Spesso come policy aziendale, l’accesso a Internet è permesso solo a determinati utenti della rete. Il problema sorge nell’individuare la soluzione ideale per bloccare l’accesso a chi non è autorizzato.
Le soluzioni che si possono implementare sono diverse con diversi gradi di complessità (proxy, firewall, etc.).
Dove il budget disponibile non permette l’implementazione di soluzioni onerose per il portafoglio, è possibile utilizzare una semplice configurazione utilizzando le GPO di Active Directory.
Prerequisiti
Per utilizzare al meglio questa soluzione, sono necessari:
- La presenza nella rete di un Server IIS
- Gli utenti non devono avere i diritti di Local Administrator
Procedura
Tramite un html editor (Word ad esempio) creare un file .html in cui viene visualizzato il messaggio di connessione non permessa e salvarlo con nome default.html.
Sul server IIS creare una directory “nointernet” e copiare al suo interno il file default.html precedentemente creato assegnando correttamente i permessi di lettura al sistema.
Dal server, aprire Start –> Administrative Tools –> Internet Information Services (IIS) Manager. Click col tasto destro del mouse su Sites e selezionare l’opzione Add Web Site.
Digitare nei campi i valori precedentemente configurati ed assegnare una porta (8005 nell’esempio) per il Binding.
Site name: nointernet Physical path: C:\nointernet Port: 8005 (verificare che la porta non sia già in uso)
Cliccare su OK per creare ed avviare il nuovo sito web.
Il sito appena creato compare nella lista dei Sites del sistema.
Verificare che il sito sia raggiungibile dai client della rete digitando dal browser di Internet l’indirizzo http://IP_server_iss:8005.
Poichè per bloccare determinati utenti viene utilizzata una Group Policy di Active Directory, è necessario utilizzare un security group per contenere la lista di utenti a cui deve essere negato l’accesso a Internet.
Creare un nuovo gruppo AD dando il nome, ad esempio, L-Group-NoInternet.
Dal server utilizzato per gestire le GPO, aprire Start –> Administrative Tools –> Group Policy Management.
Sulla voce Group Policy Objects fare click col tasto destro del mouse e selezionare New. Dare un nome alla nuova GPO e cliccare su OK.
Dal Group Policy Management Editor, selezionare la GPO appena creata, cliccare col tasto destro del mouse e selezionare l’opzione Edit. Selezionare User Configuration –> Windows Settings –> Internet Explorer –> Connection –> Proxy Settings.
Impostare i Proxy Settings con i valori che riflettono la configurazione della rete e cliccare su OK.
HTTP: http://Server_ISS_IP Port: 8005
Selezionare la nuova GPO da Group Policy Object e cliccare su Add in modo da assegnare la policy al gruppo precedentemente creato.
Specificare quindi il gruppo AD L-Group-NoInternet e cliccare su OK.
Infine assegnare la GPO all’OU desiderata tramite la voce Link an Existing GPO.
A questo punto non rimane che assegnare gli utenti a cui si vuole bloccare l’accesso a Internet al gruppo L-Group-NoInternet. I membri appartenenti a questo gruppo non saranno più in grado di accedere ad Internet.
ciao, aiutami ti prego, ho eseguito la tua procedura alla lettera, ma non riesco più a togliere il server proxy,è come se si fosse memorizzato in ogni client!lasciami il tuo num di cell nella mia email, che ti chiamo!per favore!
Se hai utilizzato una GPO per impostare il proxy, edita la stessa GPO per rimuoverlo.
Attenzione a chi viene assegnata la GPO... solo gli utenti a cui deve essere bloccato l'accesso Internet devono essere soggetti alla policy.
Problema risolto, ho eliminato il server proxy (la configurazione) dal pannello di controllo (opzioni internet) di ogni macchina. Avevo pensato anch'io alla tua idea!.
Un'altra cosa..se io volessi bloccare invece un determinato sito dalla sua visualizzazione che si trova in un det. indirizzo ip come posso fare?.
Tramite issv6 io posso impostare gli indirizzi ip che possono vedere il sito web, ma non il loro indirizzo mac.
Quindi un utente non autorizzato a vedere il sito, prima che la mattina venga l'utente autorizzato, si impossessa del suo indirizzo ip (che si trova tra quelli autorizzati dall'issv6) e accede al sito.
Il problema esiste perchè esistono degli account administrator all'interno di alcuni pc.
Io non vorrei essere così drastico ed eliminare questi accoount (il problema così si risolverebbe). Se issv6 permettesse la visualizzazione non solo tramite ip, ma anche il mac address sarebbe buono.
L'unica soluzione che mi viene in mente, è l'uso di un buon firewall per window server 2003.
Tu che ne pensi?
Grazie anticipatamente per la tua risposta.
@HackCMR
Questa è una semplice e veloce soluzione per bloccare l'accesso degli utenti non autorizzati ad Internet.
Bloccare siti web solo tramite IP non sempre è la soluzione ideale... immagina bloccare l'accesso a Facebook tramite IP: è praticamente impossibile dato il numero di server utilizzati. Un servizio di web filtering/proxy è senz'altro più indicato. Per configurazioni ancora più articolate bisogna operare anche sul firewall.
Ottima guida grazie, solo un paio di dubbi:
ho la necessità di bloccare l'accesso ad internet ad alcuni utenti ma voglio lasciare la possibilità di utilizzare la posta elettronica tramite server exchange su server. Questa procedura blocca anche l'accesso alla posta? inoltre se l'utente dovesse installare un altro browser tipo firefox etc...vale lo stesso la procedura?
grazie mille ciao!
Se il server Exchange risiede come presumo nella LAN, semplicemente puoi inserire la subnet utilizzata nelle Exceptions di Internet Explorer (es. 172.16.*.*). In questo modo tutti i servizi http interni funzioneranno senza problemi (Intranet, Exchange, etc.).
Se l’utente installa un browser tipo Firefox, il blocco non funzionerà poichè la configurazione tramite GPO può essere impostata solo per Internet Explorer. Ma se l’utente non ha i diritti di amministratore locale sul suo PC, puoi prevenire l’installazione di browser non autorizzati.
Al limite installi Firefox ed imposti il proxy tramite lo user Administrator così l’utente non ha la possibilità di modificare i parametri.