רשימה לבנה למשתמש בודד



  • אני רוצה להגדיר לכמה חשבונות משתמשים בווינדוס, שיוכלו לגשת רק לרשימה לבנה של אתרים.
    האם ישנה דרך פשוטה לעשות זאת ?



  • @ליכט לכאורה דרך חומץ האש של eset



  • @A0533057932
    אני לא מוצא שם אפשרות להפריד בין משתמשים.



  • @ליכט כמה הם מתוחכמים?
    אפשר להפנות את כל התעבורה לקובץ פרוקסי על המחשב, ולהחריג רק את הכתובות הספציפיות.
    ובגלל שאין על המחשב באמת פרוקסי, אז רק מה שברשימה הלבנה יעבוד, והשאר לא.
    זה מיועד רק למשתמשים לא מתוחכמים. (אחרת הם יוסיפו כתובות, או יעיפו את הגדרות הפרוקסי)
    ואפשר כמובן לעשות לכל משתמש קובץ אחר
    מבנה קובץ לדוגמא: (סיומת JS בד"כ)

    function FindProxyForURL(url, host)
    {
    	if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") ||
          isInNet(dnsResolve(host), "172.16.0.0",  "255.240.0.0") ||
          isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") ||
          isInNet(dnsResolve(host), "127.0.0.0", "255.0.0.0"))
    		return "DIRECT";
    	
    	if (host == "ttttttttttttttt.co.il")
    		return "DIRECT";
    if (host == "ws101.pelecard.biz")
    		return "DIRECT";
    if (host == "955.co.il")
    		return "DIRECT";
    
    	return "SOCKS 127.0.0.1:1080";
    	
    }
    

    פשוט תעתיק את התנאים ותשנה לפי הצורך



  • @clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי:
    א. לעשות את הגדרות הפרוקסי דרך הGPO
    ב. שהמשתמשים יהיו בדרגה שאינם ניהול
    ג. לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקס

    אולי אני טועה.



  • כעת אני חושב שדרך הGPO אולי אי אפשר לעשות קובץ אחר פר משתמש.



  • @dovid אני זוכר שאפשר. אבל גם אני לא בטוח 😮
    @ליכט הנה עוד אתר עם הסברים לקבצי PAC
    https://help.zscaler.com/zia/writing-pac-file



  • יש עוד אפשרות, זה לנעול את המשתמש בREG מלשנות את הפרוקסי.
    אני בכוונה לא שם את זה כאן - מסיבות מובנות.
    לא יודע אם זה ממש יועיל למשתמש מתוחכם מאד



  • @clickone לדעתי אם המשתמש לא מנהל זה לא יעזור לו חכמתו וגם אם הוא יודע איך עשו.



  • @clickone

    1. המשתמשים הם לא מנהלים. 2. הם לא מתוחכמים.

    אשמח אם תוכל להחכים בור כמוני, איך מגדירים פרוקסי לקובץ ?
    (בהגדרות אני רק מוצא אפשרות להפנות לכתובת).
    8ee58803-ff78-4aca-b8b6-8d393835a3c6-image.png



  • נראה לי שזה כאן:
    6cc4a506-c23d-4961-ae66-4663f8495c69-image.png



  • @dovid
    אם זה נעילה בREG אז זה בHKEY_CURRENT_USER ואת זה כן המשתמש יכול לשנות גם אם הוא לא אדמין.

    אם זה GPO אז אתה צודק בהחלט
    עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT
    עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור



  • אפשר להוסיף את האתרים המותרים 'בחריגים'

    איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'

    ולהפריד את הערכים באמצעות ;



  • @upsilon01 זה עושה לדעתי את אותה עבודה (ז"א, הוא כנראה בונה את הקובץ PAC במקביל)



  • @dovid אמר ברשימה לבנה למשתמש בודד:

    אני חושב שהרעיון שלך כן טוב גם למתחכמים...
    אולי אני טועה.

    אולי...
    אם מדובר במתחכמים לא הייתי סומך על זה. זה גדר מלאכותי לגמרי.
    (ואם בגדרים מלאכותיים עסקינן, אפשר לעשות משהו דומה על ידי הגדרת DNS לא תקין, ולהוסיף את הרשימה הלבנה לקובץ ה-hosts)

    א. לעשות את הגדרות הפרוקסי דרך הGPO

    אם הגלישה הוא דרך כרום צריך גם לעשות להגדיר policy בנפרד עבור כרום ולא יעזור הפוליסה המובנה של ווינדוס.

    לדאוג שלא יכולו להתקין דפדפנים עוקפי פרוקסי כמו פיירפוקס

    נראה לי שבזה טמון החולשה העיקרית.

    @clickone אמר ברשימה לבנה למשתמש בודד:

    עריכה: למשתמש רגיל אפשר אולי לחסום גישה לREG וREGEDIT

    חסימת גישה ל-REG וכו' לא ממש יעיל מול "מתחכם"

    עריכה 2: אפשר גם לתת הרשאות קריאה בלבד לערך הזה. - לא בדקתי כמה זה יעזור

    למפתחי רג'יסטרי יש הרשאות בצורת ACL בדומה לקבצים. בתיאוריה (ומסתבר שגם בפועל) זה אמור להיות בטוח לגמרי (מול משתמש שאינו מנהל). (אם מצאת פירצה בזה, אתה זכאי לקבל כ ס ף ממייקרוסופט)

    (ז"א, הוא כנראה בונה את הקובץ PAC במקביל)

    מהיכ"ת?



  • למעשה יצאתי מבולבל.
    יש משהו שאני יכול לעשות כדי למנוע גישה לאינטרנט מלבד רשימה לבנה ממשתמש בודד שהוא לא מנהל ולא מתוחכם ?



  • @ליכט הכי קל להגדיר proxy ל-127.0.0.1 ולעשות מה ש@upsilon01 הציע

    אפשר להוסיף את האתרים המותרים 'בחריגים'

    איפה שכתוב: אל 'תשתמש בשרת Proxy עבור כתובות המתחילות ב:'

    ולהפריד את הערכים באמצעות ;

    כל זה בהנחה שהתשתמשים לא ידעו לשנות הגדרות פרוקסי.
    אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר.



  • @shraga

    בווינדוס 10 זה נמצא כאן:

    de1e3340-cf51-451e-ace1-0a08baf68fdc-image.png

    @yossiz
    החסימה אכן הצליחה.
    אך הרשימה הלבנה לא עובדת (בדוגמא הנ"ל האתר של נטפרי) מה יכולה להיות הסיבה ?



  • @ליכט אמר ברשימה לבנה למשתמש בודד:

    אך הרשימה הלבנה לא עובדת (בדוגמא הנ"ל האתר של נטפרי) מה יכולה להיות הסיבה ?

    כבר עליתי על הסיבה, יש להכניס את הכתובת ללא http.
    עכשיו זה עובד. תודה.



  • @yossiz אמר ברשימה לבנה למשתמש בודד:

    אחרת צריך לנעול הגדרות הפרוקסי על ידי group policy או משהו אחר.

    אם ארצה לחזק את החסימה, תוכל להדריך אותי יותר איך עושים את זה ?



  • @ליכט בשמחה. כנראה זה יהיה רק מחר.



  • @yossiz
    היום זה מחר של אתמול....
    😊

    אם תוכל, אודה.



  • @ליכט אתה בווינדוס גירסת pro ומעלה?



  • בינתיים אכתוב הוראות בהנחה שאתה משתמש בגירסת PRO ומעלה של ווינדוס

    חלק א

    1. תכתוב mmc בתפריט ההתחלה, אנטר
    2. בחלון שנפתח תבחר בתפריט קובץ > הוספה/הסרה של יישום snapin
      705f62f2-46b9-4d4a-a6de-22b18344a3d5-image.png
    3. ברשימה שנפתחת תבחר מתוך הרשימה "עורך אובייקטי מדיניות הקבוצתית" ותלחץ הוסף.
      d48473e5-4525-4e75-a2e8-216bb566c3d3-image.png
    4. באשף שנפתח, תלחץ על עיון > כרטיסיית "משתשמים" > שם שמשתמש שאתה רוצה להגביל > אישור > סיום
      46d6206c-d75b-4072-a73c-19daf1a873e6-image.png
    5. תחזור על פעולה זו עבור כל משתמש שאתה רוצה להגביל
    6. אחרי שהוספת את ה-"snapin" עבור כל משתמש שרצית להגביל, תלחץ אישור.
    7. מתוך העץ בצד ימין תפתח את הנתיב הבא: מדיניות <שם משתמש>\תצורת משתמש\Adminisrative Templates\‏Windows Components\‏Internet Explorer
      449ace87-7d48-424e-b4e8-d216f4fc55c4-image.png
    8. מצא בצד שמאל את הרשומה: Prevent changing proxy settings. לחיצה כפולה עליו.
    9. בחלון שנפתח תבחר "enabled". אישור.
      bcd93bbc-921b-4179-bff6-15774f15af15-image.png
    10. תחזור על הפעולה עבור כל משתמש שאתה רוצה להגביל

    ההמשך יבוא...



  • @yossiz
    יש לי windows pro.
    ואכן הצלחתי (איך אפשר שלא להצליח עם מדריך מושקע כזה ?)

    תודה רבה רבה.

    אגב, איזה המשך יבוא, האם זה לא מספיק ?



  • @ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
    אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...

    ו- @dovid , בנוגע למה שכתבת למעלה:

    @clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'

    היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)



  • @yossiz
    עזוב...
    אפי' את ההגדרה הראשונית הם לא יודעים לשנות (מה גם שמדובר במשהו זמני בלבד).
    עם החסימה הנוספת במדיניות, זה כבר די והותר.
    אל תתאמץ עבורי יותר.



  • @ליכט אמר ברשימה לבנה למשתמש בודד:

    אפי' את ההגדרה הראשונית הם לא יודעים לשנות (מה גם שמדובר במשהו זמני בלבד).
    עם החסימה הנוספת במדיניות, זה כבר די והותר.

    מלבד אם ישאלו בתחומים....
    😊



  • @yossiz אמר ברשימה לבנה למשתמש בודד:

    @ליכט איזה דפדפן מותקן? אם משתמשים בכרום, תכננתי לכתוב שלב נוסף שאפשר לעשות, לא חייבים, אבל זה ישפר את החסימה,
    אבל בעצם, במחשבה שניה, יש עדיין חורים כל כך גדולים שאני לא יודע עד כמה השלב הבא ישפר את ההגנה, ואולי לא שווה אפילו את ה-5 דקות...

    ו- @dovid , בנוגע למה שכתבת למעלה:

    @clickone אני חושב שהרעיון שלך כן טוב גם למתחכמים אבל בתנאי וכו' וכו'

    היום שמתי לב שה-GPO חוסם רק את הממשק הגרפי אבל עדיין אפשר לשנות ישירות ברג'יסטרי)

    יש תוכנה פשוטה לחסימה גישה לרישום
    נועל הרישום.rar



  • @יוני מי ש"בקטע" של עריכת רישום, יכול לעקוף את זה בקלי קלות.
    אבל @yossiz אמר שיש הרשאות ברישום שזה כן אפקטיבי.


התחבר כדי לפרסם תגובה
 

15
מחובר

2.1k
משתמשים

7.0k
נושאים

82.6k
פוסטים

gardner photograph

סלולר כשר במחירים הנמוכים ביותר עם ובלי ניוד.

כנסו לאתר לקניה מקוונת, או בדקו סניף קרוב לביתכם.

מוצרים עם הנחה

לחצו פה כדי להגיע לרשימת מוצרים עם הנחה בקיאספי.

בהגעה דרך הלינק, ישנה הנחה בשלב התשלום בקופה!

בא תתחבר לדף היומי!