我需要在我们的 Windows Servers 2008 R2 上阻止某些用户的互联网访问。如果您在 Google 上搜索这个问题,您会发现很多结果都建议禁用 Internet Explorer 并将代理设置为 0.0.0.0。不幸的是,这可以通过使用便携式 Firefox 等轻松绕过。
有没有更严格的解决方案?我需要找到一种方法,甚至连 telnet、ftp 等都无法工作。
感谢您的帮助!
更新澄清:我只想阻止部分用户的互联网访问,而不是阻止该服务器上所有用户的互联网访问。
答案1
最好的解决方案可能是在网络级别使用代理执行此操作。您可以使用 WCCP 或类似工具强制所有 Internet 绑定流量通过代理,而无需在主机本身上配置任何内容。否则,我认为您可能能够通过 GPO 配置 Windows 防火墙以禁止此出站流量,这将捕获所有出站流量。此外,由于它是一台服务器,它可能有一个静态 IP,您可以在外围防火墙阻止出站流量 - 假设您实际上是试图阻止来自服务器本身的 Internet 访问 - 我不清楚您是指针对所有用户(使用服务器和 GPO 来实现)还是您只是想阻止来自服务器的访问。
答案2
...为什么不直接将 DHCP 中的网关设置为非路由地址或空白地址,这样流量就无法传出?将其设置为这些用户的 MAC 地址,这样他们就总是能得到那个(错误的)网关地址。
否则,如果这是一个商业纪律问题,就代理它,记录它,然后解雇他们。
答案3
您可以为此使用代理,或者在路由器上设置 ACL(访问控制列表)以阻止来自相关工作站的出站流量。
答案4
唯一现实的选择可能是禁用直接互联网访问,从而强制所有互联网流量通过代理。然后将此代理配置为需要身份验证(最好针对 Active Directory[AD])。这样,每个人都必须进行身份验证才能上网。
缺点:
- 如果服务器上的任何程序需要网络访问权限,则它们需要获取授予其访问权限的特殊服务帐户(无论是真实的 AD 帐户,还是代理上的特殊帐户)。这些帐户当然需要受到保护。
- 如果某些程序或用户需要无法轻易代理的协议(例如外来协议),则必须找到针对具体情况的解决方案。
- 这意味着所有用户都需要进行额外的配置(尽管我相信有些浏览器可以自动登录到代理)
我从未实现过这个,但我相信它应该可行。至少乌贼让你根据 AD 进行身份验证;我认为其他代理也可以做同样的事情。