Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Как закрыть определенный порт на PC, используя Active directory? (http://forum.oszone.net/showthread.php?t=134311)

saitser 10-03-2009 15:23 1059703

Как закрыть определенный порт на PC, используя Active directory?
 
Как закрыть определенный порт на PC используя Active directory, в данном случае нужно закрыть порты 443 и 5190?
Должен ли быть включен встроенный брандмауэр на XP?
Имеется windows 2000 server. В сети компьютеры как с XP так и с windows 2000.

monkkey 10-03-2009 15:37 1059714

Поставьте отдельную машину или маршрутизатор. А ICQ закрывается другими путями.

saitser 11-03-2009 09:31 1060334

Ну вобщем вчера в качестве экперемента закрыл порт 5190 спомощью ipsec в домене. Но достаточно поменять порт в клиенте, например на 5191 и клиент сново в сети. Имеется прокси(wingate) через который все ходят "гулять". Там имеется возможность закрыть порты. Но это будет глобально. Посколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений. Что можно придумать еще?
Каими другими путями закрывается icq?

monkkey 11-03-2009 10:01 1060353

saitser,
Однозначного ответа нет. http://www.google.ru/search?hl=ru&q=...q&lr=&aq=f&oq=

dmitryst 11-03-2009 14:41 1060554

Есть еще вариант - групповой политикой блокировать запуск программы у юзера, плюс блок со стороны файерволла

artem_ 11-03-2009 14:50 1060569

Цитата:

Цитата dmitryst
блокировать запуск программы у юзера »

это не выход из положения. На райняк можно имя экзешника поменять.

Однозначно нужно блочить на файрволе доступ к домену icq.com

Цитата:

Цитата saitser
осколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений. Что можно придумать еще? »

Зарезервировать за компами юзеров статические ip адреса (на сервере DHCP настроить резервирование или руками прописать) или вообще в другую подсеть выделить. И доступ давать на основе ip адреса или подсети.

dmitryst 11-03-2009 15:18 1060592

Цитата:

Цитата artem_
Однозначно нужно блочить на файрволе доступ к домену icq.com »

не всё так просто... Почитайте по ссылкам monkkey, там есть список подсетей.

Цитата:

Цитата artem_
осколько в локалке есть еще люди которые не в домене и которые нуждаются в интернете без каких либо ограничений »

при применении доменных политик это получится автоматом - нет домена-нет политики ограничения :)

ЗЫ. Прокси+файерволл я бы поставил на отдельной машине

saitser 11-03-2009 21:38 1060977

В общем решил зарубить icq и mail agent всем даже те кто не в домене))
На самом деле идея изначально не нравилсь ибо я за свободу, но с руководством не поспоришь.
На wingate в extended Networck в ip blackhole прописал:
64.12.0.0 - 255.255.0.0 и 205.188.0.0-255.255.0.0 и еще 152.163.208.0-255.255.255.0
Для майл агента закрыл порты: 443,2041,2042
+ еще meebo.com, 911.ru ну стандартный аськин web-сервак.
зы: самому осталась одна лазейка - через jabber, думаю скоро юзеры начитаются и потихоньку перелезут на него)))) ну и хорошо:)
Всем спасибо за помощь!!!

Oleg Krylov 11-03-2009 22:38 1061040

Цитата:

Цитата artem_
На райняк можно имя экзешника поменять »

А это как-то спасет ситуацию? Насколько я помню, в Software Restriction Policy ограничение на запуск можно задать по пути или хэшу файла.

artem_ 12-03-2009 11:21 1061420

Цитата:

Цитата Oleg Krylov
Software Restriction Policy »

я вообще не думаю что это выход из ситуации т.к. клиентов icq клиентов стает все больше и больше - за всеми не уследишь. Есть и такие, которые можно с флешки запустить. Лично я склоняюсь к запрещению аси через файрвол.

А самый хороший вариант, это административное взыскание - штраф.
Руководство пишет бамажку в которой говорится, что торчать в аське запрещено. Нарушение карается штрафом. Пру человек оштрафуют другие лазить перестанут.

Но это мое личное мнение.

Dimas_83 12-03-2009 21:47 1062119

Я тоже поддержку придерживающихся политики централизованного отключения.

как вариант, один из старых методов - файл hosts. Добавь туда, например, 127.0.0.1 login.icq.com и ася работать не будет.


Время: 11:28.

Время: 11:28.
© OSzone.net 2001-