רשימה לבנה למשתמש בודד
-
@dovid
אם זה נעילה בREG אז זה בHKEY_CURRENT_USER ואת זה כן המשתמש יכול לשנות גם אם הוא לא אדמין.אם זה GPO אז אתה צודק בהחלט
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור -
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
@upsilon01 זה עושה לדעתי את אותה עבודה (ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
-
@upsilon01 זה עושה לדעתי את אותה עבודה (ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
@dovid אמר ברשימה לבנה למשתמש בודד:
אני חושב שהרעיון שלך כן טוב גם למתחכמים...
אולי אני טועה.אולי...
אם מדובר במתחכמים לא הייתי סומך על זה. זה גדר מלאכותי לגמרי.
(ואם בגדרים מלאכותיים עסקינן, אפשר לעשות משהו דומה על ידי הגדרת DNS לא תקין, ולהוסיף את הרשימה הלבנה לקובץ ה-hosts)א. לעשות את הגדרות הפרוקסי דרך הGPO
אם הגלישה הוא דרך כרום צריך גם לעשות להגדיר policy בנפרד עבור כרום ולא יעזור הפוליסה המובנה של ווינדוס.
לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקס
נראה לי שבזה טמון החולשה העיקרית.
@clickone אמר ברשימה לבנה למשתמש בודד:
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
חסימת גישה ל-REG וכו' לא ממש יעיל מול "מתחכם"
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור
למפתחי רג'יסטרי יש הרשאות בצורת ACL בדומה לקבצים. בתיאוריה (ומסתבר שגם בפועל) זה אמור להיות בטוח לגמרי (מול משתמש שאינו מנהל). (אם מצאת פירצה בזה, אתה זכאי לקבל כ ס ף ממייקרוסופט)
(ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
מהיכ"ת?
-
למעשה יצאתי מבולבל.
יש משהו שאני יכול לעשות כדי למנוע גישה לאינטרנט מלבד רשימה לבנה ממשתמש בודד שהוא לא מנהל ולא מתוחכם ?@ליכט הכי קל להגדיר proxy ל-127.0.0.1 ולעשות מה ש@upsilon01 הציע
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
כל זה בהנחה שהתשתמשים לא ידעו לשנות הגדרות פרוקסי.
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר. -
-
@ליכט הכי קל להגדיר proxy ל-127.0.0.1 ולעשות מה ש@upsilon01 הציע
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
כל זה בהנחה שהתשתמשים לא ידעו לשנות הגדרות פרוקסי.
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר. -
@yossiz אמר ברשימה לבנה למשתמש בודד:
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר.
אם ארצה לחזק את החסימה, תוכל להדריך אותי יותר איך עושים את זה ?
-
בינתיים אכתוב הוראות בהנחה שאתה משתמש בגירסת PRO ומעלה של ווינדוס
חלק א
- תכתוב mmc בתפריט ההתחלה, אנטר
- בחלון שנפתח תבחר בתפריט קובץ > הוספה/הסרה של יישום snapin
- ברשימה שנפתחת תבחר מתוך הרשימה "עורך אובייקטי מדיניות הקבוצתית" ותלחץ הוסף.
- באשף שנפתח, תלחץ על עיון > כרטיסיית "משתשמים" > שם שמשתמש שאתה רוצה להגביל > אישור > סיום
- תחזור על פעולה זו עבור כל משתמש שאתה רוצה להגביל
- אחרי שהוספת את ה-"snapin" עבור כל משתמש שרצית להגביל, תלחץ אישור.
- מתוך העץ בצד ימין תפתח את הנתיב הבא:
מדיניות <שם משתמש>\תצורת משתמש\Adminisrative Templates\Windows Components\Internet Explorer
- מצא בצד שמאל את הרשומה:
Prevent changing proxy settings
. לחיצה כפולה עליו. - בחלון שנפתח תבחר "enabled". אישור.
- תחזור על הפעולה עבור כל משתמש שאתה רוצה להגביל
ההמשך יבוא...
-
בינתיים אכתוב הוראות בהנחה שאתה משתמש בגירסת PRO ומעלה של ווינדוס
חלק א
- תכתוב mmc בתפריט ההתחלה, אנטר
- בחלון שנפתח תבחר בתפריט קובץ > הוספה/הסרה של יישום snapin
- ברשימה שנפתחת תבחר מתוך הרשימה "עורך אובייקטי מדיניות הקבוצתית" ותלחץ הוסף.
- באשף שנפתח, תלחץ על עיון > כרטיסיית "משתשמים" > שם שמשתמש שאתה רוצה להגביל > אישור > סיום
- תחזור על פעולה זו עבור כל משתמש שאתה רוצה להגביל
- אחרי שהוספת את ה-"snapin" עבור כל משתמש שרצית להגביל, תלחץ אישור.
- מתוך העץ בצד ימין תפתח את הנתיב הבא:
מדיניות <שם משתמש>\תצורת משתמש\Adminisrative Templates\Windows Components\Internet Explorer
- מצא בצד שמאל את הרשומה:
Prevent changing proxy settings
. לחיצה כפולה עליו. - בחלון שנפתח תבחר "enabled". אישור.
- תחזור על הפעולה עבור כל משתמש שאתה רוצה להגביל
ההמשך יבוא...
-
@yossiz
יש לי windows pro.
ואכן הצלחתי (איך אפשר שלא להצליח עם מדריך מושקע כזה ?)תודה רבה רבה.
אגב, איזה המשך יבוא, האם זה לא מספיק ?
@ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...ו- @dovid , בנוגע למה שכתבת למעלה:
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'
היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)
-
@ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...ו- @dovid , בנוגע למה שכתבת למעלה:
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'
היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)
-
@yossiz
עזוב...
אפי' את ההגדרה הראשונית הם לא יודעים לשנות (מה גם שמדובר במשהו זמני בלבד).
עם החסימה הנוספת במדיניות, זה כבר די והותר.
אל תתאמץ עבורי יותר. -
@ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...ו- @dovid , בנוגע למה שכתבת למעלה:
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'
היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)
@yossiz אמר ברשימה לבנה למשתמש בודד:
@ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...ו- @dovid , בנוגע למה שכתבת למעלה:
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'
היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)
יש תוכנה פשוטה לחסימה גישה לרישום
נועל הרישום.rar -
@yossiz אמר ברשימה לבנה למשתמש בודד:
@ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...ו- @dovid , בנוגע למה שכתבת למעלה:
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'
היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)
יש תוכנה פשוטה לחסימה גישה לרישום
נועל הרישום.rar