רשימה לבנה למשתמש בודד
-
אני רוצה להגדיר לכמה חשבונות משתמשים בווינדוס, שיוכלו לגשת רק לרשימה לבנה של אתרים.
האם ישנה דרך פשוטה לעשות זאת ? -
@ליכט לכאורה דרך חומץ האש של eset
-
@A0533057932
אני לא מוצא שם אפשרות להפריד בין משתמשים. -
clickoneהשיב לליכט ב 4 בספט׳ 2019, 11:55 נערך לאחרונה על ידי clickone 9 באפר׳ 2019, 11:56
@ליכט כמה הם מתוחכמים?
אפשר להפנות את כל התעבורה לקובץ פרוקסי על המחשב, ולהחריג רק את הכתובות הספציפיות.
ובגלל שאין על המחשב באמת פרוקסי, אז רק מה שברשימה הלבנה יעבוד, והשאר לא.
זה מיועד רק למשתמשים לא מתוחכמים. (אחרת הם יוסיפו כתובות, או יעיפו את הגדרות הפרוקסי)
ואפשר כמובן לעשות לכל משתמש קובץ אחר
מבנה קובץ לדוגמא: (סיומת JS בד"כ)function FindProxyForURL(url, host) { if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") || isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") || isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") || isInNet(dnsResolve(host), "127.0.0.0", "255.0.0.0")) return "DIRECT"; if (host == "ttttttttttttttt.co.il") return "DIRECT"; if (host == "ws101.pelecard.biz") return "DIRECT"; if (host == "955.co.il") return "DIRECT"; return "SOCKS 127.0.0.1:1080"; } פשוט תעתיק את התנאים ותשנה לפי הצורך
-
@clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי:
א. לעשות את הגדרות הפרוקסי דרך הGPO
ב. שהמשתמשים יהיו בדרגה שאינם ניהול
ג. לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקסאולי אני טועה.
-
@dovid אני זוכר שאפשר. אבל גם אני לא בטוח
@ליכט הנה עוד אתר עם הסברים לקבצי PAC
https://help.zscaler.com/zia/writing-pac-file -
יש עוד אפשרות, זה לנעול את המשתמש בREG מלשנות את הפרוקסי.
אני בכוונה לא שם את זה כאן - מסיבות מובנות.
לא יודע אם זה ממש יועיל למשתמש מתוחכם מאד -
נראה לי שזה כאן:
-
clickoneהשיב לdovid ב 4 בספט׳ 2019, 16:16 נערך לאחרונה על ידי clickone 9 באפר׳ 2019, 16:17
@dovid
אם זה נעילה בREG אז זה בHKEY_CURRENT_USER ואת זה כן המשתמש יכול לשנות גם אם הוא לא אדמין.אם זה GPO אז אתה צודק בהחלט
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור -
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
-
@upsilon01 זה עושה לדעתי את אותה עבודה (ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
-
yossizהשיב לclickone ב 4 בספט׳ 2019, 19:09 נערך לאחרונה על ידי yossiz 9 באפר׳ 2019, 19:12
@dovid אמר ברשימה לבנה למשתמש בודד:
אני חושב שהרעיון שלך כן טוב גם למתחכמים...
אולי אני טועה.אולי...
אם מדובר במתחכמים לא הייתי סומך על זה. זה גדר מלאכותי לגמרי.
(ואם בגדרים מלאכותיים עסקינן, אפשר לעשות משהו דומה על ידי הגדרת DNS לא תקין, ולהוסיף את הרשימה הלבנה לקובץ ה-hosts)א. לעשות את הגדרות הפרוקסי דרך הGPO
אם הגלישה הוא דרך כרום צריך גם לעשות להגדיר policy בנפרד עבור כרום ולא יעזור הפוליסה המובנה של ווינדוס.
לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקס
נראה לי שבזה טמון החולשה העיקרית.
@clickone אמר ברשימה לבנה למשתמש בודד:
עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
חסימת גישה ל-REG וכו' לא ממש יעיל מול "מתחכם"
עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור
למפתחי רג'יסטרי יש הרשאות בצורת ACL בדומה לקבצים. בתיאוריה (ומסתבר שגם בפועל) זה אמור להיות בטוח לגמרי (מול משתמש שאינו מנהל). (אם מצאת פירצה בזה, אתה זכאי לקבל כ ס ף ממייקרוסופט)
(ז"א, הוא כנראה בונה את הקובץ PAC במקביל)
מהיכ"ת?
-
למעשה יצאתי מבולבל.
יש משהו שאני יכול לעשות כדי למנוע גישה לאינטרנט מלבד רשימה לבנה ממשתמש בודד שהוא לא מנהל ולא מתוחכם ? -
@ליכט הכי קל להגדיר proxy ל-127.0.0.1 ולעשות מה ש@upsilon01 הציע
אפשר להוסיף את האתרים המותרים 'בחריגים'
איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'
ולהפריד את הערכים באמצעות ;
כל זה בהנחה שהתשתמשים לא ידעו לשנות הגדרות פרוקסי.
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר. -
@ליכט אמר ברשימה לבנה למשתמש בודד:
אך הרשימה הלבנה לא עובדת (בדוגמא הנ"ל האתר של נטפרי) מה יכולה להיות הסיבה ?
כבר עליתי על הסיבה, יש להכניס את הכתובת ללא http.
עכשיו זה עובד. תודה. -
@yossiz אמר ברשימה לבנה למשתמש בודד:
אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר.
אם ארצה לחזק את החסימה, תוכל להדריך אותי יותר איך עושים את זה ?
12/41