-192 / 2 / 1
Регистрация: 08.08.2019
Сообщений: 305
|
|
1 | |
Закрытие входа на сайты06.11.2019, 09:38. Показов 3911. Ответов 85
Метки нет (Все метки)
Добрый день, подскажите как можно закрыть доступ на сайты кроме одного, host или как его там не предлагать, я все устану записывать.
вроде как то можно через антивирус, но вот какой (желательно бесплатный) и как в нем можно это сделать. Кто может пошагово объясните, че и куда, а то нет инфы. нашел только через че можно а как не кто не говорит.
0
|
06.11.2019, 09:38 | |
Ответы с готовыми решениями:
85
Ошибка при попытке входа на разные сайты Передача переменной из формы в точку входа и из точки входа в форму Убрать с сайта кнопку входа после самого входа Что такое точка входа? (opengl32.dll была загружена, но найти точку входа для DllRegisterServer не удалось.) |
38 / 36 / 12
Регистрация: 06.12.2013
Сообщений: 330
|
|
08.11.2019, 13:05 | 41 |
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 13:12 | 42 |
И опять перечитаем уже предложенное:
А ваше решение "На пограничной с Интернетом железке заблокируйте TCP 80 и 443", позволит пользователю настроить внешний прокси-сервер, например, на порту 8080 и ходить по всему И-нету Добавлено через 3 минуты
0
|
38 / 36 / 12
Регистрация: 06.12.2013
Сообщений: 330
|
|
08.11.2019, 13:13 | 43 |
а ограничение для созданных групп ничего не дает? если одним разрешили одно вторым другое? и если как выше сказано пользователи не имеют прав администратора можно запретить менять настройки хоть шлюза хоть днс хоть прокси
0
|
3049 / 1056 / 475
Регистрация: 29.05.2016
Сообщений: 4,440
|
|
08.11.2019, 13:16 | 44 |
Возможность настройки данного функционала легко блокируется в доменной сети
Добавлено через 1 минуту Насколько мне известно порты 80 и 443 далеко не all порты, используемые в глобальной сети
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 13:28 | 45 |
Отлично, с помощью одного решения оставляем часть портов открытыми, а затем с помощью другого начинаем с ними бороться. Зато всегда есть чем заняться
И чего сразу не дописали, что дополнительно к вашему решению понадобится, через так не любимое автором GPO, прокси запрещать? Ну и прокси на порту отличном от 80 и 443, это только первая дыра в вашем решение, оставь хоть что-то незакрытым и ушлый народ начинает туннели через dns строить Так и будете потом за всем гоняться? Добавлено через 2 минуты И поэтому вы предложили блокировать только их???
0
|
3049 / 1056 / 475
Регистрация: 29.05.2016
Сообщений: 4,440
|
|
08.11.2019, 13:38 | 46 |
Вопрос какой был? Запретить, а не изучать IT-способности пользователя, который будет искать дыры в решениях.
Человек был и остаётся самым ненадёжным элементом IT-безопасности. Поэтому данной категорией граждан пусть занимается IT-безопасность Добавлено через 1 минуту А Вы знаете ещё настолько же популярные порты в веб-серфинге?
0
|
-192 / 2 / 1
Регистрация: 08.08.2019
Сообщений: 305
|
|
08.11.2019, 13:44 [ТС] | 47 |
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 14:04 | 48 |
А вы выполнили его на 0,004% запретив 2 из 65535
Причём здесь вообще популярность TCP порта? Если открыт хоть один порт в И-нет, я организую вам через него web-сёрфинг. Например, запускаю опубликованный через RemoteApp браузер и вот вам web-сёрфинг через (TCP 3389) И это мы ещё не начали всякие туннели рассматривать...
1
|
-192 / 2 / 1
Регистрация: 08.08.2019
Сообщений: 305
|
|
08.11.2019, 14:06 [ТС] | 49 |
я же раньше писал что брандмаур не выход, он сам по себе не понять как работает так еще в запутанную сеть пробовать его применить, представьте вы попадаете в организацию с 200 машинами, по 10 машин где то на группу, примерно 20 групп, из этих групп какая то часть вообще не может работать с брандмауром, ресурс просит отключить, это уже повод отказаться
0
|
KDE777
|
08.11.2019, 14:08
#50
|
0
|
08.11.2019, 14:24 | 51 |
Не по теме: В споре рождаются грибки. Ещё раз - костыль с прокси не годится почему то. Брандмауэр встроенный этого делать не умеет - никто не смог показать конфиг с примером. Групповые политики (по сути то же самое регулирование брандмауэра и прокси, но с контроллера) этого не умеют. Шлюз автор трогать не хочет (по сути будут группы профилей, то же самое прокси и лишняя пара логин-пароль). Детский режим операционной системы использовать не хотим потому что слишком показательно и объект может обидеться. Бесплатные антивирусы такого модуля не имеют. Коммерческие программы учёта и ограничения на то и коммерческие. Хостс умеет делать то, что надо, но наоборот. Запрещая по одной записи. Всё? Глына? Какие ещё есть принципиально новые идеи? Мне уже тоже интересно. Вот есть у меня домен (и KSC в нём есть, и в ДНС-сервере я всякое разное блокирую) а не сторонними программами и не на стороне контроллера или шлюза я такое без геморроя заблокировать не сумею, получается?
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 14:27 | 52 |
Вот поэтому я вам сразу и написал, что с вашим подходом помогут только деньги.
Т.е. идите к тому кто вам поставил задачу ограничить доступ и объясните: Решение 1 - купить лицензии на Kaspersky Endpoint Security (или подобное решение) Решение 2 - взять на работу специалиста с зп в 3-4 раза выше чем у вас и тогда уверяю, что даже встроенными средствами (тем более уже есть централизованное управление через AD) он решит эту задачу, пока вы будете "собирать из мусора комп с линуксом, чтоб чистить флешки" А из "Решения 2" есть ещё и вывод - лично вам заняться тщательным изучение администрирования Windows Server, Active Directory и просто клиентских версий Windows и тогда GPO внезапно перестанет быть "гемороем", а руководства по настройке брандмауэра Windows "одной водой"
1
|
3049 / 1056 / 475
Регистрация: 29.05.2016
Сообщений: 4,440
|
|
08.11.2019, 14:27 | 53 |
Запретить доступ ко всем сайтам. Большинство из них будет недоступно при блокировке этих портов
Находясь в доменной сети с настроенной политикой безопасности Вы ничего не организуете. А может стоит попробовать напрячься немного и понять как он работает? Или как работает GPO? А если не хочется понимать, то пусть за деньги организации всё сделается "под ключ" В случае некорректно настроенной политики безопасности, которая так же осуществляется через GPO к Вам придут не только по вопросам доступа в глобальную сеть
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 14:46 | 54 |
И какая политика в доменной сети запретит мне открыть в браузере http://site.com:8080
0
|
AL_O
|
08.11.2019, 14:49
#55
|
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 14:55 | 56 |
А вы тоже считает, что для решения задачи "закрыть доступ на сайты" достаточно закрыть "TCP 80 и 443", а всё остальное сделают не описанные здесь "политики безопасности в доменной сети"?
0
|
3049 / 1056 / 475
Регистрация: 29.05.2016
Сообщений: 4,440
|
|
08.11.2019, 15:01 | 57 |
Добавление всех узлов в запрещённые и использование только IE
Добавлено через 3 минуты Конечно с открытым портом 8080 и других Вы много чего сделаете.... Особенно, если все возможности настраивать систему заблокированы GPO Добавлено через 1 минуту А ещё можно индивидуально для таких ушлых оставить на рабочем столе только ярлык с необходимым сайтом
0
|
08.11.2019, 15:01 | 58 |
Не по теме: Я считаю что усилия должны быть соразмерны задачам и учитывать обстоятельства. Ещё я помню - в ранние годы админства когда на голову свалилась контора, а передача полномочий и обучение по месту не свалилось проблема разблокировки отдельных нужных сайтов на корпоративной проксе к которой никто не оставил логинов-паролей-инструкций знаете как решалась? Из компа вынимался патч, вставлялся юсб-вайфай стик и подключался к точке доступа с мобилки сотрудника. У меня не было роскоши работать без костылей. Да и сейчас нету если подумать... А автор не знает даже как заблокировать порты 80 и 443 - все скриншоты жмотят >_> Вот кстати да - я слегка не понимаю - у автора нет времени покопаться в целевом компьютере и поэкспериментировать? Ранее заявлялось что пользователь не переустановит браузер, что админских прав нет... Снесите тот что есть, оставьте тот который вы хотите (да хоть эксплорер в котором работает мой костыль), подберите расширение-блокировщик (или прокси) скройте в настройках...
0
|
1885 / 1107 / 428
Регистрация: 22.01.2016
Сообщений: 3,050
|
|
08.11.2019, 15:15 | 59 |
Кликаем по этому ярлыку, открывается браузер в адресной строке которого я набираю http://site.com:8080, а там web-доступ к rdp-сессии
А потом долго разбираемся почему большинству современных web-сервисов (пусть даже они развёрнуты в локальной сети) нужен Chrome + всё это вы изначально забыли объяснить автору темы, предлагая только: "На пограничной с Интернетом железке заблокируйте TCP 80 и 443, добавив исключение", а во вторых, по моему, вы всё это предлагаете сделать, что бы обосновать правильность изначально странного решения - deny TCP 80 и 443, вместо простого deny all
0
|
3049 / 1056 / 475
Регистрация: 29.05.2016
Сообщений: 4,440
|
|
08.11.2019, 15:22 | 60 |
Не наберёте, будет скрыта
Озвучьте сервисы, которые не работают в IE11? Добавлено через 2 минуты Вы отрицаете правильность того, что если будут заблокированы эти порты, то доступ к 90% сайтов заблокирован не будет? Я не беру Ваши ухищрения с прокси и прочими прелестями, позволяющими обходить блокировки ибо всё это блочится и скрывается вплоть до пустого рабочего стола
0
|
08.11.2019, 15:22 | |
08.11.2019, 15:22 | |
Помогаю со студенческими работами здесь
60
Закрытие дочернего окна вызывает закрытие программы Что это жесткая привязка к точке входа, физическое смещение в файле, окрестность точки входа в файл, привязка? Для входа в базу данных использовать тот же пароль, что и для входа в Windows Не открываются сайты антивирусов плюс еще некоторые сайты, AVZ и HiJackThis Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |