Zablokuj Facebooka dla wybranych użytkowników

Mamy tutaj kilku użytkowników, którzy korzystają z Facebooka w godzinach pracy, a ich produktywność spada na podłogę, jako tymczasowy środek zdalnie edytowałem pliki ich hostów, aby wskazać facebook.com i jego różne subdomeny, aby wskazać adres pętli zwrotnej, a następnie ręcznie komentuj w porze lunchu, aby mogli z niego skorzystać.

Jest to oczywiście trochę męczące dla wielu użytkowników każdego dnia.

Patrzę na próbę znalezienia czegoś, co może zrobić to automatyczne blokowanie zgodnie z harmonogramem.

Myślałem o jakimś serwerze proxy, który mogę dodać do ustawień proxy w przeglądarce za pomocą zasad grupy.

Czy ktoś wie o jakimkolwiek darmowym lub tanim rozwiązaniu dla systemu Windows, które to zrobi? A może coś samodzielnego mogę zainstalować na PC / VM?

Wydaje mi się, że zawsze mogłem napisać i zaplanować niektóre pliki wsadowe, aby przełączyć zablokowany plik hostów na plik niezablokowany.

Sieć to serwer SBS systemu Windows 2003, stacje robocze systemu Windows XP sp3, pojedynczy interfejs na serwerze router Netgear DG834, który choć ma pewne harmonogramy, nie pozwala na ustawienie okna tylko jednego okna blokowego - na przykład 21-17, ale chciałbym aby otworzyć go w środku.

Jeśli to, co robisz teraz, działa, ale problem polega na tym, że zajmuje to zbyt wiele czasu, to zaplanowane zadania są dla ciebie przyjacielem :)

Umieść gdzieś w sieci dwie wersje pliku hosts (z włączonym / wyłączonym FB), a następnie skonfiguruj zaplanowane zadanie, wypchnięte przez GPO.

W porze lunchu (powiedzmy 11:30) kopiuje hostsplik „FB Enabled” , a następnie po obiedzie (powiedzmy 13:30) kopiuje hostsplik „FB Disabled” .

Cena: $ za darmo
Trudne: łatwe
Skuteczność: dobre
zarządzanie Koszty ogólne: średnie

_{Dla przypomnienia, odpowiedź squillmana jest tą, którą wolałbym jako sysadmin, ale wszyscy wiemy, że nie tak to działa w prawdziwym życiu}

Jako ktoś, kto był kiedyś odpowiedzialny za proxy, zapory ogniowe i filtry sieciowe, bardzo zgadzam się z komentarzem @ DanBig i zachęcam cię do grzecznego powiedzenia kierownictwu „nie dbam” i pozwól im sobie z tym poradzić. Opieka nad dziećmi jest kwestią zarządzania / HR i nie powinna być pozostawiona działowi IT na poziomie roboczym. Jeśli masz problem z zasobami do tego stopnia, że ​​czyjeś działania na Facebooku powodują problemy z wydajnością w Twojej sieci i nie masz jeszcze zainstalowanego oprogramowania filtrującego, zablokuj port przełącznika lub coś takiego i zaangażuj zarządzanie. Następnie współpracuj z kierownictwem / HR nad polityką dopuszczalnego użytkowania, która może również obejmować filtr proxy / filtr internetowy, aby pomóc w egzekwowaniu tej polityki. Dział IT może pomóc w zdefiniowaniu polityki, ale dział HR powinien być jej właścicielem.

NIE chcesz wdawać się w legalne bitwy lub inne konflikty z niezadowolonymi [byłymi] pracownikami, jeśli / kiedy zaczną schodzić na dół. Nie jest to długi spadek od bujnego korzystania z Facebooka do innych wątpliwych zastosowań Internetu.

Inną alternatywą byłoby zablokowanie Facebooka i in. Przed komputerami roboczymi ludzi w wieku od 9 do 5 lat, ale założenie „Kafejki internetowej” we wspólnym obszarze, gdzie mogą mieć dostęp do Internetu w celu osobistego przeglądania w porze lunchu.

Te maszyny mogą być zamknięte przez większą część dnia, ale otwarte tylko od 11 rano do 2 po południu (na przykład).

Ponieważ te maszyny są faktycznie „publiczne”, ludzie musieliby się uczyć wylogowywania po zakończeniu.

Pomogłoby to również jasno określić prywatne i zawodowe korzystanie z Internetu.

Wow, to zdecydowanie trudna droga.

Istnieje wiele rozwiązań do filtrowania stron internetowych, które zrobią to, czego potrzebujesz. Squidguard jest prawdopodobnie popularnym / prostym wyborem, ale nie brakuje opcji darmowych / tanich (a także absurdalnie drogich); Untangle, DansGuardian, darmowe wersje niektórych zunifikowanych urządzeń do zarządzania zagrożeniami, takich jak Astaro, zrobiłyby to samo.

Chociaż najbardziej zgadzam się z tym, że jest to kwestia zarządzania i w idealnym świecie skończyłaby się nową polityką; jednak w świecie, w którym żyjemy, oprócz polis wymagane jest ramię egzekwujące.

Inni wspominali o kilku pakietach, które można kupić; Myślę, że to, co zrobiłeś, jest w porządku - potrzebujesz sposobu na automatyzację. Myślę, że prosty PowerShell i para zaplanowanych zadań będą działać dobrze.

Mieliśmy 3 maszyny z otwartym dostępem do Internetu w strefie publicznej z zablokowanym dostępem do podejrzanych stron za pośrednictwem OpenDNS i odcięte od reszty sieci. Reszta hali produkcyjnej nie miała dostępu do Internetu. Witryna z ponad 50 użytkownikami była dość dobra, ale nasza firma nie jest zbyt obciążona dostępem do sieci.

Podobna sytuacja występuje w moim miejscu pracy. Rozwiązaliśmy ten problem, umieszczając problematycznych użytkowników w tej samej subdomenie i blokując dostęp tej subdomeny do Facebooka itp. Za pośrednictwem zapory. Jeśli zapora sieciowa nie akceptuje nazw hostów, nastąpi zmiana konserwacji związana ze zmianą rekordów DNS, ale wydaje się, że jest to akceptowalne rozwiązanie w porównaniu z obecnym rozwiązaniem.

Możesz także włączyć ograniczenia czasowe w zależności od oprogramowania zapory.

Najłatwiej (*) jest instalacja Ubuntu na PC z 2 kartami sieciowymi, skonfigurowanie iptables + Squid + Dansguardian i blokowanie użytkowników według adresów IP. Serwer proxy będzie przezroczysty, nie trzeba konfigurować przeglądarek użytkowników. W Dansguardian będziesz mógł tworzyć grupy użytkowników i przypisywać różne zestawy reguł dla każdej z nich. Dansguardian obsługuje planowanie.

Oprócz blokowania zalecałbym wdrożenie raportowania. Raporty są bardzo ważne: ludzie są o wiele bardziej odpowiedzialni, gdy wiedzą, że są odpowiedzialni. Korzystaliśmy z SARG, który publikował codzienne raporty na lokalnej stronie internetowej, aby wszyscy, w tym kierownictwo, mogli zobaczyć statystyki.

Wolę umowy niż zasady i raporty od kierownictwa. Uzgodniliśmy więc, że sieci społecznościowe będą dostępne w porze lunchu i po godzinach pracy, i to wystarczy dla 98% pracowników.

* Najłatwiejszy, ponieważ:

• wszystkie wymagane zasoby to stary komputer i 15 USD na kartę sieciową - nie trzeba prosić o budżet;
• wszystkie wspomniane pakiety są dostępne z repozytorium Ubuntu, nie trzeba niczego rekompilować: dostosowanie jest niewielkie, ponieważ dostępnych jest wiele instrukcji i artykułów;
• rozwiązanie jest scentralizowane;
• reguły będą działać dla WSZYSTKICH komputerów w sieci, nawet jeśli komputer nie należy do Twojej reklamy;
• ten okres przejściowy jest wystarczająco dobry, aby stać się trwałym rozwiązaniem, więc żaden wysiłek nie zostanie zmarnowany ...

Zgadzam się z tym, co napisał Alex, ale podchodziłbym do tego nieco inaczej. Zamiast budować system od podstaw, sugeruję użycie jednej z bardzo łatwych w użyciu dystrybucji firewall. Osobiście wolę Smoothwall, ale jest wiele innych do wyboru. Oprócz zapewnienia znacznie większej elastyczności filtrowania niż obecnie, zyskasz także zalety posiadania przyzwoitej zapory ogniowej.

Większość dystrybucji firewall ma bardzo dobre wsparcie społeczności, więc jest całkiem możliwe, że ktoś już stworzył dodatek, który ci odpowiada. W przeciwnym razie, chociaż ustawienia, których szukasz, mogą nie być dostępne w normalnej konsoli zarządzania, można je łatwo wdrożyć za pośrednictwem squid i cron. Przy bardzo małej ilości skryptów możesz mieć tak dużą szczegółowość i kontrolę, jak tylko chcesz.

Spójrz na zapory ogniowe FortiGate. Mają blokowanie na poziomie aplikacji.