Donnerstag, 27. März 2014

Internet Explorer Content Advisor wird für alle Benutzer übernommen

Zugriff auf Internet-Seiten beschränken
Der Zugriff auf Webseiten im Internet sollte immer an einem Proxyserver bzw. Firewall beschränkt werden. 

Wird der Zugriff am Proxy / an der Firewall eingeschränkt, so ergeben sich folgende Vorteile:
  • Diese Lösung ist unabhängig vom verwendeten Browser
  • Diese Einstellungen werden zentral am Proxy gesetzt 
  • Die Einschränkungen können nicht durch das Ändern von Clienteinstellungen umgangen werden
Internetzugriff komplett sperren
Hier kursieren diverse GPO-basierende Lösungen.
Die Idee vieler Admins: Einen Proxyserver setzen der nicht existiert und dem Benutzer die Möglichkeit entziehen diesen Eintrag zu ändern.


Hier enstehen ebenfalls Probleme:
  • Diese Lösung ist nicht unabhänig vom verwendeten Browser
  • Dienste die auf einen Proxyserver angewiesen sind (z.B. Windows-Update Dienst der die Updates direkt von Microsoft laden soll) sind ebenfalls von dieser Einschränkung betroffen
  • Ein erfahrener Benutzer kann diese Einstellung umgehen
Intranet- und Internetzugriff einschränken
Der Benutzer soll auf eine definierte Whitelist von Intra- und Internetseiten zugreifen können. 

Hier scheitern viele Proxylösungen. Die meisten Produkte können nur den Internetzugriff beschränken.

Eine Lösung auf Clientbasis bietet sich an.

Der Internet Explorer bringt eine solche Lösung bereits mit:
Den Content Advisor


Diese Funktion lässt sich über Gruppenrichtlinen steuern.
Die CSE Internet Explorer Wartung kann diese Einstellungen setzen.
Die gilt allerdings nur bis einschließlich IE 9.

Sollen diese Einstellungen für alle Benutzer des Clients/Servers gelten, so werden diese übernommen.

Definiert man jedoch eine Policy, die nur von gewissen Benutzern (bzw. Benutzergruppen) übernommen werden soll, so wirkt sich diese auch auf alle anderen Benutzer aus.

Beispiel:
  • Am Terminalserver "RDS01" soll eine Benutzergruppe "KIOSK-USERS" auf eine Whitelist von Webseiten eingegrenzt werden
  • Die Einstellungen werden per Internet Explorer Wartung in einer Policy gesetzt
  • Die Policy wird nur von der Gruppe "KIOSK-USERS" übernommen
  • Alle anderen Benutzer erhalten keine IEM (Internet Explorer Maintenance) Einstellungen
ACHTUNG:
In diesem Falle gelten die Einstellungen für alle Benutzer.

Über die Frage ob es sich hier um einen Bug handelt oder ein gewolltes Design,
lässt sich streiten.

Stellt man diese Einstellung manuell am Server als Administrator in eurem IE ein, so gelten diese auch für alle Benutzer des Clients/Servers.