Die Schul-IT Lösung von H+H Software GmbH

Die NetMan for Schools Knowledgebase

Die NetMan for Schools Knowledgebase hilft Ihnen bei kleineren Problemen weiter.

NetMan4.NDM NetMan.V3 NetMan.Education Module NetMan.Desktop Manager

Besonderheiten bei der Verwendung des NetMan Internetfilters

NetMan verwendet ab NfS 3.3, NDM 3.5 und NetMan 3.7 einen neuen Internetfilter, der aufgrund seiner Architektur in der Lage ist, Internetzugriffe vollständig zu kontrollieren.

Bitte beachten Sie zuerst die Informationen über die Arbeitsweise des NetMan Internetfilters.

Der KB-Artikel #2526 beschreibt die Konfiguration des Internetfilters.

Generell gilt: Der Internetfilter greift nur so lange, wie der NetMan Client (nmcclnt.exe) läuft. Ist der NetMan Client beendet, werden auch keine Internetzugriffe mehr gefiltert!
Über folgende Registry-Einträge kann dies geändert werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\H+H Software GmbH\NetMan 3\NetMan - Internet Filter LSP]
"NMInetFilter"="1" (schaltet den Internetfilter ein)
"NMIFRedirectHost"="212.12.102.42" (definiert die Seite, die als Verbotsseite angezeigt wird)
"NMIFValidURL_1"="http://www.heise.de" (erlaubte URL)
"NMIFValidURL_2"="https://www.hh-software.com" (nächste erlaubte URL etc.)
"NMIFHTTPPorts"="80" (hier können mit Kommata separiert weitere Ports hinzugefügt werden)
"NMIFHTTPSPorts"="443" (dito)
"NMIFFTPPorts"="21" (dito)
"NMIFHost"="noaccess.hh-netman.de" (Redirect-URL bei verbotenem Internetzugriff)

Nun ist der Internetfilter auch bei nicht gestartetem Client aktiv! Diese Registry-Einträge können nicht zur Laufzeit gesetzt werden, da sie in HKEY_LOCAL_MACHINE liegen - sie müssen nur einmalig als administrativer Nutzer angelegt werden, greifen aber wiederum nicht für diese, d.h. Administratoren haben weiterhin freien Zugang zum Internet!

Folgende weitere Besonderheiten sind zu beachten:

  • Wenn der Internetzugriff komplett erlaubt sein soll, müssen auch https und ftp zu den "Global Internet Settings" hinzugefügt werden.
  • Wird keine IFF-Datei angegeben, ist der Internetzugriff bei aktiviertem Internetfilter gesperrt. Angezeigt wird dann die externe "403 - Zugriff verweigert" Seite von H+H (http://noaccess.hh-netman.de/). Soll stattdessen die interne NetMan-Seite angezeigt werden, muss explizit eine leere IFF-Datei angegeben werden.
  • Gehen die Benutzer über einen Proxy ins Internet, sind folgende Dinge zu beachten:
    • Der Proxy-Port muss zur Überwachung in den NetMan Einstellungen -> Internetfilter eingetragen werden (s.u.).
    • Es kann weder die interne, noch eine beliebige externe "Zugriff verweigert"-Seite angezeigt werden. In den NetMan Einstellungen -> Internetfilter muss zwingend die Adresse noaccess.hh-netman.de eingetragen werden!
  • Zu überwachende Ports hinzufügen:
    Das Ausschließen expliziter Adressen muss in NetMan 3.7 ohne Portangabe erfolgen. Die Überprüfung der Ports findet über die eingetragenen Ports in den NetMan Einstellungen -> Internetfilter statt (bei NDM erst ab Version 4 als GUI enthalten)! Ist ein Port bei einer ausgeschlossenen expliziten URL eingetragen (z.B. durch Klick -> "Ausschließen" im Editor!), wird der Link trotzdem ausgeführt! Erst ohne Portangabe wird die Überprüfung korrekt durchgeführt. Ansonsten wird die URL im Ablaufmonitor als erlaubt angegeben, obwohl weiter oben die ausgeschlossene URL korrekt gelistet ist.
    Beispiel: BeckRecherche -> z.B. Ausschließen der Administration
    http://127.0.0.1:[Port]/admin/
    Dieses Verhalten ist mit der NmsIFFConfig.exe 3.9.0.2180 und HHLsp.dll 1.0.0.210 in NDM 4 umgestellt: Die Portangabe kann hier in der zu überwachenden URL erfolgen, zu überwachende Ports in den NetMan Einstellungen sind nur dann einzutragen, wenn die Überwachung global erfolgen soll.
  • Die URL localhost entspricht nicht nur der IP-Adresse 127.0.0.1, sondern geht bis 127.254.255.255!
    Dies ist ggf. beim Ausschließen von expliziten URLs zu beachten!
  • Bei HTTPS-Adressen ist zu beachten, dass als Adresse nur https://* oder die Host-Ebene möglich ist, z.B. https://www.hh-software.com/, nicht zulässig ist z.B. https://*.hh-*.
    Als Besonderheit ist beim Ansurfen einer nicht erlaubten HTTPS-Adresse zu beachten, dass in diesem Fall auch die externe H+H Verbotsseite über HTTPS angesteuert wird, bei der zunächst ein nicht vertrauenswürdiges Zertifikat angezeigt wird.
  • Anzeige von Fehler 403 statt der NetMan "Zugriff verweigert"-Seite:
    Die Anzeige der NetMan-Seite erfolgt nur bei der Dateiendung .htm und .html, alles andere, z.B. auch Bilder, wird über die 403-Seite des Browsers (oder des Apache) verweigert.
    Hintergrund: Der Inhalt einer ASP-Seite muss nicht unbedingt HTML sein, bei Bildern innerhalb einer Seite wirkte die stattdessen angezeigt NetMan-Seite eher störend bis verwirrend.
#2655Hartmut Mäcker
Kontakt

Sie haben noch Fragen?
Jetzt Wunschtermin für eine kostenlose Beratung vereinbaren.

Ansprechpartner
Informationsmaterial

Sie wünschen weitere Informationen?
Fordern Sie hier Ihr Infopaket an oder lernen Sie eine Referenzschule kennen.

Anfragen
Der Newsletter
Erscheint 3 – 4 mal im Jahr. Bleiben Sie informiert.