Központilag vezérelt domain tiltás Windows klienseken

Microsoft Windows

Sziasztok!

Egy cégnél szükséges lenne ~200 távoli kliens Windows (XP-10) gépen néhány domain tiltására. Teljesen független gépek, helyszínek és eszközök.
Egy közös van: rendszergazdai joggal futtathat programot a felhasználó és bármilyen programot kiküldhetek nekik, fel fogják telepíteni.

Tudtok olyan központilag vezérelt, lehetőleg nyílt forráskódú vagy olcsó/ingyenes megoldást, amivel bizonyos domainek elérést le lehetni tiltani ezeken a gépeken?
Jelenleg ez úgy van megoldva néhány gépen, hogy hosts fájlba fel vannak véve a címek 127.0.0.1 IP-vel.

Biztonsági szempont nem játszik, akinek van annyi esze, hogy ki tudja játszani a megoldást, az elérheti az adott oldalakat.

Köszönöm.

  • 1169 megtekintés

( dentzol | 2018. 01. 28., v – 19:36 )

Saját DNS szerver üzemeltetése valahol a felhőben, vagy egy ilyen szolgáltatás igénybevétele egy lehetséges megoldás lehet.

( Kormoran | 2018. 01. 28., v – 19:49 )

tudom hogy ez nem válasz de érdekelne mi ennek a foglalkozásnak a célja, főleg a biztonsági szempontra vonatkozó része. ha classified akkor oké, csak érdeklődöm.

"all submitted complaints will be forwarded to /dev/null for further investigation"

Ezek boltok, ahol nem szeretnek ha a dolgozok a vevok kiszolgalasa helyett Facebook + Youtube komboval lennenek elfoglalva. Nem beszelve hogy egyes esetekben onnan probalnak zenet hallgatni, ami meg buntetest is vonhat maga utan a cegnek. Raadasul eleg lassu a net es a VPN, kamerak is elegge belassulnak (sajnos nincs sok helyen Mikrotik es ahol van ott sincs szakertelem/penz a beallitashoz).

GPO és talán local policy-ból is megy ez alapján (a cím megtévesztő most, ott lesz a restricted sites zone is): https://social.technet.microsoft.com/Forums/lync/en-US/0baa6428-bf48-4e…

Ha nincs lehetőség transparens proxyra, akkor a fenti megoldás úgy mehet, hogy minden más böngszőt leszedtek a gépről és egy sima user account lesz a helyi felhasználóé. Bár a fenti igazából GPO-val jó, mert az elég sűrűn és automatikus frissül a domain tagokon.

( sksk | 2018. 01. 28., v – 20:42 )

http://www.abelhadigital.com/hostsman/

Ezzel megoldható, hogy automatikusan mindig letöltsön egy hosts file-t és bemásolja ahova kell...
Te hosztolsz nekik egy hosts-ot a kliensek meg majd mindig letöltik az aktuálisat. Igy bármikor updatelheted is...

( Tassadar v | 2018. 01. 28., v – 22:06 )

Lokális hoszt fájlt 3rd party cucc nélkül, GPO-val is tudsz módosítani:

Computer -> Preferences -> Windows Settings -> Files -> New

De inkább üzemeltess DNS szervert és térítsd el ott.

( Vizibirka | 2018. 01. 29., h – 07:11 )

Mivel többen javasolták már a GPO-t és te erre azt mondtad, hogy nincs szerver, ezért tegyük rendbe a dolgokat:

Két féle GPO keveredik itt: Lokális illetve a Domain policy
A hozzászólók az elsőt javasolták, amihez nem kell semmiféle szerver. Ezt az adott gépen kell beállítani, illetve ott is lehet módosítani rendszergazdai joggal, minden mást tekintve pontosan ugyan úgy viselkedik mint a domain policy, leszámítva, hogy nincs honnan frissíteni. (Azaz nem tudod kikényszeríteni, hogy mindig az eredeti, általad beállított állapot maradjon meg, mert nem létezik referencia pont mint az AD-nél) Viszont a beállításához elég egy sima bat / poweshell fájl.

Ha van lehetőséged szervert üzemeltetni akkor ajánlom megnézésre: puppet + GPO