Показать полную графическую версию : Запрет доступа к Интернету
BlackWhite
23-04-2008, 16:38
Добрый день.
У меня вопрос.
Как запретить доступ в Интернет отдельным (или всем) пользователям, не являющимися администраторами ?
Пока частично решил эту проблему, запретив через локальную политику безопасности доступ юзерам к папке "Internet Explorer". Но я хотел бы запретить полностью доступ в Интернет всем программам (почтовым клиентам, аськам и т.п.) для пользователей, не являющимися администраторами.
Можно ли это сделать штатными средствами Windows XP ?
запретив через локальную политику безопасности доступ юзерам к папке "Internet Explorer" »
можно запретить доступ и к др. папкам, ICQ и все прочее ПО просто не устанавливать, но, имхо, не очень корректное решение, т.к. может повлиять на др. программы, которым необходим IE (а также корп. сайт, почта и прочее)
Легче (и меньше трудозатрат) ограничивать доступ с помощью прокси, если только штатные средства - Windows XP как шлюз, на нем ICF (+можно firewall для ограничения доступа по ip адресам), как вариант, если на компьютерах пользователей, уже есть настроенный шлюз для доступа в интернет - убрать его для тех пользователей, которым интернет не нужен.
BlackWhite
23-04-2008, 18:24
Да. Хотелось бы решить меньшими трудозатратами.
Помню, сталкивался с вирусами, которые рушили доступ в Интернет.
После этого лечил компьютер AVZ и еще какими-то утилитами, которые восстанавливали работоспособность неких компонентов, обеспечивающих доступ в Интернет.
Вот бы узнать, какие это компоненты и запретить к ним доступ через локальную политику безопасности.
По возможности, подскажите. Спасибо.
сталкивался с вирусами, которые рушили доступ в Интернет. »
С этим надо боротья по другому - превентивные меры, антивирус на прокси, пользователи с ограниченными правами, антивир (желательно другой нежели на прокси), регулярные обновления антивир. баз, запрет автозапуска со съемных носителей (флешек и др.), отключение не нужных служб и прочее
Если кол-во пользователей большое, поднять домен и в групп. политике - Software Restriction Policies
How To Use Software Restriction Policies in Windows Server 2003 (http://support.microsoft.com/kb/324036)
Using Software Restriction Policies to Protect Against Unauthorized Software (http://technet.microsoft.com/en-us/library/bb457006.aspx)
Description of the Software Restriction Policies in Windows XP (http://support.microsoft.com/kb/310791)
Chapter 6: Software Restriction Policy for Windows XP Clients (http://www.microsoft.com/technet/security/prodtech/windowsxp/secwinxp/xpsgch06.mspx)
BlackWhite
24-04-2008, 16:11
Уважаемый Piligrim.
Чувствуется, что вы обладаете огромным объемом информации в этой области.
В моем случае, вероятно, все элементарно.
Имеется отдельно стоящий компьютер, подключенный к Интернету через ADSL модем (используя сетевую карточку). Нужно запретить выход в интернет всем пользователям этого компьютера, кроме администратора.
Может быть, воспользоваться для этой цели встроенным брандмауэром ?
Правда, я не знаю, можно ли его настроить отдельно для пользователя, отдельно для администратора, а затем запретить его перенастройку пользователям ?
Может быть, существует другой способ, о котором я и не подозреваю ?
(Естественно, я знаю о существовании разнообразных программ для раздачи и ограничения интернет-трафика пользователям, но хотелось бы обойтись без их покупки, тем более взлома.
Задачи учета трафика не стоит, только полного запрета).
BlackWhite, нет ,встроенный брандмауэр не контролирует исходящие соединения. Если сет. карта больше ни для чего не используется, кроме выхода в интернет, могу посоветовать отключать сетевую карту, пользователи со своими правами не смогут её включить, или автоматизировать процесс вкл/выкл сет. карты с помощью devcon, gpedit.msc - конфигурация компьютера - сценарии - авотзагрузка - добавить disable_net.bat, в этом файле прописать
devcon disable [device ID]
[device ID] - смотрим в диспетчере устройств в свойствах сет. карты - сведения или через devcon
Если как-то по другому, то ставить напр. касперского (или др. аналогичный софт), включать антихакер, настраивать правила, запрещающие всё или что-то конкретное, под админом - выключать антихакера (можно бесплатный firewall так же настроить, напр. WIPFW - позволяет контролировать исх. соединения)
BlackWhite, поставьте любой фаервол, который умеет закрывать доступ к своим настройкам паролем (иногда и это необязательно в том случае, если настройки фаервола недоступны обычным пользователям).
BlackWhite
25-04-2008, 16:05
Может, кто-нибудь посоветует файрволл, настройки которого могут быть индивидуальны для каждого пользователя Windows (или по крайней мере можно настроить отдельно для администраторов, отдельно для простых юзеров).
Цель такая: заходит юзер под своим логином - файрволл ему блокирует интернет; заходит администратор - интернет ему открыт (естественно в автомате - один раз настроил и забыл).
Антихакер от Касперыча такого не может - звонил в службу техподдержки.
BlackWhite, это конечно извращение, но можете попробовать в WIPFW (http://wipfw.sourceforge.net/index-ru.html) такое реализовать: под админом ставите в планировщик заданий (или в автозагрузку) bat файл, в котором выключаете WIPFW или запуск с конфигурацией в котором правило allow all , при входе др. пользователя ставите запуск wipfw с настроенным по другой конфигурации правилами. Итого может быть несколько конфигураций WIPFW для каждого пользователя.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2024, Jelsoft Enterprises Ltd.