Как закрыть определенный порт на PC, используя Active directory?
 

Как закрыть определенный порт на PC используя Active directory, в данном случае нужно закрыть порты 443 и 5190?
Должен ли быть включен встроенный брандмауэр на XP?
Имеется windows 2000 server. В сети компьютеры как с XP так и с windows 2000.

Поставьте отдельную машину или маршрутизатор. А ICQ закрывается другими путями.

Ну вобщем вчера в качестве экперемента закрыл порт 5190 спомощью ipsec в домене. Но достаточно поменять порт в клиенте, например на 5191 и клиент сново в сети. Имеется прокси(wingate) через который все ходят "гулять". Там имеется возможность закрыть порты. Но это будет глобально. Посколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений. Что можно придумать еще?
Каими другими путями закрывается icq?

saitser,
Однозначного ответа нет. http://www.google.ru/search?hl=ru&q=...q&lr=&aq=f&oq=

Есть еще вариант - групповой политикой блокировать запуск программы у юзера, плюс блок со стороны файерволла

это не выход из положения. На райняк можно имя экзешника поменять.

Однозначно нужно блочить на файрволе доступ к домену icq.com

Зарезервировать за компами юзеров статические ip адреса (на сервере DHCP настроить резервирование или руками прописать) или вообще в другую подсеть выделить. И доступ давать на основе ip адреса или подсети.

не всё так просто... Почитайте по ссылкам monkkey, там есть список подсетей.

при применении доменных политик это получится автоматом - нет домена-нет политики ограничения :)

ЗЫ. Прокси+файерволл я бы поставил на отдельной машине

В общем решил зарубить icq и mail agent всем даже те кто не в домене))
На самом деле идея изначально не нравилсь ибо я за свободу, но с руководством не поспоришь.
На wingate в extended Networck в ip blackhole прописал:
64.12.0.0 - 255.255.0.0 и 205.188.0.0-255.255.0.0 и еще 152.163.208.0-255.255.255.0
Для майл агента закрыл порты: 443,2041,2042
+ еще meebo.com, 911.ru ну стандартный аськин web-сервак.
зы: самому осталась одна лазейка - через jabber, думаю скоро юзеры начитаются и потихоньку перелезут на него)))) ну и хорошо:)
Всем спасибо за помощь!!!

А это как-то спасет ситуацию? Насколько я помню, в Software Restriction Policy ограничение на запуск можно задать по пути или хэшу файла.

я вообще не думаю что это выход из ситуации т.к. клиентов icq клиентов стает все больше и больше - за всеми не уследишь. Есть и такие, которые можно с флешки запустить. Лично я склоняюсь к запрещению аси через файрвол.

А самый хороший вариант, это административное взыскание - штраф.
Руководство пишет бамажку в которой говорится, что торчать в аське запрещено. Нарушение карается штрафом. Пру человек оштрафуют другие лазить перестанут.

Но это мое личное мнение.

Я тоже поддержку придерживающихся политики централизованного отключения.

как вариант, один из старых методов - файл hosts. Добавь туда, например, 127.0.0.1 login.icq.com и ася работать не будет.