1.使用硬體設備 Firewall...等,但要花錢!
2.裝proxy Server,需要一點技術,不會就找廠商花錢!
3.偷吃步一,騙騙一般USER
(1)在內部建立一個DNS,只會解析內部網站(如10.0.1.0/255.25.255.0 )
(2)透過DHCP將所有USER的DNS指到這一台
(3)一般USER因為解析不到外部網站,所以IE開了無用。
破解:
(1)打IP囉
(2)自己更改DNS到其他(如中華168.95.1.1),這個可以透過防火牆GPO來鎖
4.偷吃步二,騙騙一般USER
(1)透過GPO將IE設定一個假的proxy(如 1.1.1.1 8080),設定排除內部網站
(2)當開啟IE時,就只能連接內部網站(設定排除範圍的)
(3)再加一道鎖,透過防火牆GPO將DNS port全鎖!
缺點:如果是NB拿到公司外,也沒法上網(proxy被鎖定)
破解:
(1)打IP囉
(2)自己裝Firefox or 其他瀏覽器
你是否考慮使用Web Proxy? 如squid-cache.org?
直接設定XP系統,我想這樣不是解決問題喔
因為小白可能會知道你改了什麼再竄改回來
這時候你還是無法完全阻止使用者行為
建議還是透過網管設備直接設定使用者可讀取之網段
這可以防止USER換NB或是修改設定上問題
題目很明顯 使用防火牆來管控允許的網段(例如 10.0.1.0/255.255.255.0) 或特定的主機
最簡單的作法:
在Internet Firewall 或 Internet Router(Gateway)
開一條Policy/ACL for Http/Https allow 允許的網段(例如 10.0.1.0/255.255.255.0) 或特定的主機 其餘Drop
內部網段不用檔,因為封包不會繞到 Firewall/Gateway
這屬於正向表列白名單,有在Policy/ACL允許的清單內才可以連的到
不需要動到 DNS / XP / GPO / IE.......
學bestken大大,提供破解方法
不過這一個破解方法一般User可能不太會用,要高段一點的
1.將HTTP封包偽裝成其他開放的通訊協定,如Telnet/DNS/FTP/VPN,再透過在外界(User家裡固定上網主機)架設類似IP-Tunnel/Proxy的主機,還原成 HTTP 封包上網。
這方法真的有點難,小弟之前待的4000人的小公司只有1個人這樣玩,結果還是被逮到...砍頭... :)
可以使用硬體防火牆的方式來加以控管
好處:
1.這樣 USER 就無法去竄改相關設定值
2.方便管理
缺點:
1.需要規劃內部資訊系統硬體的相關設備
2.費用不怎麼便宜,但也要看你們公司是屬於哪種的產業
不同的產業它所花的費用當然不一樣
在這一方面需加以思考,也要審慎的評估
如果你的dsn伺服器也安裝了路由及遠端存取服務的話是可行的。
做法:
打開路由及遠端存取mmc-->nat/基本防火牆(擇選對外或對內的網卡皆可)-->點二下該網卡-->輸出篩選器-->新增-->輸入要開放的網站ip-->丟棄所有封包-->確定-->套用-->確定。
要注意的是如果該網頁內含其他ip的連結(如圖片)記得也要一併輸入,否則以it幫幫忙來說會等到超時。
樓上各家的解答都太用力了些,動用到太多其他的資源了。
微軟自己就提供了 SteadyState 就解決了此問題。
有圖有真相,如下圖所示:
在 User Settings 裡,針對該使用者,
在Feature Restrictions,勾選 Prevent Internet access (except Web sites below)
然後在下面的 Web Addressess Allowed 指定可瀏覽的網域。
當然,前提是該帳號的權限,應該是不可以自行執行或安裝自己帶來的程式,
不然從隨身碟中執行安裝 Firefox 的檔就破功了…
當然,也不能有權限去執行 SteadyState…
基本上 SteadyState 是個還不錯的管理電腦的工具。