Назад | Перейти на главную страницу

Полное блокирование доступа в Интернет с помощью групповой политики в Windows Server 2008 R2

Мне нужно заблокировать доступ в Интернет для некоторых пользователей на наших серверах Windows Server 2008 R2. Если вы погуглите этот вопрос, вы найдете много результатов, в которых предлагается отключить Internet Explorer и установить прокси-сервер на 0.0.0.0. К сожалению, это можно легко обойти, используя, например, портативный Firefox.

Есть ли более ограничительное решение? Мне нужно найти способ, чтобы даже telnet, ftp и т. Д. Не работали.

Спасибо за вашу помощь!

Обновление для уточнения: Я хотел бы заблокировать доступ в Интернет только для некоторых пользователей, но не для всех на этом сервере.

Лучшее решение, вероятно, сделать это на сетевом уровне с помощью прокси. Вы можете заставить весь интернет-трафик через прокси-сервер, используя WCCP или подобное, и ничего не настраивать на самих хостах. В противном случае, я думаю, вы могли бы настроить брандмауэр Windows, чтобы запретить этот исходящий трафик через GPO, который перехватил бы весь исходящий трафик. Кроме того, поскольку это сервер, он, вероятно, имеет статический IP-адрес, и вы можете просто заблокировать исходящий трафик на своем брандмауэре периметра - при условии, что вы на самом деле пытаетесь заблокировать доступ в Интернет с самого сервера - мне было непонятно, если вы имеете в виду всех пользователей (используя сервер и GPO для выполнения) или если вы просто хотите заблокировать доступ со своих серверов.

Вы можете использовать для этого прокси-сервер или настроить ACL (список управления доступом) на своем маршрутизаторе, чтобы блокировать исходящий трафик с рассматриваемых рабочих станций.

... почему бы просто не установить шлюз в DHCP на немаршрутизируемый адрес или пустой адрес, чтобы трафик не выходил? Установите его для MAC-адреса этих пользователей, чтобы они всегда получали этот (неправильный) адрес шлюза.

В противном случае проксируйте его, регистрируйте, а затем увольняйте, если это проблема бизнес-дисциплины.

Ненавижу давать дорогие коммерческие рекомендации, но Веб-фильтр Barracuda 310 делает все, что вы просите, и определенно может быть привязан к вашей топологии AD. Он поддерживает контент и протокол, поэтому вы можете ограничивать загрузки, telnet, ftp и т. Д. Для отдельных пользователей или групп.

Единственный реальный вариант, вероятно, - отключить прямой доступ в Интернет, тем самым заставив весь интернет-трафик проходить через прокси. Затем настройте этот прокси-сервер так, чтобы он требовал аутентификации (в идеале против Active Directory [AD]). Таким образом, каждый должен пройти аутентификацию, чтобы выйти в Интернет.

Недостатки:

  • Если какие-либо программы на сервере требуют доступа к сети, им необходимо получить специальные учетные записи служб, которые предоставляют им доступ (либо реальные учетные записи AD, либо просто специальные учетные записи на прокси-сервере). Эти учетные записи, конечно, необходимо будет защитить.
  • Если некоторым программам или пользователям требуются протоколы, которые нелегко проксировать (например, экзотические протоколы), вам нужно будет найти индивидуальное решение.
  • Это будет означать дополнительную настройку для всех пользователей (хотя я считаю, что некоторые браузеры могут автоматически входить в прокси-сервер)

Я никогда не реализовывал это, но считаю, что это должно работать. По крайней мере Кальмар позволяет вам аутентифицироваться по AD; Я предполагаю, что другие прокси могут делать то же самое.