Я пытаюсь понять, как запретить некоторым из наших пользователей обходить прокси-сервер, который развертывается с помощью групповой политики.
Сначала я использую файл pac для настройки параметров прокси для ПК. Настройки развертываются с групповой политикой нормально, эта часть работает хорошо.
Моя проблема в том, что некоторые пользователи используют эту команду для сброса настроек до значений по умолчанию:
RunDll32.exe InetCpl.cpl, ResetIEtoDefaults
Затем настройки сбрасываются до значений по умолчанию (без прокси) до следующего применения групповой политики. Я пробовал несколько вещей, чтобы исправить это, но ничего из того, что я пробовал до сих пор, не останавливает эту работу.
В настоящее время политика не позволяет пользователю сбрасывать настройки (как из конфигурации компьютера, так и из конфигурации пользователя), я попытался установить настройки прокси для каждой машины, а не для каждого пользователя (с соответствующими записями реестра для прокси) и несколько другие вещи. Я также удалил файлы InetCpl.cpl, но это ломает другие вещи.
Я не могу заставить людей использовать прокси с нашего шлюза, мне нужны клиенты, чтобы использовать устанавливаемый файл pac (есть определенные места назначения, для которых прокси не используется в зависимости от IP-адреса, на который они разрешают), а также довольно несколько правил в файле.
У вас есть умные пользователи. Или хотя бы один умный пользователь, а остальные умеют следовать инструкциям. Вы пытались заблокировать запуск RunDll32.exe в пространстве пользователя с помощью групповой политики?
У меня были похожие проблемы на моей последней работе, где я обслуживала школы. Мое решение заключалось в том, чтобы установить белый список для трафика без прокси (он требовался лишь нескольким сайтам). Если вы не прошли через прокси, вам заблокировали практически все. IIRC, у обычных пользователей не было никаких проблем, потому что у меня был файл pac, предложенный через DHCP и DNS.
Я думаю, вы здесь проигрываете. Если у пользователей есть доступ администратора к своим ноутбукам, вы мало что можете сделать, чтобы остановить их от манипуляций с настройками прокси.
Также важен вопрос, почему ваши пользователи отключают прокси. Это потому, что какой-то сайт не работает через прокси? По моему опыту, совместное решение проблемы будет лучше, чем борьба с ней. Но если борьба с ними - единственный вариант, тогда вам нужно бороться на сетевом уровне.
Если единственная функция прокси - сэкономить вам немного полосы пропускания, то, возможно, вам удастся не блокировать трафик, который не проходит через прокси, но если прокси считается средством контроля безопасности, полагающимся на групповую политику для принудительного прохождения трафика через него, то это не так. t реальный вариант. Вредоносные программы, пользователи телефонов Mac, Chrome и т. Д. Будут игнорировать ваши правила, и все время и деньги, вложенные в прокси, будут потрачены впустую
Вы сказали, что туканы вынуждают их использовать прокси-сервер как «Как там» для IP-адресов, которые вам не нужны. Чтобы решить эту проблему, пусть ваш брандмауэр разрешает исходящий веб-трафик на эти IP-адреса и блокирует весь другой веб-трафик, не поступающий через прокси.
Лично я всегда предпочитал прозрачные прокси, а не настраивал прокси для каждого клиента.