Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   Запрет доступа к Интернету (http://forum.oszone.net/showthread.php?t=105621)

BlackWhite 23-04-2008 16:38 787614

Запрет доступа к Интернету
 
Добрый день.
У меня вопрос.
Как запретить доступ в Интернет отдельным (или всем) пользователям, не являющимися администраторами ?

Пока частично решил эту проблему, запретив через локальную политику безопасности доступ юзерам к папке "Internet Explorer". Но я хотел бы запретить полностью доступ в Интернет всем программам (почтовым клиентам, аськам и т.п.) для пользователей, не являющимися администраторами.

Можно ли это сделать штатными средствами Windows XP ?

Pili 23-04-2008 17:46 787667

Цитата:

Цитата BlackWhite
запретив через локальную политику безопасности доступ юзерам к папке "Internet Explorer" »

можно запретить доступ и к др. папкам, ICQ и все прочее ПО просто не устанавливать, но, имхо, не очень корректное решение, т.к. может повлиять на др. программы, которым необходим IE (а также корп. сайт, почта и прочее)
Легче (и меньше трудозатрат) ограничивать доступ с помощью прокси, если только штатные средства - Windows XP как шлюз, на нем ICF (+можно firewall для ограничения доступа по ip адресам), как вариант, если на компьютерах пользователей, уже есть настроенный шлюз для доступа в интернет - убрать его для тех пользователей, которым интернет не нужен.

BlackWhite 23-04-2008 18:24 787694

Да. Хотелось бы решить меньшими трудозатратами.
Помню, сталкивался с вирусами, которые рушили доступ в Интернет.
После этого лечил компьютер AVZ и еще какими-то утилитами, которые восстанавливали работоспособность неких компонентов, обеспечивающих доступ в Интернет.
Вот бы узнать, какие это компоненты и запретить к ним доступ через локальную политику безопасности.
По возможности, подскажите. Спасибо.

Pili 23-04-2008 18:36 787706

Цитата:

Цитата BlackWhite
сталкивался с вирусами, которые рушили доступ в Интернет. »

С этим надо боротья по другому - превентивные меры, антивирус на прокси, пользователи с ограниченными правами, антивир (желательно другой нежели на прокси), регулярные обновления антивир. баз, запрет автозапуска со съемных носителей (флешек и др.), отключение не нужных служб и прочее
Если кол-во пользователей большое, поднять домен и в групп. политике - Software Restriction Policies
How To Use Software Restriction Policies in Windows Server 2003
Using Software Restriction Policies to Protect Against Unauthorized Software
Description of the Software Restriction Policies in Windows XP
Chapter 6: Software Restriction Policy for Windows XP Clients

BlackWhite 24-04-2008 16:11 788326

Уважаемый Piligrim.
Чувствуется, что вы обладаете огромным объемом информации в этой области.
В моем случае, вероятно, все элементарно.
Имеется отдельно стоящий компьютер, подключенный к Интернету через ADSL модем (используя сетевую карточку). Нужно запретить выход в интернет всем пользователям этого компьютера, кроме администратора.

Может быть, воспользоваться для этой цели встроенным брандмауэром ?
Правда, я не знаю, можно ли его настроить отдельно для пользователя, отдельно для администратора, а затем запретить его перенастройку пользователям ?
Может быть, существует другой способ, о котором я и не подозреваю ?

(Естественно, я знаю о существовании разнообразных программ для раздачи и ограничения интернет-трафика пользователям, но хотелось бы обойтись без их покупки, тем более взлома.
Задачи учета трафика не стоит, только полного запрета).

Pili 24-04-2008 17:11 788379

BlackWhite, нет ,встроенный брандмауэр не контролирует исходящие соединения. Если сет. карта больше ни для чего не используется, кроме выхода в интернет, могу посоветовать отключать сетевую карту, пользователи со своими правами не смогут её включить, или автоматизировать процесс вкл/выкл сет. карты с помощью devcon, gpedit.msc - конфигурация компьютера - сценарии - авотзагрузка - добавить disable_net.bat, в этом файле прописать
devcon disable [device ID]
[device ID] - смотрим в диспетчере устройств в свойствах сет. карты - сведения или через devcon
Если как-то по другому, то ставить напр. касперского (или др. аналогичный софт), включать антихакер, настраивать правила, запрещающие всё или что-то конкретное, под админом - выключать антихакера (можно бесплатный firewall так же настроить, напр. WIPFW - позволяет контролировать исх. соединения)

Vadikan 24-04-2008 21:43 788576

BlackWhite, поставьте любой фаервол, который умеет закрывать доступ к своим настройкам паролем (иногда и это необязательно в том случае, если настройки фаервола недоступны обычным пользователям).

BlackWhite 25-04-2008 16:05 789084

Может, кто-нибудь посоветует файрволл, настройки которого могут быть индивидуальны для каждого пользователя Windows (или по крайней мере можно настроить отдельно для администраторов, отдельно для простых юзеров).
Цель такая: заходит юзер под своим логином - файрволл ему блокирует интернет; заходит администратор - интернет ему открыт (естественно в автомате - один раз настроил и забыл).
Антихакер от Касперыча такого не может - звонил в службу техподдержки.

Pili 25-04-2008 17:32 789139

BlackWhite, это конечно извращение, но можете попробовать в WIPFW такое реализовать: под админом ставите в планировщик заданий (или в автозагрузку) bat файл, в котором выключаете WIPFW или запуск с конфигурацией в котором правило allow all , при входе др. пользователя ставите запуск wipfw с настроенным по другой конфигурации правилами. Итого может быть несколько конфигураций WIPFW для каждого пользователя.


Время: 03:24.

Время: 03:24.
© OSzone.net 2001-