Я хотел бы в значительной степени заблокировать небезопасный IE и OE из моей сети. Некоторые люди настойчиво используют их, но практически не используют их. Я установил и FF, и SM, они оба удалили. Я хочу убедиться, что шлюзы не открываются.
РЕДАКТИРОВАТЬ: Маршрутизатор - это D-Link EBR-2310.
Это невозможно сделать на уровне брандмауэра без установки дополнительного программного обеспечения.
Из предложений людей вы опровергли все:
Это технические решения. Заставьте их работать (например, купите оборудование для прокси-сервера или отмените их права администратора) или перестаньте беспокоиться об этом как о проблеме. Как отмечали другие, незащищенность IE / OE - ничто по сравнению с пользователями, которые изо дня в день работают в качестве администраторов. А XP Home? Это шутка о безопасности - вы даже не можете принудительно установить права доступа к файлам.
Последняя альтернатива - рассматривать это как социальную проблему. Вы сказали, что являетесь руководством - хорошо, затем установите и применяйте свою политику. Удалите IE. Если они переустановят его, уволите их. Не могу этого сделать? Затем займитесь своими пользователями, использующими IE. И вы можете пересмотреть свои методы «управления».
К сожалению, вы приняли действительно плохое решение, доставив им XP Home - сэкономьте сейчас, платите позже. Лучшее, что можно сделать, - это принять это и установить XP Pro; по крайней мере, тогда вы можете начать реализацию некоторой локальной групповой политики, чтобы заблокировать вещи до более разумного уровня (хотя без AD вам придется делать это на каждой машине индивидуально - надеюсь, у вас их не слишком много!)
Internet Explorer и Outlook используют стандартные протоколы для доступа в Интернет. Без тщательной проверки пакетов и проверки их конкретных заголовков вы не можете заблокировать их на маршрутизаторе.
Что ты жестяная банка do - это заставить весь доступ в Интернет проходить через прокси-сервер. На прокси-сервере вы можете заблокировать определенных клиентов с помощью строки User Agent (хотя я не думаю, что OE отправляет что-либо идентифицируемое, поэтому это будет работать только для IE.
Если вы можете управлять компьютерами, вы можете лучше использовать политику (электронных) настольных компьютеров.
К сожалению, ПК по какой-то причине ДОЛЖНЫ иметь права администратора.
Думаю, вам лучше потратить время и силы на изучение этого вопроса.
В соответствии со всеми вышеизложенными, прокси-сервер - лучший способ отключить IE. Не думайте, что вам повезет с OE tough
Однако вы можете заблокировать их с помощью программного обеспечения. в win7 2008r2 вы можете использовать AppLocker, который развертывается через GroupPolicys. К сожалению, эти ОС еще не RTM. В приложении applocker нужно просто отключить хеш-файл exe для запуска с компьютера. Подобные политики ограниченного использования программ, которые, как мне кажется, существовали с Windows 2000, я не знаком с ними.
Насколько я знаю, FF более небезопасен, чем IE. Если вам нужна более безопасная среда, как правило, вашими пользователями должны быть пользователи, а не администраторы / локальные администраторы. Используйте ACT (набор инструментов для обеспечения совместимости приложений), чтобы обмануть приложение, думая, что оно запускается администратором.
Вы не можете блокировать приложения на уровне маршрутизатора, если они не используют другой порт. Например, если вы заблокируете порт 80, он заблокирует IE / Firefox / и т. Д. Почему бы просто не удалить все ярлыки IE и не разрешить пользователям запускать программы вручную?
Опубликуйте ИТ-политику с одобрением руководства, запрещающую использование Internet Explorer и Outlook Express на предприятии.
Удалите ярлыки для Internet Explorer (вручную или с помощью GPO) и удалите Outlook Express.
Удалите права администратора с пользователей, чтобы они не могли устанавливать приложения.
Время от времени проверяйте компьютеры на предмет наличия Internet Explorer и Outlook Express и сообщайте руководству обо всех, кто их использует.
К нарушению ИТ-политики в вашей организации следует серьезно относиться. Вам не придется спорить с пользователями о том, какое программное обеспечение разрешено для использования в компании. Если ваше руководство не поддерживает ваши усилия по обеспечению безопасности, я бы подумал о поиске работы в таком месте.
(Это должен был быть комментарий, но он получился длинноватым ...)
Кажется, что вы пытаетесь решить социальную проблему (то, что должно контролироваться политикой) с помощью технического решения. Это почти всегда плохая идея и почти всегда каким-то образом не удается. Обычно так, чтобы укусить админа.
Кстати, вы изучили Зачем вы думаете, что IE и OE - плохая идея? Многие (большинство?) Компаний используют их по всему миру, и пока они полностью пропатчены, вы не слышите о многих серьезных инцидентах (ну, по крайней мере, в наши дни). Я подозреваю, что вам было бы лучше перейти на Windows Pro, избавиться от прав администратора с рабочих станций пользователей и внедрить надежный режим установки исправлений. Это будет делать далеко в долгосрочной перспективе для вас больше, чем просто блокировка доступа к IE и OE. Если вам нужна помощь в лишении административных прав, у Аарона Маргозиса раньше был не админ блог. Он давно не обновлялся, но по-прежнему содержит полезную информацию.
IANANG (я не бог Netowork), однако мне это кажется невозможным. Outlook Express должен отображаться как SMTP-клиент, поэтому вы не сможете обнаружить его на маршрутизаторе или брандмауэре. Возможно, вы сможете заблокировать IE, если сможете обнаружить строку UserAgent, но это тоже кажется сомнительным.
Я бы согласился с crchad в этом. Есть много-много обходных путей для того, чтобы предоставить права администратора.
Остальные тоже правы. Ваши пользователи несут ответственность за компьютеры, и вы пытаетесь управлять «ими», хотя и издалека и тихими средствами, вместо того, чтобы работать напрямую с соответствующими пользователями или руководством, чтобы доказать свою правоту.
Вместо того, чтобы тратить свое время на поиск технических решений, я бы посоветовал вам изучить реальные примеры того, почему они не хотят работать в той конфигурации, в которой они сейчас находятся. Какова опасность для компании в целом использования устаревший и уязвимый браузер и ОС.
В любом случае, удачи, дружище ..
С тем, что у вас есть: шансов нет.
Один из вариантов - установить перед маршрутизатором новый маршрутизатор или прокси-сервер, который проверяет сетевой трафик и блокирует приложения на его основе (насколько мне известно, это называется фильтрацией уровня 7). Однако, поскольку IE и OE используют стандартные протоколы, вы можете полагаться только на такие вещи, как строка пользовательского агента, которая также может блокировать другие браузеры и приложения.
Гораздо лучший вариант - перейти на реальный домен и применить политики.
Но с пользователями, имеющими права администратора, без домена и только с маршрутизатором домашнего пользователя, вы потерялись.
Технически, если вы заблокируете IE, некоторые приложения могут выйти из строя из-за этого, даже если они не подключаются к Интернету. IE стал основной частью операционной системы Windows, и в наши дни это становится все более и более важным.
Опять же, ваша проблема, похоже, заключается в пользователях, которые подключаются к Интернету для чтения своих писем и, возможно, для некоторых других личных вещей. Это плохо? Это случается в компаниях так часто, что это было исследовано, и, как выяснилось, люди становятся более продуктивными, если они могут использовать IE и электронную почту на работе. Одна из причин этого заключается в том, что они остаются подключенными к компьютеру, а не уходят к коллегам для быстрого разговора. Так что, если вы не разрешаете IE и OE, потому что боитесь потерять производительность, тогда вы ошибаетесь.
О безопасности ... Вы не можете действительно блокировать приложения на уровне маршрутизатора, хотя маршрутизаторы могут обнаруживать связь от определенных типов приложений. Такой браузер может блокировать IE, но разрешать Chrome или Firefox. Это подводит меня к интересной альтернативе ... Почему бы не установить и не принудительно использовать Chrome или Firefox на этих компьютерах? Это будет немного безопаснее. Если вы также хотите предоставить альтернативу электронной почте, получите Seamonkey от Mozilla, который объединяет просмотр и электронную почту в одном продукте. Тогда пользователи могут больше не использовать IE и OE. (Опять же, что-то столь же простое, как обновление Windows, может вернуть его снова.)
И на всякий случай установите на эти компьютеры хороший антивирус. Блокирование IE и OE не обеспечит их безопасность, поскольку существует множество других способов заразить компьютер. Как известно, MS-Word небезопасен, как и Acrobat Reader. Ошибка в графическом интерфейсе Windows даже сделала простые изображения JPG потенциальной опасностью, но это было исправлено в одном из обновлений.