Bloqueando totalmente o Acesso à Internet através da Diretiva de Grupo no Windows Server 2008 R2

Navegue suas respostas
2

Eu preciso bloquear o acesso à Internet para alguns usuários em nossos servidores Windows 2008 R2. Se você pesquisar no Google, encontrará muitos resultados que propõem desabilitar o Internet Explorer e configurar um proxy para 0.0.0.0. Infelizmente isso pode facilmente ser ignorado usando um Firefox portátil, por exemplo.

Existe uma solução mais restritiva? Eu preciso encontrar uma maneira que mesmo telnet, ftp etc. não funcionem.

Obrigado pela sua ajuda!

Atualização para esclarecimentos: gostaria de bloquear o acesso à Internet apenas para alguns usuários, nem todos ou todos neste servidor.

    
por Heinrich 07.12.2011 / 13:37

5 respostas

8

A melhor solução é provavelmente fazer isso no nível da rede com um proxy. Você pode forçar todo o tráfego da Internet através do proxy usando o WCCP ou algo semelhante e não configurar nada nos próprios hosts. Caso contrário, acho que você pode configurar o firewall do Windows para proibir esse tráfego de saída por meio do GPO, o que traria todo o tráfego de saída. Além disso, como é um servidor, provavelmente tem um IP estático e você pode bloquear o tráfego de saída em seu firewall de perímetro - supondo que esteja tentando bloquear o acesso à Internet do próprio servidor - não ficou claro para mim se você quer dizer todos os usuários (usando o servidor e o GPO para realizar) ou se você quiser bloquear o acesso de seus servidores.

    
por 07.12.2011 / 13:48
2

... por que não apenas configurar o gateway no DHCP para um endereço não roteado ou um endereço em branco para que o tráfego não saia? Defina-o para o endereço MAC desse usuário para que ele obtenha sempre o endereço de gateway (incorreto).

Caso contrário, faça proxy dele, registre-o e, em seguida, dispare-o se esse for um problema de disciplina comercial.

    
por 07.12.2011 / 14:41
2

Você pode usar um proxy para isso ou pode configurar uma ACL (lista de controle de acesso) no roteador para bloquear o tráfego de saída das estações de trabalho em questão.

    
por 07.12.2011 / 14:57
2

Eu odeio dar uma recomendação comercial cara, mas o Barracuda Web Filter 310 faz tudo o que você está pedindo e pode definitivamente vincular sua topologia do AD. Ele tem reconhecimento de conteúdo e protocolo, portanto, você pode restringir downloads, telnet, ftp etc. em uma base de usuário ou grupo.

    
por 07.12.2011 / 15:30
0

A única opção realista provavelmente é desabilitar o acesso direto à Internet, forçando todo o tráfego da Internet através de um proxy. Em seguida, configure esse proxy para exigir autenticação (idealmente contra o Active Directory [AD]). Dessa forma, todos precisam se autenticar para entrar online.

Desvantagens:

  • Se qualquer programa no servidor exigir acesso à rede, ele precisará obter contas de serviço especiais que concedam acesso (seja contas reais do AD ou apenas contas especiais no proxy). É claro que essas contas precisam ser protegidas.
  • Se alguns programas ou usuários exigirem protocolos que não podem ser facilmente convertidos em proxy (por exemplo, protocolos exóticos), você terá que encontrar uma solução caso a caso.
  • Isso significa configuração extra para todos os usuários (embora eu acredite que alguns navegadores possam se conectar automaticamente a um proxy)

Eu nunca implementei isso, mas acredito que deveria funcionar. Pelo menos o Squid permite que você autenticar em um AD ; Eu suponho que outros proxies podem fazer o mesmo.

    
por 14.12.2011 / 10:15

Tags

Apontando https para um servidor diferente, então http? Grupo de segurança aninhado no Active Directory