GPO как запретить использование https? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - GPO как запретить использование https? (http://forum.oszone.net/showthread.php?t=288004)

GPO как запретить использование https?

Подскажите пожалуйста можно ли запретить использование https политикой?

только https? что бы при этом работали другие сайты http?
или все же хочешь по конкретным адрессам убить

ну лучше конечно конкретные ресурсы, или накрайняк просто https.
Есть пользователи, которые научились ходить на ресурсы по https, squid блокирует у меня только http,вот и хочу политиками им https Закрыть

dartne, конкретные ресурсы, это для прокси или Forefront microsoft

могу подсказать как сделать что бы могли зайти только на нужные вам сайты, и никакие другие не откроются

+ вопрос: домен или рабочая группа? кому запрещать будем? пользователям или компам

GAMA123, домен,Squid,Iptables

dartne
GPO здесь вряд ли поможет.
Блокируйте на шлюзе:

Код:

iptables -I FORWARD -p tcp --dport 443 -j DROP

Если нужно закрыть конкретные сайты, вот пример блокировки вконтакта:

Код:

iptables -I FORWARD -p tcp -d 82.96.196.0/24 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 87.240.128.0/18 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 87.240.128.0/19 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 87.240.160.0/19 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 93.186.224.0/21 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 93.186.232.0/21 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.142.192.0/20 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.142.192.0/21 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.142.200.0/21 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.142.201.0/24 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.142.202.0/24 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.213.0.0/17 --dport 443 -j DROP

iptables -I FORWARD -p tcp -d 95.213.0.0/18 --dport 443 -j DROP

jameszero, Тут печалька, у пользователь DHCP Динамические IP, придется всем 400 пользователям назначать статику, постоянно отслеживать, у кого есть доступ, у кого нету, постоянно мониторить на каком IP какой хост, работающий по https живет :(

Как вариант рассматриваю GPO с запретом на редактирование прокси, и прокси какой нибудь 127.0.0.1, чтобы пользователь не смог сам менять :)
Но опять же, если особо умный пользователь запустит "левый" браузер, то придется мониторить таких пользователь и баник по EXE запуск подобных браузеров...

Я правильно понимаю, что вы отключите для клиентов половину сайтов (в том числе весь интернет-банкинг), и всё в порядке, вам за это ничего не будет?

Цитата:

Цитата dartne

у пользователь DHCP Динамические IP »

IP выделяются вашим же сервером на W2008 R2, его DHCP?

Тогда настройте сеть нормально, прописав имеющихся клиентов в таблицу статических адресов по MAC-адресам (в настройках DHCP-сервера можно экспортировать список текущих клиентов и использовать его для прописывания статических адресов методом Copy/Paste; возможно даже можно использовать список целиком – но сюда не лазил).

При этом любому из клиентов можно будет здесь же настроить индивидуальные ограничения или особенности, типа: "А вот этому можно иметь доступ к внутренней сети – но в интернет ни шагу!", "А мне идти в интернет не через общий шлюз по умолчанию, а через резервный шлюз", "А вот этому перекрыть стандартный порт https" и т.д.

Список таких адресов можно сохранить затем в отдельный файл на свой компьютер, чтобы при возникновении проблем или вопросов практически мгновенно получать ответ на вопросы типа: "А кто это там у нас безобразничает с такого-то адреса?".

Разовая работа (ну и поддержание в актуальном состоянии при появлении новых клиентов и удалении выбывших, типа напрочь сломавшихся компьютеров) – зато позже ещё не раз это пригодится.