Кто-нибудь знает какой-либо тип программного обеспечения для блокировки системы / родительского контроля, которое будет работать на сетевых машинах, с пользователями, которые могут или не могли уже настроить учетную запись на локальном компьютере?
Я работаю в относительно большом государственном отделе, и мне нужно предотвратить, что наиболее важно, доступ в Интернет ко всем, кроме нескольких веб-сайтов. В качестве плюса я также хотел бы ограничить машину определенными приложениями.
Я попытался установить семейную безопасность Microsoft, однако я думаю, что вам нужно вручную настроить его для учетных записей, которые уже вошли в систему на компьютере, на котором он устанавливается, и проблема в том, что все наши машины подключены к сети, и у нас много пользователей через Active Directory .
В настоящее время мы используем «Fortres 101» / «Fortres Grand», но это непрактично и вызывает слишком много проблем, это также демо / пробная версия. Мы используем смесь Windows XP и Windows 7, но если она работает только с Windows 7, это тоже круто.
Microsoft предлагает список Общие сценарии групповой политики с использованием GPMC. У этого есть несколько шаблонных политик, которые вы можете использовать в домене активного каталога, чтобы использовать их в качестве отправной точки для блокировки ваших машин. Судя по тому, что вы описываете, похоже, что вы хотите Multi-User
шаблон.
Обзор сценариев
Ниже приводится список сценариев с типичными примерами использования.
Слегка управляемый
Используйте этот сценарий для опытных пользователей или разработчиков, которым требуется значительный контроль над своим компьютером. Вы также можете использовать этот сценарий в организации, где жестко управляемые рабочие столы неприемлемы для пользователей или где управление рабочими столами сильно делегировано. Наряду с другими сценариями сценарий с легким управлением поддерживает повышенную безопасность и способствует единообразию взаимодействия с пользователем, что может быть полезно даже там, где жестко управляемый рабочий стол не подходит.
Сценарий с легким управлением имеет следующие характеристики:
- Наименее управляемый из всех сценариев.
- Позволяет пользователям настраивать большинство параметров, которые на них влияют, но предотвращает внесение вредных системных изменений.
- Включает настройки, которые сокращают расходы службы поддержки и время простоя пользователей.
- Поддерживает свободное сидение, что означает, что пользователи могут сесть за любой компьютер и получить доступ ко всем своим ресурсам, приложениям и данным, как если бы они сидели за своим компьютером. Это также упрощает сценарии резервного копирования файлов, поскольку все файлы пользователей хранятся на назначенных файловых серверах.
- Обычно имеет основной набор приложений, назначенных пользователю или компьютеру, которые всегда доступны. Пользователи также могут устанавливать приложения, которые были опубликованы для них, которые они могут выбрать для установки.
Мобильный
Сценарий Mobile актуален для мобильных / портативных компьютеров и их пользователей. В этом сценарии особое внимание уделяется отключенному пользователю, которому часто необходимо работать в автономном режиме и иногда «повторно синхронизироваться» с корпоративной сетью.
Сценарий Mobile имеет следующие характеристики:
- Может использоваться пользователями, которые большую часть времени находятся вне офиса, которые входят в систему с использованием низкоскоростных коммутируемых соединений, но иногда также входят в систему с использованием высокоскоростных сетевых соединений.
- Может также использоваться пользователями, которые находятся вне офиса лишь изредка и которые входят в систему с помощью удаленного доступа или удаленных сетевых ссылок.
- Обеспечивает пользователям непрерывный доступ к своим данным и параметрам конфигурации независимо от того, подключен компьютер к сети или отключен от нее.
- Частично поддерживает свободное размещение (опционально может поддерживать полное свободное размещение) для упрощения централизованного резервного копирования данных и предоставления пользователям доступа к важным данным и настройкам с дополнительных компьютеров.
- Позволяет пользователям отключаться от сети без выхода из системы или выключения.
Многопользовательский
Используйте этот сценарий в университетской компьютерной лаборатории или библиотеке, где пользователи могут сохранять некоторые настройки, такие как обои рабочего стола и настройки цветовой схемы, но не могут изменять параметры оборудования или подключения.
Многопользовательский сценарий имеет следующие характеристики:
- Позволяет выполнять базовую настройку среды рабочего стола. Пользователи могут сохранять конфигурации рабочего стола, но не могут настраивать параметры сети, оборудования и системы.
- Поддерживает свободное сидение; пользователи могут войти на любой компьютер и получить свои данные и настройки. Когда они уходят, на компьютере не сохраняется состояние кеширования.
- Пользователи ограничили доступ на запись к локальному компьютеру и могут записывать данные только в свой профиль пользователя и в перенаправленные папки.
- Имеет набор приложений, которые всегда доступны (назначены), а также приложения, которые могут быть установлены и удалены по мере необходимости (опубликованы).
- Очень безопасен.
AppStation
Сценарий AppStation используется, когда вам требуются строго ограниченные конфигурации всего с несколькими приложениями. Используйте этот сценарий в «вертикальных» приложениях, таких как маркетинг, обработка требований и ссуд, а также сценарии обслуживания клиентов.
Сценарий AppStation имеет следующие характеристики:
- Допускает минимальную настройку пользователем.
- Позволяет пользователям получить доступ к небольшому количеству приложений, соответствующих их должности.
- Не позволяет пользователям добавлять или удалять приложения.
- Поддерживает свободное сидение.
- Предоставляет упрощенный рабочий стол и меню «Пуск».
- Пользователи ограничили доступ на запись к локальному компьютеру и могут записывать данные только в свой профиль пользователя и в перенаправленные папки.
- Очень безопасен.
TaskStation
Используйте сценарий TaskStation, когда вам нужен компьютер, предназначенный для запуска одного приложения, например, в производственном цехе, в качестве терминала ввода заказов или в колл-центре.
Сценарий TaskStation аналогичен сценарию AppStation со следующими изменениями:
- В нем установлено только одно приложение, которое автоматически запускается при входе пользователя в систему.
- Нет рабочего стола или меню «Пуск».
Киоск
Используйте этот сценарий в общественных местах, например в аэропорту, где пассажиры проходят регистрацию и просматривают информацию о своем рейсе. Поскольку компьютер обычно остается без присмотра, он должен быть очень защищен.
Сценарий киоска имеет следующие характеристики:
- Это общественная рабочая станция.
- Запускает только одно приложение.
- Использует только одну учетную запись пользователя и автоматически входит в систему. Система автоматически возвращается к состоянию по умолчанию в начале каждого сеанса.
- Работает без присмотра.
- Очень безопасен.
- Прост в эксплуатации, не требует процедуры входа в систему.
- Не позволяет пользователям вносить изменения в настройки пользователя или системы по умолчанию.
- Не сохраняет данные на диск.
- Всегда включен (пользователь не может выйти из системы или выключить компьютер).
Рабочая станция, использующая сценарий киоска, похожа на TaskStation, но пользователи анонимны, поскольку все они используют одну учетную запись, которая автоматически входит в систему при запуске компьютера. Это достигается путем модификации киоск-машины способом, описанным далее в этом документе. Никакие настройки не могут быть сделаны, и никакое состояние пользователя не сохраняется.
Хотя сеансы пользователя обычно анонимны, пользователь может войти в учетную запись конкретного приложения, например, в веб-приложение через Internet Explorer (при условии, что Internet Explorer является «киоск-приложением», запускаемым при запуске).
Выделенное приложение может быть бизнес-приложением (LOB), приложением, размещенным в Internet Explorer, или другим приложением, например, доступным в Microsoft Office. Приложение по умолчанию не должно быть Windows Explorer или любым другим приложением, подобным оболочке. Проводник Windows обеспечивает больший доступ к компьютеру, чем это необходимо для компьютера в режиме киоска. Убедитесь, что командная строка отключена и к проводнику Windows нельзя получить доступ из любого приложения, которое вы используете для этой цели.
Приложения, используемые для сценариев киоска, следует тщательно проверять, чтобы убедиться, что они не содержат «лазейки», позволяющие пользователям обходить системные политики. Например, они не должны разрешать пользователям доступ к приложениям, которые обращаются к файловой системе. В идеале вы должны использовать только приложения, которые соответствуют «Спецификации приложений для Windows 2000», сертифицированы для Windows и проверяют параметры групповой политики, прежде чем предоставлять пользователям доступ к запрещенным функциям. Старые приложения обычно не поддерживают групповую политику, поэтому попробуйте отключить все функции, которые позволяют пользователям обходить административную политику.
Записи реестра Бегать и RunOnce отключены в сценарии киоска с помощью связанных параметров политики.
Я успешно использовал pfsense в сочетании с Dansguardian для фильтрации Интернета. Настройка прошла безболезненно, и это бесплатный вариант. Я не настраивал белый список, но похоже, что это то, что вы хотите, и это вариант, предлагаемый Dansguardian.
В качестве альтернативы у вас должен быть уже установлен какой-то брандмауэр, и в этом случае вы можете использовать продукт фильтрации, специфичный для вашего брандмауэра.
У вас есть доступ к шлюзу по умолчанию для этих машин? Если да, вы можете настроить прозрачный прокси в pfsense. Если нет, вы можете использовать групповую политику, чтобы установить поле pfsense в качестве прокси-сервера.
У вас должно быть установлено антивирусное программное обеспечение. Это хорошее место для установки ограничений приложений. Если нет, вы также можете использовать групповую политику для их настройки. Групповая политика - не лучшее место, чтобы попытаться настроить список разрешенных веб-сайтов. Вы действительно хотите разделить прокси и ограничения приложения.