![如何在 Windows 域中阻止特定计算机的所有网站(大约 10 个白名单除外)?](https://linux22.com/image/558292/%E5%A6%82%E4%BD%95%E5%9C%A8%20Windows%20%E5%9F%9F%E4%B8%AD%E9%98%BB%E6%AD%A2%E7%89%B9%E5%AE%9A%E8%AE%A1%E7%AE%97%E6%9C%BA%E7%9A%84%E6%89%80%E6%9C%89%E7%BD%91%E7%AB%99%EF%BC%88%E5%A4%A7%E7%BA%A6%2010%20%E4%B8%AA%E7%99%BD%E5%90%8D%E5%8D%95%E9%99%A4%E5%A4%96%EF%BC%89%EF%BC%9F.png)
我不断看到对 Squid 的提及,但我认为它只适用于 Linux。我不想花 1,000 多美元订阅防火墙的内容过滤服务,而是在寻找一种替代方法(如果免费就更好了!)。有什么想法吗?
答案1
我有点不好意思承认我以前也这样做过,但我发现这样做的“最便宜”的方法(假设用户无法安装或以其他方式使用第三方 Web 浏览器软件)是使用组策略将 Internet Explorer 配置为使用虚假的 HTTP / HTTPS 代理服务器(即不响应的 IP / 端口 - 最好是实际拒绝 TCP 连接尝试的 IP / 端口)。我将“允许”的网站放入代理旁路列表中。
这是一种非常“便宜”的方式来实现您想要的操作,而且如果用户可以安装或使用第三方浏览器软件,则很容易绕过它。
一种“更正确”的方法是强制通过允许每个用户 ACL 的代理服务器进行出站 HTTP/HTTPS。具有 NTLM 身份验证的 Squid 可以做到这一点,无需软件许可成本,并且可以为通过它访问网站的加入域的 Windows 计算机提供相当不错的透明身份验证体验。如果您不愿意在 Linux 上运行 Squid,您可以在 Windows 上运行它。在 Windows 上使用基于 Active Directory 的身份验证的 Squid 相当容易设置。
答案2
OpenDNS 企业版是您可以考虑的一个解决方案。
答案3
有多少台计算机?如果数量较少,请使用 Windows DHCP 服务器从防火墙规则允许仅对白名单中的 80/443 端口进行访问的范围内保留它们的 IP。