Zablokuj Facebooka dla wybranych użytkowników

12

Mamy tutaj kilku użytkowników, którzy korzystają z Facebooka w godzinach pracy, a ich produktywność spada na podłogę, jako tymczasowy środek zdalnie edytowałem pliki ich hostów, aby wskazać facebook.com i jego różne subdomeny, aby wskazać adres pętli zwrotnej, a następnie ręcznie komentuj w porze lunchu, aby mogli z niego skorzystać.

Jest to oczywiście trochę męczące dla wielu użytkowników każdego dnia.

Patrzę na próbę znalezienia czegoś, co może zrobić to automatyczne blokowanie zgodnie z harmonogramem.

Myślałem o jakimś serwerze proxy, który mogę dodać do ustawień proxy w przeglądarce za pomocą zasad grupy.

Czy ktoś wie o jakimkolwiek darmowym lub tanim rozwiązaniu dla systemu Windows, które to zrobi? A może coś samodzielnego mogę zainstalować na PC / VM?

Wydaje mi się, że zawsze mogłem napisać i zaplanować niektóre pliki wsadowe, aby przełączyć zablokowany plik hostów na plik niezablokowany.

Sieć to serwer SBS systemu Windows 2003, stacje robocze systemu Windows XP sp3, pojedynczy interfejs na serwerze router Netgear DG834, który choć ma pewne harmonogramy, nie pozwala na ustawienie okna tylko jednego okna blokowego - na przykład 21-17, ale chciałbym aby otworzyć go w środku.

Ben Gillam
źródło
18
To szczerze brzmi jak problem zarządzania, a nie techniczny. Może nadszedł czas, aby napisać politykę akceptowalnego użytkowania?
DanBig
2
jest to bardzo prawdziwe, ale zasady czy nie użytkownicy nadal to zrobią, niezależnie od tego, czy zostaniesz złapany czy nie. Mógłbym napisać jeden, ale kierownictwo i użytkownicy zignorowaliby to: / - Chociaż kierownictwo chce, abym zrobił coś, aby temu zapobiec
Ben Gillam
6
@Ben - Powiedz kierownictwu, że jeśli nie chcą zwalniać ludzi, ludzie będą nadal robić, co chcą. Jeśli są zarządem, powinni już to wiedzieć.
MDMarra,
3
Jeśli nie można im ufać, że zachowają się i korzystają z Internetu jak odpowiedzialni dorośli, być może ich umowa powinna zostać rozwiązana, a nie połączenia TCP.
Tom O'Connor,
1
Czy twoje środowisko jest zarządzane przy użyciu Active Directory? Jeśli tak, możesz spróbować wdrożyć GPO, aby dodać witryny do zablokowanej listy IE i rozpowszechnić zmiany w DNS.
Ismael

Odpowiedzi:

11

Jeśli to, co robisz teraz, działa, ale problem polega na tym, że zajmuje to zbyt wiele czasu, to zaplanowane zadania są dla ciebie przyjacielem :)

Umieść gdzieś w sieci dwie wersje pliku hosts (z włączonym / wyłączonym FB), a następnie skonfiguruj zaplanowane zadanie, wypchnięte przez GPO.

W porze lunchu (powiedzmy 11:30) kopiuje hostsplik „FB Enabled” , a następnie po obiedzie (powiedzmy 13:30) kopiuje hostsplik „FB Disabled” .

Cena: $ za darmo
Trudne: łatwe
Skuteczność: dobre
zarządzanie Koszty ogólne: średnie

Dla przypomnienia, odpowiedź squillmana jest tą, którą wolałbym jako sysadmin, ale wszyscy wiemy, że nie tak to działa w prawdziwym życiu

Mark Henderson
źródło
dzięki, oznaczyłem to jako odpowiedź, na razie będzie to najszybsze wdrożenie i będzie działać tylko dla niektórych użytkowników
Ben Gillam
+1 Ale dla mnie tak to będzie działać w prawdziwym życiu. Ludzie znali mnie jako faceta zajmującego się Internetem / zaporą ogniową i kiedy zostali spoliczkowani za swoje złe decyzje dotyczące przeglądania, które wróciły do ​​mnie na poziomie osobistym. To bzdury nie latają dla mnie na poziomie roboczym, na którym nie wykonuję połączeń dyscyplinarnych. Jednym z kluczowych terminów w mojej odpowiedzi jest „poziom roboczy IT”. Jeśli masz więcej niż obowiązki w zakresie IT na poziomie roboczym, to tak, sprawy są bardziej zaangażowane. Zobacz także moją odpowiedź na komentarz Johna na moją odpowiedź.
squillman
26

Jako ktoś, kto był kiedyś odpowiedzialny za proxy, zapory ogniowe i filtry sieciowe, bardzo zgadzam się z komentarzem @ DanBig i zachęcam cię do grzecznego powiedzenia kierownictwu „nie dbam” i pozwól im sobie z tym poradzić. Opieka nad dziećmi jest kwestią zarządzania / HR i nie powinna być pozostawiona działowi IT na poziomie roboczym. Jeśli masz problem z zasobami do tego stopnia, że ​​czyjeś działania na Facebooku powodują problemy z wydajnością w Twojej sieci i nie masz jeszcze zainstalowanego oprogramowania filtrującego, zablokuj port przełącznika lub coś takiego i zaangażuj zarządzanie. Następnie współpracuj z kierownictwem / HR nad polityką dopuszczalnego użytkowania, która może również obejmować filtr proxy / filtr internetowy, aby pomóc w egzekwowaniu tej polityki. Dział IT może pomóc w zdefiniowaniu polityki, ale dział HR powinien być jej właścicielem.

NIE chcesz wdawać się w legalne bitwy lub inne konflikty z niezadowolonymi [byłymi] pracownikami, jeśli / kiedy zaczną schodzić na dół. Nie jest to długi spadek od bujnego korzystania z Facebooka do innych wątpliwych zastosowań Internetu.

squillman
źródło
4
+1, problem zarządzania do końca. Pozwól pracownikom robić, co chcą; jeśli nie produkują, pozbądź się ich; jeśli przez cały dzień mają do czynienia z wolną przestrzenią i nadal wykonują swoją pracę, to kogo to obchodzi.
Chris S
4
Kompletnie się zgadzam. Kwestia zarządzania przez całą drogę. Teraz sam nie mam problemu z wykorzystaniem technologii do wspierania zarządzania, ale blokowanie stron bez wsparcia / egzekwowania zarządzania zmienia to w grę i sparafrazowanie gier wojennych, jedynym sposobem na wygraną w tej grze nie jest gra.
Rob Moir
1
Osobiście nie mam problemu z ogólnym zakazem korzystania z Facebooka w pracy. Nie ma związku z pracą (chyba że Twoja firma ma stronę na Facebooku?), Więc nikt nie powinien z niej korzystać. Pracowałem dla organizacji, w której wszystkie witryny pocztowe są zablokowane, eBay, carales, realestate, facebook itp. Wydaje się trudne, ale nadal mogę wykonywać swoją pracę.
xXhRQ8sD2L7Z
1
Chociaż całkowicie się zgadzam, że jest to przede wszystkim kwestia zarządzania, dla tych z nas pracujących w małych firmach granice i zasady są nieco bardziej płynne. Ponieważ OP używa SBS, domyślam się, że jest to bardzo mała firma. W takich przypadkach informatyk rzadko jest po prostu informatykiem i ponosi większą odpowiedzialność za ludzką stronę rzeczy. Mówiąc najprościej, niektórzy z nas nie mogą po prostu zrzucić zarządzania i muszą sobie z tym poradzić najlepiej, jak potrafimy.
John Gardeniers,
@John Całkowicie szanuję to, skąd pochodzisz: aspekt małych firm, nie zrozum mnie źle. Wprawdzie nie pracowałem na pełny etat dla małej firmy, tylko konsultowałem się z nimi, ale biorąc pod uwagę moje doświadczenie, nadal nie chciałbym wdrażać czegoś bez współpracy właściciela (lub osoby, która ma duży interes) Transakcja. Chciałbym również naciskać na osobę, która wzywa strzały. Dla mnie osobiście nie miałbym tego inaczej. Rozmowy telefoniczne, które otrzymałem od byłych pracowników, po prostu nie były tego warte.
squillman
7

Inną alternatywą byłoby zablokowanie Facebooka i in. Przed komputerami roboczymi ludzi w wieku od 9 do 5 lat, ale założenie „Kafejki internetowej” we wspólnym obszarze, gdzie mogą mieć dostęp do Internetu w celu osobistego przeglądania w porze lunchu.

Te maszyny mogą być zamknięte przez większą część dnia, ale otwarte tylko od 11 rano do 2 po południu (na przykład).

Ponieważ te maszyny są faktycznie „publiczne”, ludzie musieliby się uczyć wylogowywania po zakończeniu.

Pomogłoby to również jasno określić prywatne i zawodowe korzystanie z Internetu.

ChrisF
źródło
dzięki, to byłby naprawdę dobry pomysł, niestety nie mamy zapasowego sprzętu, ale warto zastanowić się, czy i kiedy uaktualnimy tutaj systemy i wycofamy stary sprzęt
Ben Gillam
3

Wow, to zdecydowanie trudna droga.

Istnieje wiele rozwiązań do filtrowania stron internetowych, które zrobią to, czego potrzebujesz. Squidguard jest prawdopodobnie popularnym / prostym wyborem, ale nie brakuje opcji darmowych / tanich (a także absurdalnie drogich); Untangle, DansGuardian, darmowe wersje niektórych zunifikowanych urządzeń do zarządzania zagrożeniami, takich jak Astaro, zrobiłyby to samo.

Shane Madden
źródło
3

Chociaż najbardziej zgadzam się z tym, że jest to kwestia zarządzania i w idealnym świecie skończyłaby się nową polityką; jednak w świecie, w którym żyjemy, oprócz polis wymagane jest ramię egzekwujące.

Inni wspominali o kilku pakietach, które można kupić; Myślę, że to, co zrobiłeś, jest w porządku - potrzebujesz sposobu na automatyzację. Myślę, że prosty PowerShell i para zaplanowanych zadań będą działać dobrze.

Nate
źródło
1

Mieliśmy 3 maszyny z otwartym dostępem do Internetu w strefie publicznej z zablokowanym dostępem do podejrzanych stron za pośrednictwem OpenDNS i odcięte od reszty sieci. Reszta hali produkcyjnej nie miała dostępu do Internetu. Witryna z ponad 50 użytkownikami była dość dobra, ale nasza firma nie jest zbyt obciążona dostępem do sieci.

Bryan Lott
źródło
1

Podobna sytuacja występuje w moim miejscu pracy. Rozwiązaliśmy ten problem, umieszczając problematycznych użytkowników w tej samej subdomenie i blokując dostęp tej subdomeny do Facebooka itp. Za pośrednictwem zapory. Jeśli zapora sieciowa nie akceptuje nazw hostów, nastąpi zmiana konserwacji związana ze zmianą rekordów DNS, ale wydaje się, że jest to akceptowalne rozwiązanie w porównaniu z obecnym rozwiązaniem.

Możesz także włączyć ograniczenia czasowe w zależności od oprogramowania zapory.

jamesbtate
źródło
Filtrowanie selektywne? To nie brzmi jak dobry pomysł, IMO.
DanBig
1

Najłatwiej (*) jest instalacja Ubuntu na PC z 2 kartami sieciowymi, skonfigurowanie iptables + Squid + Dansguardian i blokowanie użytkowników według adresów IP. Serwer proxy będzie przezroczysty, nie trzeba konfigurować przeglądarek użytkowników. W Dansguardian będziesz mógł tworzyć grupy użytkowników i przypisywać różne zestawy reguł dla każdej z nich. Dansguardian obsługuje planowanie.

Oprócz blokowania zalecałbym wdrożenie raportowania. Raporty są bardzo ważne: ludzie są o wiele bardziej odpowiedzialni, gdy wiedzą, że są odpowiedzialni. Korzystaliśmy z SARG, który publikował codzienne raporty na lokalnej stronie internetowej, aby wszyscy, w tym kierownictwo, mogli zobaczyć statystyki.

Wolę umowy niż zasady i raporty od kierownictwa. Uzgodniliśmy więc, że sieci społecznościowe będą dostępne w porze lunchu i po godzinach pracy, i to wystarczy dla 98% pracowników.

* Najłatwiejszy, ponieważ:

  • wszystkie wymagane zasoby to stary komputer i 15 USD na kartę sieciową - nie trzeba prosić o budżet;
  • wszystkie wspomniane pakiety są dostępne z repozytorium Ubuntu, nie trzeba niczego rekompilować: dostosowanie jest niewielkie, ponieważ dostępnych jest wiele instrukcji i artykułów;
  • rozwiązanie jest scentralizowane;
  • reguły będą działać dla WSZYSTKICH komputerów w sieci, nawet jeśli komputer nie należy do Twojej reklamy;
  • ten okres przejściowy jest wystarczająco dobry, aby stać się trwałym rozwiązaniem, więc żaden wysiłek nie zostanie zmarnowany ...
alexm
źródło
+1 dla dansguardian. Skonfigurowałeś zadania crona, aby zamieniać listę bloków o różnych porach w ciągu dnia.
4
To najłatwiejszy sposób na wymyślenie? Co powiesz na zaplanowane zadanie systemu Windows do edycji pliku hostów? (lame, tak). A może sklep kupił rozwiązanie proxy?
Ziplin,
Zgadzam się z @Ziplin, jak, u licha, to takie proste ? Do tej pory nie widziałem tego komentarza, ale opublikowałem Zaplanowane zadania jako odpowiedź, do której dotarłem niezależnie.
Mark Henderson
@Ziplin @Mark Henderson - brzmi skomplikowanie, ale jest łatwe, ponieważ wszystko, co jest wymagane do wdrożenia, jest pod twoją kontrolą. Nie sądzę, aby edytowanie plików hostów trwało długo: użytkownicy 1) znajdą anonimizatory lub 2) przyniosą notebooki z domu lub 3) zmienią strefę czasową na PC.
alexm
@Ziplin: zakup gotowego rozwiązania jest dobrą opcją, z zastrzeżeniem dostępnego budżetu ...
alexm
1

Zgadzam się z tym, co napisał Alex, ale podchodziłbym do tego nieco inaczej. Zamiast budować system od podstaw, sugeruję użycie jednej z bardzo łatwych w użyciu dystrybucji firewall. Osobiście wolę Smoothwall, ale jest wiele innych do wyboru. Oprócz zapewnienia znacznie większej elastyczności filtrowania niż obecnie, zyskasz także zalety posiadania przyzwoitej zapory ogniowej.

Większość dystrybucji firewall ma bardzo dobre wsparcie społeczności, więc jest całkiem możliwe, że ktoś już stworzył dodatek, który ci odpowiada. W przeciwnym razie, chociaż ustawienia, których szukasz, mogą nie być dostępne w normalnej konsoli zarządzania, można je łatwo wdrożyć za pośrednictwem squid i cron. Przy bardzo małej ilości skryptów możesz mieć tak dużą szczegółowość i kontrolę, jak tylko chcesz.

John Gardeniers
źródło
0

Spójrz na zapory ogniowe FortiGate. Mają blokowanie na poziomie aplikacji.

John Andrea
źródło