No final, usamos um GPO para enviar um arquivo hosts que bloqueou o Facebook, o Bebo, o Myspace etc e também impediu que os usuários modificassem o arquivo hosts.
Atualmente, temos um firewall SonicWall, que faz um bom trabalho bloqueando sites de redes sociais como Facebook e Bebo. O problema que estamos tendo é que às vezes precisamos desativar temporariamente nossa lista de bloqueios de firewall para que possamos atualizar a página de nossa empresa no Facebook, por exemplo. Sempre que fazemos isso, vemos uma avalanche de usuários fazendo logon em suas páginas do Facebook durante o horário de trabalho. Então, o que precisamos é uma maneira de bloquear o acesso enquanto o firewall está inativo.
Para fins de argumentação, temos dois grupos de usuários - "gerenciamento" e "usuários padrão". "usuários padrão" não teriam acesso ao Facebook, mas os usuários de "gerenciamento" teriam acesso. Talvez algo como um redirecionamento de arquivo do host para usuários que não são de gerenciamento. Isso provavelmente poderia ser imposto via diretiva de grupo que chamaria um arquivo bat para copiar o arquivo host, dependendo se o usuário era ou não de gerenciamento. Estou interessado em ouvir qualquer sugestão sobre qual seria a melhor prática para isso em um ambiente Windows / AD.
Sim, sei que o que estamos fazendo aqui é tentar resolver um problema de RH usando TI. Mas é assim que a gerência quer e temos várias filiais semi-autônomas com as quais não temos muito contato diário, então uma maneira automatizada de aplicar isso seria o método mais preferível.
Compre uma coisa 3G dongle USB - coloque-a em um cofre, entregue a um usuário quando precisar atualizar o conteúdo bloqueado, tire-o dele quando terminar.
Ghetto sim, mas simples.
Então, sua empresa mantém uma página atual do Facebook, mas impede que seus usuários acessem? Bizarro. Se o seu AUP desestimular o acesso a sites que não funcionam (embora "não funciona" seja discutível considerando que você tem uma página FB) durante períodos de interrupção, você poderá coletar os logs de tráfego. Forneça ao gerenciamento a lista de usuários que violam a AUP durante as interrupções. Uma conversa breve e pessoal do RH / Gestão vai longe.
Manter um arquivo host para muitos usuários é penoso. Se você fornecer DNS para seus clientes, você pode facilmente ocultar o que quiser. Proxies ainda seria um problema, mas estou supondo que o seu AUP já abordaria o uso deles.
Parece um terrível júri. Os firewalls são projetados para bloquear determinadas máquinas e permitir que outras pessoas passem. Basta fornecer aos gerentes IPs estáticos e permitir o acesso desses IPs, e seu problema será resolvido. O Sonicwall tem uma lista de exclusões do CFS para esse propósito exato.
Naturalmente, seus gerentes provavelmente também usarão o Facebook, uma vez que tenham acesso livre, mas é a vida. Seria melhor você permitir a todos e monitorar seu uso. Se chegar a ser um problema, deite-os. As políticas de bloqueio não são muito uma solução e tendem a tornar as pessoas mais amargas.
Estou abordando essa questão apenas em um nível técnico.
Talvez você devesse considerar a criação de um dispositivo específico para essa finalidade, em vez de usar o recurso SonicWall.
A política padrão de descarte geralmente é recomendada para o tráfego que sai. No mínimo, 80, 443, 8080 e 8443. Em seguida, exigem um proxy para acessar a Internet.
Eu recomendaria o SQUID e o SquidGuard , que pode filtrar o acesso a sites. Configure-o para exigir autenticação, que pode até ser integrada ao AD. Um grupo privilegiado seria capaz de ignorar a filtragem. Para relatórios, algo como MySar ou SARG funciona.
A solução pode ser simples, rápida ou mais complexa, dependendo de suas necessidades, mas essa tecnologia resolverá todos os problemas.
Minha recomendação seria examinar um sistema de controle de conteúdo centralizado que possa bloquear o acesso com base no user \ group.
EDITAR
Além disso, como seus usuários ainda podem acessar a internet quando o firewall está desativado? O firewall não fornece NAT para seus endereços IP internos? O firewall não está "alinhado" com o roteador?
Minha topologia é assim:
Rede interna --- > Firewall --- > Roteador --- > Internet
Portanto, se meu firewall estiver inativo, a Internet não estará acessível.
Ao longo das linhas da resposta do @ Chopper3, sugiro fornecer um meio alternativo de acessar a Internet para usuários que você não deseja filtrar.
Se um aircard não for como você deseja, talvez seja possível ter uma porta de rede especial conectada à Internet antes do firewall. Dessa forma, os atualizadores autorizados do Facebook podem levar seus laptops a essa porta nas raras ocasiões em que precisarem atualizar o Facebook para fins de trabalho.
Talvez a configuração de um proxy protegido por senha que contorne o firewall também funcione. Dessa forma, os atualizadores autorizados do Facebook não precisariam sair de suas mesas; eles poderiam apenas alterar suas configurações de proxy.
Você pode até permitir que a TI ative / desative essas opções conforme necessário, de modo que até mesmo os usuários autorizados do Facebook não poderão usá-la sem a intervenção da TI.
Atualmente, não tenho acesso a um SonicWall, mas minha lembrança é que você poderia configurar usuários no esquema de bloqueio e quando eles tivessem a 'página bloqueada por SonicWall' você poderia dar a eles a opção de inserir um nome de usuário e senha para acessar a página. Assim, você fornece aos atualizadores autorizados do FB uma conta que permite que eles acessem o FB e, se você quiser, pode ativar / desativar a conta quando a página precisar ser atualizada.
Eu trabalhei em uma escola particular e resolvemos esse problema para free usando o OpenDNS.com . Vá para o site e inscreva-se para uma conta. Você precisará especificar a rede ou os IPs e, em seguida, configurar seu firewall para os servidores DNS do OpenDNS do usuário. A partir da interface do administrador, você pode bloquear tipos específicos de tráfego, como proxies da Internet e websites específicos, como o facebook.
Criamos uma regra de firewall para a rede interna que permitimos que esses sites usem em nossos servidores DNS do ISP.
Tags firewall hosts-file