我正在尝试弄清楚如何阻止我们的某些用户绕过正在使用组策略部署的代理服务器。
首先,我使用 pac 文件配置 PC 的代理设置。设置已通过组策略部署,该部分运行良好。
我的问题是一些用户正在使用此命令将设置重置为默认设置:
RunDll32.exe InetCpl.cpl,将IE重置为默认值
然后,设置将重置为默认值(无代理),直到下次应用组策略。我尝试了多种方法来解决这个问题,但到目前为止,我尝试过的所有方法都无法阻止它工作。
目前,该策略不允许用户重置设置(从计算机配置和用户配置),我尝试将代理设置设置为按计算机而不是按用户(使用代理的相应注册表项)以及一些其他设置。我还删除了 InetCpl.cpl 文件,但这会破坏其他设置。
我不能强迫人们使用我们网关的代理,我需要客户端使用正在设置的 pac 文件(根据它们解析的 IP,某些目的地不能使用代理)以及文件中的相当多的规则。
答案1
您有一些聪明的用户。或者至少有一个聪明的用户,其余的用户善于遵循说明。您是否尝试过通过组策略阻止 RunDll32.exe 在用户空间中执行?
我在上一份为学校提供服务的工作中也遇到过类似的问题。我的解决方案是为无代理流量设置白名单(只有少数网站需要它)。如果你不通过代理,你几乎会被阻止访问所有内容。如果我没记错的话,普通用户不会遇到任何问题,因为我通过 DHCP 和 DNS 获得了 pac 文件。
答案2
我认为你正在打一场注定要失败的仗。如果用户拥有笔记本电脑的管理员权限,你几乎无法阻止他们篡改代理设置。
另外,用户禁用代理的原因也很重要。是因为某些网站无法使用代理访问吗?根据我的经验,共同解决问题比与他们对抗要好。但如果与他们对抗是唯一的选择,那么你就需要在网络层进行对抗。
如果代理的唯一功能是为您节省一点带宽,那么也许您可以不阻止不通过代理的流量,但如果代理被视为依赖组策略强制流量通过的安全控制,那么这不是一个可行的选择。恶意软件、用户手机、mac、chrome 等将忽略您的规则,所有投资于代理的时间和金钱都浪费了
您说 toucans 会强制他们使用代理,因为您不想使用代理的 IP 也是如此。要解决这个问题,请让您的防火墙允许出站网络流量到这些 IP,并阻止所有其他非代理的网络流量。
就我个人而言,我一直更喜欢透明代理,而不是必须在每个客户端上配置代理。