none
IE nur für Intranet, Dritt-Browser für internet via GPO RRS feed

  • Frage

  • Hallo

    bin neu hier und hoffe, dass mir hier geholfen werden kann. Ich mache bei uns in der Firma (Kleinunternehmen) die IT mit. Wir arbeiten auf einem ERP welches den IE8 verwendet. Nun ist mein chef zu mir gekommen, er möchte als sicherheitsrisiko den IE im Internet ausschließen und statt dessen einen aktuellen Dritt-Browser (Firefox oder Chrome) fürs Internet nutzen. 

    meine Frage ist nun, kann ich den IE8 über GPOs so konfigurieren, dass der nur auf INtranetseiten zugreifen kann, aber ich mir gleichzeitig keine Updates für andere Programme aussperre, die die IE-Einstellungen verwenden (hab ich in diversen Foren aufgeschnappt)? des weiteren, wie kann ich das windows Update konfigurieren, dass der IE8 auch der IE8 bleibt und sich nicht auf IE9 und höher updatet (bei eingeschalteten Auto-update in der Domain).

    ich hoff ich konnte mich einigermassen verständlich ausdrücken. sonst einfach rückfragen. 

    Bin über input sehr erfreut, nur bitte, dieses auch für "nicht-IT-Studierte" :-)  verständlich ausdrücken... VIELEN dank schon mal vorweg.

    Freitag, 7. Februar 2014 07:34

Antworten

  • > meine Frage ist nun, kann ich den IE8 über GPOs so konfigurieren, dass
    > der nur auf INtranetseiten zugreifen kann, aber ich mir gleichzeitig
    > keine Updates für andere Programme aussperre, die die IE-Einstellungen
    > verwenden (hab ich in diversen Foren aufgeschnappt)?
     
    Nein.
     
    > kann ich das windows Update konfigurieren, dass der IE8 auch der IE8
    > bleibt und sich nicht auf IE9 und höher updatet (bei eingeschalteten
    > Auto-update in der Domain).
     
    Google oder Bing: "IE 9 blocker".
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 7. Februar 2014 08:20
    Beantworter
  • Hi,

    Am 07.02.2014 08:34, schrieb Mike:

    er möchte als sicherheitsrisiko den IE im Internet ausschließen und
    statt dessen einen aktuellen Dritt-Browser (Firefox oder Chrome) fürs
    Internet nutzen.

    Solange du diese beiden Browser dann nicht genauso restriktiv mit Richtlinien zunagelst, ist das Ansatz Schwachsinn.

    Du kannst nicht sagen: Lass den IE weg, der ist unsicher, und dann verwendest du einen Browser der ein genauso grosses Scheunentor darstellt und dann am Besten noch völlig unkonfiguriert daher kommt.??
    Wo ist denn da deine Sicherheit?

    a) Definiere per GPO für den IE die Zonenzuweisung, welche Ziele Intranet/Trsuted sind, dann sind alle anderen automatisch "Internet"
    b) Verwende den IE8, wenn 9/10/11 nicht  möglich ist, und wende auf ihn das Template aus dem Security Compliants Manager an.
    Einiges wird dann nicht mehr gehen, das musst du wieder "deaktivieren", du musst ja arbeiten können.
    c) wenn schon alternativer Browser, dann Chrome, der hat die bessern ADM Templates und auch der wird "zugeschnürt", die Frage ist, ob man ihn dann überhaupt noch braucht.
     Aber,
    IE verbieten und dann einen uneingeschränkten Browser verwenden ist absoluter Blödsinn und auf GAR KEINEN Fall eine Lösung, nicht mal ein Ansatz und schon garnicht "sicher".

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 7. Februar 2014 09:09
  • Am 07.02.2014 schrieb Mike, der Admin-Neuling:

    diversen Foren aufgeschnappt)? des weiteren, wie kann ich das windows Update konfigurieren, dass der IE8 auch der IE8 bleibt und sich nicht auf IE9 und höher updatet (bei eingeschalteten Auto-update in der Domain).

    Wenn Du einen WSUS im Einsatz hast, dann brauchst Du dort einfach den
    IE9/IE10 und auch den IE11, sofern er denn mal kommt, einfach nicht
    zum installieren freigeben.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Freitag, 7. Februar 2014 17:37

Alle Antworten