Как заблокировать сайты пользователям на удаленке?

Такой вопрос: большинство наших пользователей до сих пор работают на удаленке. Могут иногда зайти куда не следует, скачать что-нибудь, не требующее админских прав для установки. Да, вроде как все их рабочие станции покрыты антивирусом, с модулями контроля приложений и веб-контроля. Но хотелось бы более топорный и действенный инструмент блокировки открытия пользователями нежелательных ресурсов. Возможно, штатными средствами операционки или GPO. Может кто сталкивался? подскажите.
p.s.: пользаки сидят по домам, следовательно не под фаерволом. Есть VPN с функцией фаервола, но в нерабочее время они имеют возможность его выключить и твори что хочешь не корпоративной технике.
  • Вопрос задан
  • 3573 просмотра
Пригласить эксперта
Ответы на вопрос 11
HemulGM
@HemulGM Куратор тега Windows
Delphi Developer, сис. админ
Организовать работу пользователей в домене и управлять групповыми политиками. В противном случае, ничего не подействует. Если техника ваша, то вы в полном праве ограничивать работу на этой технике.

А домен позволит входить только в контролируемую учётную запись со всеми вытекающими. Через групповые политики можно управлять почти всем. И доступными сайтами и запуском программ и прочим.
Ответ написан
@Desere
А может просто понять, что любой человек - это прежде всего человек. И ему нужен перерыв от постоянной работы. А своими маниакальными ограничениями работодатель только лишь вызывает негатив. Если мотивация персонала на нуле - вы хоть что сделайте - не будет человек работать. Это просто его сущность. Вы же все из it среды и прекрасно знаете рабочую обстановку в it-гигантах - никаких запретов, полная свобода действий. Только результат нужен. И это - единственная цель существования любого предприятия. Так что сначала включайте свои мозги и не уподобляйтесь РосКомПозору.
Ответ написан
borisdenis
@borisdenis
Ленив и вреден...
качать что-нибудь, не требующее админских прав для установки.

Запрет запуска левого ПО групповыми политиками (нужен домен)

Могут иногда зайти куда не следует,

настроить проксик групповыми политиками в системе и запретить его изменение, который доступен только при работающем впн, раз в месяц начальнику отчет о похождениях и на ковёр провинившихся. Быть готовым к текучке.
Ответ написан
Комментировать
pindschik
@pindschik
ФЫВА ОЛДЖ
1) Начинать надо с организационно-правовых мер. Вы выдали ПК для работы. Это собственность компании. Пользователь не имеет права использовать её за пределами рабочего времени и не по назначению. Включаете в трудовой договор, разрабатываете нужные положения, приказ, знакомите.
2) Технически ограничиваете доступ внутрь ПК (пломбы на съемных элементах). Блокируете паролем вход в BIOS, загрузку с внешних устройств или других дисков. Оставляете в виндовс учетку без прав адмиинистратора. Ставите ПО для автоматического сбора информации о системе, оборудовании и ПО (возможно для этого подойдет ваш антивирус, если это например Kaspersky Endpoint со своим сервером управления). Решаете вопрос с централизованным развертыванием нужных настроек и версий ПО.
3) Ставите покупное ПО, которое контролирует работу пользователей. И выдаёт полный отчет о рабочем времени, используемых программах и проведенном в них времени. Собирает скриншоты и прочее - что еще сочтете нужным и допустимым.
4) Анализируете поступающую информацию. По фактам нарушений - проводите анализ их причин. Если это имело объективные основания - делаете выводы и разрабатываете мероприятия по исключению повторов. Если же это именно пофигизм и разгильдяйство - нарушителей привлекаете к дисциплинарной ответственности, обязательно с распространиением среди остальных удаленщиков.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Не понял - раздали корпоративные ноуты с правами админа? Ну, в таком случае говорят "Сам дурак". Если юзер работает на корпоративной технике - никаких прав админа, пароль на BIOS, загрузку с внешних носителей отключить, поставить антивирус и агент СМП.
Очень полезно будет п.1 из того, что предлагает pindschik
Ответ написан
Комментировать
@Sandro331k
Всё верно написали, единственное для SRP домен не нужен.
Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности (secpol.msc).
Это отличная защита от портативных программ.
Ответ написан
Комментировать
@Drubanda
Дмитрий, один из вариантов - это понизить текущую учетную запись пользователя на удалёнке, до "пользователь". Это можно сделать даже удалённо, только перед этой операцией необходимо создать другую учетную запись, которая будет с правами администратора.
После установить всем Kaspersky Endpoint Security Cloud Plus. В нём есть функционал фильтрации веб ресурсов (и не только).
В этой версии существует централизованное управление устройствами, на которые ПО установлено. То есть ваши задачи могут быть полностью решены таким образом
Ответ написан
Комментировать
@Kil1J0y
Скрыть от пользователя установку adguardhome, настроить публичный сервер не от рут... и там резать. Я таким способами без лишнего Г порезал один ноутбук выданный. Домена нет. Биос в локе, пользователь обычный. Подымается автоматом openvpn для удаленки от имени админа для пользователя все прозрачно
Ответ написан
Комментировать
@Ratenti
Можно через групповые политики настроить черный список в браузере
https://www.windows-active-directory.com/gpo-to-bl...
Ответ написан
Комментировать
@Santosh
Надо вход в Биос ещё заблокировать. Иначе загрузочная флешка с установленной операционной и все. Сам так делал когда-то. Ноут был в домене и заблочено было вообще все.
Ответ написан
@goose-hate
Если пользователи работают на не корпоративных (личных) ПК, то так можно и по шапке получить, если пользователь напишет заявление в полицию.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы