die paar Leute die sich mit Rechnern auskennen ganz schnell wieder ausgehbelt gehabt.
Nun, mein neuer gedanke ging dahin Zenworks von Novell zu benutzen, aber das Problem ist, das es sich um mehrere Filialen handelt und nicht nur um eine, man bräuchte also ein paar Server Versionen und nicht nur eine. Kostet also wieder sehr viel Geld. Bin ein Freund von "Freeware" und von Linux. Also gibt es eine möglichkeit sowas in der Art von Zenworks anzuwenden, oder habt ihr noch andere Ideen oder Vorschläge, wäre für alles offen.



Mein letzter, aber wohl auch die letzte möglichkeit wäre es alle CD Laufwerke auszubauen und auch intern alle Ports dich zu machen, halt ausser 80 und 443, nur selbst dann können die Pakete ja immer noch über diese Ports geleitet werden. Tja, aber die Firewall/der Proxy wären dann noch eine überlegeung.


Wie gesagt wäre für jede Idee und jeden Vorschlag sei er noch so ausgefallen, sehr dankbar.

Gruss

[drcux]

Wenn die Mitarbeiter nicht als Admin arbeiten, können sie sich auch keine Software installieren...

[STI]

Ja, nur leider arbeiten wir mit einer Software, die Admin Rechte benötigt. Fällt leider aus, aber trozdem danke.

[drcux]

Wir haben bis jetzt eigentlich jede Software dazu überreden können, nicht als Admin zu laufen, sind natürlich einige Sachen anzupassen, zB Schreibrechte auf bestimmte Verzeichnisse oder Regestrieeinträge für den User etc. Im Zweifelsfall den Hersteller der Software anmailen, ihr seid bestimmt nicht die ersten, die danach fragen....
Wenn die User weiterhin als Admin arbeiten sollen, werden sie auch immer eine Möglichkeit finden, deine Sicherheitsmaßnahmen zu umgehen.

[STI]

Hi, ja ich war dem Probelem auch schon auf der Spur, das Programm schreibt seine Datenbank immer in einen Sys Ordner. Leider weiss ich nicht in welchen.


Aber auch das mit den User Rechten ist leicht zu umgehen oder nicht?

Einmal CD rein und das wars. Muss halt mal schauen das ich die gesperrt bekomme.

Ach mal schauen. Hab übrigens rausbekommen, das ich sowas wie nen Desktop Managment Interface (DMI) suche. Na ob ichs wirklich suche ist wohl noch die Frage.

Gruss

[zyrusthc]

Wie ist das Netzwerk aufgebaut?
Ich würde in diesem Netzwerk einen Server hinstellen der als einziger mit dem Internet direkt verbunden ist, und den Clients darüber nur Zugriff über einen Proxyserver geben , so hat man schon mal das emule&co Problem im Griff.

Greeez Oli

[zbled]

Eine Weisung rausgeben und die Mitarbeiter unterschreiben lassen, dass Firmen-PC's für Emule usw. nicht genutzt werden dürfen. Im Anschluß jeden User mit der eigenen ID am Rechner / Netzwerk / ... anmelden lassen. Wenn sich jemand nicht daran hält könnt ihr ihn ja rausschmeissen. Das sollte eine schöne Vorbildwirkung haben

[zyrusthc]

Eine Weisung rausgeben und die Mitarbeiter unterschreiben lassen, dass Firmen-PC's für Emule usw. nicht genutzt werden dürfen. Im Anschluß jeden User mit der eigenen ID am Rechner / Netzwerk / ... anmelden lassen. Wenn sich jemand nicht daran hält könnt ihr ihn ja rausschmeissen. Das sollte eine schöne Vorbildwirkung haben

Es gibt immer welche die nicht hören können und es drauf ankommen lassen...
Vertrauen ist gut , Kontrolle ist besser

[bla!zilla]

Holt euch den Softwarehersteller mit an Bord. Ich kann mir nicht vorstellen das die Software zwingend Administratorrechte benötigt. Jeder Mitarbeiter bekommt eine eigene User-ID, wenn ihr vor Ort einen Server mit Windows und Active Directory habt, benutzt servergespeicherte mandantory Profiles. Internetverkehr muss über eine Firewall gehen, da alle Anfragen von Clients droppen und die Leute über einen Proxy mit Protokollierung leiten. Dann kann man am Monatsende auch mal schön auswerten wer wieviele Stunden im Internet verbracht hat. Durch den Proxy selber sollten nur 80/tcp, 443/tcp erlaubt sein. Für Server kann ja auch mehr gehen (25/tcp outbound usw.). Und eine Betriebsvereinbarung aufsetzen die private Internet- und Mailnutzung ausschließt. Es gibt Urteile in denen eine fristgerechte Kündigung auch ohne vorherige Abmahnung bei einem massiven Verstoß rechtens ist.

[undefined]

Du kannst so etwas doch mit sudo Lösen.
Erstelle eine neue Gruppe und Benutzer für deine Software.
Setze die sudo Rechte für die Software.
Verweigere jeden weiteren root Zugriff via ssh etc.
Im Netzwerk - wie schon geschrieben EMule Blocken.
Was ich in Unternehmen auf jeden fall und ohnhin machen würde - die Transfer rate für Benutzer beschränken.

[heatwalker]

Wichtig ist an erster Stelle erst einmal für die richtigen Grundlagen zu sorgen.

Heisst also Secrutiy Police. In dieser sollte genau festgehalten werden, was erlaubt und was nicht.

Um Windowsrechner besser im Griff zu haben gibt es nette Software.
z.B. von der Firma H+H Software

ProGuard

Damit hast du Zugriffskontrolle über sämtliche Software auf den Rechnern.

Schaus Dir mal an. Falls wir helfen können, gerne.

[oracle2025]

Schau dich nach einer Firewall-Appliance um die Filesharing verkehr blocken kann. Evtl. kannst du alle Filialen in ein VPN tun, und den Internetzugang irgendwo zentral überwachen.

[STI]

Hi, also erstmal danke für eueren Ansturm.

Habe mir jetzt folgendes vorgenommen:

1. Durch die Firewall alles ausser 80 und 433 blocken

2. CD Laufwerke aus machen

3. USB deaktivieren (weiss nur noch nicht wie)

4. Netzwerkverkehr prokotolieren



Das habe ich bis soweit überlegt gehabt.
Natürlich wäre es sehr schön, wenn ich jeden einzelenen Mitarbeiter an den PC's einzelne UserAccounts geben könnte, nur beführchte ich das darduch leider alles ein wenig unfunktional wird. Die PC's stehen ja auf der Verkaufsfläche und jeder muss damit arbeiten können und wenn sie sich für alles sofort wieder neu anmelden müssen, dann ist das schon immer ein guter Zeitverlust.

Mit Sudo klappts leider auch nicht, da der Grossteil Windows Kisten sind. Ja leider, mit Linux ist es doch immer einfacher oder? Finde schon.

Aber egal, laufen nunmal auf Windows. Verträge gibt es auch, wurde auch alle unterschriebn, nur wie willst du wem nachweisen, das ER es war?

Und auch danke wegen dem Programm, das schau ich mir mal an.

Ja, ich probiere auch mal zu schauen warum das Programm Adminestrations Rechte benötigt, vieleicht kann man das ja ändern.
Na muss mal schauen.

Wir haben auch keinen Windows Server, sonst könnte man wirklich alles relativ leicht über Active Directorys machen. Aber wenn ich das über samba mache, soll das doch nicht ganz so flüssig laufen oder?
Aber im Grunde auch müssig, da ja keine wirkliche User Anmeldung besteht, sondern sich wie gesagt nur einmal am Tag angemeldet wird und Abens halt wieder ab.

Gruss und danke

[comrad]

USB- und CDROM-Laufwerke kannst du im BIOS deaktivieren. Natürlich solltest du dann auch ein Passwort ins BIOS setzen, dass nur dir und der Geschäftsführung bekannt ist.

[heatwalker]

Es reicht doch den Internetverkehr über Proxy mit Authentifizierung laufen zu lassen.
Zusätzlich können ja noch Downloadbeschränkungen eingebaut werden, wie kein .exe, etc.

Auf den Rechnern dann so ein Programm wie ProGuard und alles ist gegessen.