Назад | Перейти на главную страницу

Ограничить компьютер или пользователей из Интернета, но разрешить доступ к интрасети и Центру обновления Windows / ePO?

Так что это может быть невозможно, но меня попросили попытаться найти что-нибудь об этом. Пока что я не нашел ничего возможного.

Мне нужно ограничить определенные машины или учетные записи пользователей от обычного доступа в Интернет, но позволить им иметь доступ к внутренней части нашей сети. У меня нет управления Active Directory, как и у кого-либо на моем локальном рабочем месте (корпоративный контроль в другом штате). Я пробовал пройти через IPsec и сделать это на локальном компьютере, но эта система, похоже, была удалена из образов, установленных на этих машинах, поэтому ее нет.

Пока что единственный другой вариант, о котором я могу думать, - это присвоение машинам определенного IP-адреса и удаление их доступа к шлюзу. Это, вероятно, сработает, но машины должны иметь возможность получать обновления, которые отправляются им через ePO и LanDesk.

Я действительно хотел бы сделать это на уровне пользователя, потому что тогда, если мне нужно выполнить техническую работу с машиной и мне понадобится доступ в Интернет, я смогу добраться до нее, но «специальный» пользователь может войти в систему и не сможет ни к чему входить.

Я узнал, как буду это делать. Создан специальный файл noaccess.rat для советника по содержанию для Internet Explorer. Добавлены адреса, к которым им нужен доступ, и ничего больше. Задача решена.

Внешний брандмауэр / маршрутизатор, вероятно, самый безопасный. Вы можете настроить обнесенный стеной портал для сада / захвата (очень похожий на те, которые вы получаете при входе в точку доступа Wi-Fi), который разрешает доступ к вашим службам обновления, но ничего больше, если не введен пароль суперпользователя.

Это определенно то, что лучше делать в сети.

Вы можете использовать взломанный дешевый маршрутизатор, чтобы использовать что-то вроде http://www.dd-wrt.com/

Вы можете подключить это между сетью вашей компании и компьютерами, которые хотите изолировать.

Вы должны иметь возможность использовать страницу администратора маршрутизатора, чтобы разрешить доступ к вашей локальной сети и некоторым сетям из белого списка (для ваших обновлений), но ограничить все остальные.

Преимущество выполнения этого на сетевом уровне заключается в том, что вы блокируете всю сеть, а не только DNS или порт 80/443 (web / ssl), как это делают некоторые решения этой проблемы. И то, и другое могут легко обойти знающие пользователи, но пользователям гораздо сложнее обойти скрытый портал. Не невозможно, но тогда нет ничего!

Форумы DD-WRT должны быть в состоянии помочь вам в этом.

Могут быть коммерческие решения, позволяющие добиться того же. Технически любой брандмауэр в стиле Layer 7 может это делать, поскольку он может проверять пакеты TCP / IP и изменять / блокировать их в реальном времени в соответствии с указанными правилами. Предоставляется ли эта функциональность на уровне пользователя в конкретном продукте - это то, что нужно обсудить с производителем.

Однако, если вам не разрешено делать это в своей сети из-за политики компании, вы можете:

(i) изучить программное обеспечение, предназначенное для предотвращения доступа детей в Интернет без патентного надзора; или

(ii) посмотрите, позволяет ли программный брандмауэр вносить определенные сети в белый / черный список. Вы можете занести в белый список свою внутреннюю сеть и определенные сети, к которым хотите подключиться, и занести в черный список все остальное.