Как заблокировать сайты пользователям на удаленке?

Question

[Дмитрий]

Такой вопрос: большинство наших пользователей до сих пор работают на удаленке. Могут иногда зайти куда не следует, скачать что-нибудь, не требующее админских прав для установки. Да, вроде как все их рабочие станции покрыты антивирусом, с модулями контроля приложений и веб-контроля. Но хотелось бы более топорный и действенный инструмент блокировки открытия пользователями нежелательных ресурсов. Возможно, штатными средствами операционки или GPO. Может кто сталкивался? подскажите.
p.s.: пользаки сидят по домам, следовательно не под фаерволом. Есть VPN с функцией фаервола, но в нерабочее время они имеют возможность его выключить и твори что хочешь не корпоративной технике.

Comments

[historydev]

Как в компьютерном клубе - время вышло, введите код.
Не может пользоваться - не может открывать ссылки, верно?

[Refguser]

Для неграмотных и hosts (вместе с политиками ОС) достаточно. А грамотный найдёт способ как обойти всё, что бы как бы там не контролировали свыше.

Это проблема не столько техническая, сколько организационная - договора и наказания надо внедрять.

[Василий Банников]

Кажется, что самое эффективное тут - это организационные меры.
1. Ввести инструктаж и тесты для новых сотрудников по ИБ. Пока не пройдёшь успешно тест - к работе не приступишь.
Для старых сотрудников - провести. И повторять каждый год.

2. В случае любого инцидента безопасности (начиная с клика по ссылке в ненастоящей фишинговой расслыке, заканчивая установкой стороннего ПО) - повторное прохождение курса по ИБ.

3. Ввести белый и чёрный список ПО. Есть способы следить за установкой и запуском автоматически, но я хз как.
Белый список - никаких мер не прилагается, ПО точно безопасное. Чёрный список - ПО точно опасное/нежелательное и немедленно приводит к соответствующим мерам. Всё что не находится в списке - отправляется безопасникам (ну или перед установкой сам пользователь должен отправить безопасникам, чтобы ПО включили в белый список)

4. Периодически проверять сотрудников на практике - например устраивать фишинговые рассылки и ловить тех, кто переходит по ссылкам в них.

Если сотрудник систематически нарушает правила ИБ и не может понять их важность - возможно это повод с ним расстаться, тк такой сотрудник очень сильно подставляет всю компанию.

[V-core]

Пользователи на удалёнке используют вашу технику?
Тогда, например, жёстко прописанный корпоративный DNS позволит им резоливить только рабочие сервисы при условии присоединения к офису.

[Дмитрий]

V-core, Да понятно, но соединение с "офисом", через VPN пользователь имеет возможность выключить. С того момента, когда у него становится прямой доступ в интернет (домашний), это перестаёт работать?

[Дмитрий]

Василий Банников, Подход правильный, можно и нужно всё это делать параллельно. Но сейчас я ищу определённый инструмент для конкретной задачи.

[V-core]

Дмитрий,
без связи с офисом не будет работать разрешение имен - значит ни один сайт по имени не откроется.

Answer 1

[Desere]

А может просто понять, что любой человек - это прежде всего человек. И ему нужен перерыв от постоянной работы. А своими маниакальными ограничениями работодатель только лишь вызывает негатив. Если мотивация персонала на нуле - вы хоть что сделайте - не будет человек работать. Это просто его сущность. Вы же все из it среды и прекрасно знаете рабочую обстановку в it-гигантах - никаких запретов, полная свобода действий. Только результат нужен. И это - единственная цель существования любого предприятия. Так что сначала включайте свои мозги и не уподобляйтесь РосКомПозору.

Comments

[Hemul GM]

Кто обезопасит компанию от того, что юзер подцепит шифровальщик во внутреннюю сеть?

[Desere]

Шифровальщик юзер должен скачать и запустить в сеть. Эта процедура никак не связана, например, с паролированием Биоса, запретом на изменения схемы питания, выхода на почтовые сайты, Ютуб и т.д.?

[AlexShtang]

Desere, если не запаролить биос, то у юзера появляется возможность запуститься со своей системы. Снести систему. Взломать пароль, получить доступ локального админа.

Что касается выхода на "ютубы и сайты", то организация имеет полное право запрещать это делать на своей технике. Надо вам развлечения -- выходите со своего устройства.

Да, и в больших it-гигантах с безопасностью и контролированием прав всё очень хорошо. С терминалов с конф информацией вы никуда не выйдите и просто так в них не зайдёте. В тоже время со своих устройств -- делайте что хотите. Там как правило либеральная демократия, но никак не анархия.

[Desere]

Вы написали ключевое - с терминалов. Но не с локальных машин. Я работал в европейской компании и с безопасностью все было отлично - для доступа к внутренним ресурсам автоматом подключался шифрованный канал. Но в это же самое время я мог открывать любой другой сайт не через шифрованный канал. А насчёт Биоса - вообще бредовая идея, т.к. можно шифровать диск с помощью битлокера и никакая установочная флешка не поможет никак.

Answer 2

[Довольный Айтишникъ]

качать что-нибудь, не требующее админских прав для установки.

Запрет запуска левого ПО групповыми политиками (нужен домен)

Могут иногда зайти куда не следует,

настроить проксик групповыми политиками в системе и запретить его изменение, который доступен только при работающем впн, раз в месяц начальнику отчет о похождениях и на ковёр провинившихся. Быть готовым к текучке.

Answer 3

[Hemul GM]

Организовать работу пользователей в домене и управлять групповыми политиками. В противном случае, ничего не подействует. Если техника ваша, то вы в полном праве ограничивать работу на этой технике.

А домен позволит входить только в контролируемую учётную запись со всеми вытекающими. Через групповые политики можно управлять почти всем. И доступными сайтами и запуском программ и прочим.

Comments

[Дмитрий]

Это всё понятно, но хотелось бы более предметно. Желательно ссылки бы покидал кто, по теме, как блокировать.

Answer 4

[Sandro331k]

Всё верно написали, единственное для SRP домен не нужен.
Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности (secpol.msc).
Это отличная защита от портативных программ.

Answer 5

[Santosh]

Надо вход в Биос ещё заблокировать. Иначе загрузочная флешка с установленной операционной и все. Сам так делал когда-то. Ноут был в домене и заблочено было вообще все.

Comments

[Desere]

Мне вас жаль, что вы работали и были частью политик, которые считали, что человек - быдло неразумное. Видимо в подобных конторах только таких и нанимают. Вообще не понимаю - зачем они существуют.

[Дмитрий]

Согласен, да. Надо. Но пока до сих пор биос так и не запоролили.

Answer 6

[pindschik]

1) Начинать надо с организационно-правовых мер. Вы выдали ПК для работы. Это собственность компании. Пользователь не имеет права использовать её за пределами рабочего времени и не по назначению. Включаете в трудовой договор, разрабатываете нужные положения, приказ, знакомите.
2) Технически ограничиваете доступ внутрь ПК (пломбы на съемных элементах). Блокируете паролем вход в BIOS, загрузку с внешних устройств или других дисков. Оставляете в виндовс учетку без прав адмиинистратора. Ставите ПО для автоматического сбора информации о системе, оборудовании и ПО (возможно для этого подойдет ваш антивирус, если это например Kaspersky Endpoint со своим сервером управления). Решаете вопрос с централизованным развертыванием нужных настроек и версий ПО.
3) Ставите покупное ПО, которое контролирует работу пользователей. И выдаёт полный отчет о рабочем времени, используемых программах и проведенном в них времени. Собирает скриншоты и прочее - что еще сочтете нужным и допустимым.
4) Анализируете поступающую информацию. По фактам нарушений - проводите анализ их причин. Если это имело объективные основания - делаете выводы и разрабатываете мероприятия по исключению повторов. Если же это именно пофигизм и разгильдяйство - нарушителей привлекаете к дисциплинарной ответственности, обязательно с распространиением среди остальных удаленщиков.

Comments

[Дмитрий]

Да, у нас есть KES и KSC, оттуда смотрю реестр ПО у пользаков. Это очень удобно. Но вот веб-контроль антивируса работает, мягко говоря, непредсказуемо. С групповыми политиками Windows практически не работал, потому и попросил поделиться экспертизой, как с их помощью блокировать сайты. Иметь список сайтов, скажем на 1000 страниц (для начала) и сделать так, чтобы ни один браузер на корп. технике пользователей ни в одном браузере эти страницы не открывались. Ну вот вообще никак, при всём желании. Существует ли такое?

[pindschik]

Групповые политики не годятся для блокировки сайтов (ну разве что заменять всем принудительно файл hosts). Но вы можете реализовать фильтрацию в KES, кроме того там есть встроенные готовые группы (игры, насилие, соцсети и т.п.), и возможно, что список из 1000 сайтов делать просто ни к чему.
Как вариант - составить белый список сайтов. И открыть только их.

Кроме реестра ПО - вам нужен полный расклад, кто и чем занимается. На каких сайтах и сколько времени проводят. Торчат ли в мессенджерах... Это не сделает Касперский, но есть специализированное ПО (например Стаффкоп - правда у него ужасен интерфейс администратора, но возможности тотального контроля всего - очень широкие).

В любом случае помните - работнику можно технически зарегулировать что угодно, но он всё равно не будет работать - станет смотреть в окно, думать о вечном и ковырять в носу... Нельзя ограничиваться только техническими мерами.

Кроме того, есть такая проблема как Яндекс браузер. Он устанавливается в профиль пользователя, и там же обновляется. И может быть нужен. Такую ситуацию разруливать политиками крайне сложно.

Да и нужно ли бороться, если можно просто установить правила игры:
"Эта железка не ваша, только для работы, будете фигнёй страдать - будет атата"

[Desere]

А пользователи вам в ответ ручкой помашут и останетесь вы со своими железками хачнуть как Кащей над златом. Адекватные с такими закидонами от всезапрещальщиков работать не будут.

[pindschik]

Desere, вы путаете Кощея и адекватные меры безопасности, которые обеспечивают контроль за добросовестным трудом (между прочим в ТК РФ такая обязанность прописана за работником).
То, что коммерческая организация стремится получать прибыль - в этом нет ничего аморального. На то она и коммерческая, а не благотворительная. И законно хочет, чтоб ее работники работали, а не получали ЗП за шабашки на стороне в рабочее время. И если дело абстоит именно так - никто и ни куда не разбегается. Напротив - люди понимают - что их оплата происходит прямо пропорционально труду. Коллективы на удаленке если и теряют кадры, то это единичные случаи и как раз следствие работы системы. Я не зря написал пункт 4. - анализ ситуации обязателен.

Но есть другие ипостаси, например:

1) Принципиальный лентяй. Обиженка, у которого все виноваты. Считает, что ЗП ему платят просто так, а вот чтоб работал, надо доплачивать сверху, а раз не доплачивают - то и работать он не будет (премии, разумеется, не в счет). За$ницу со стула можно поднять только домкратом. Потратит больше усилий, чтоб уклоняться от работы, чем на работу. Скачет между организациями, выискивая как раз "болотистые" места.
Уйдет такой, если будет контроль? Уйдет... А велика потеря?

2) Шибко хитрый. Шабашит постоянно, куча горящих шабашек, постоянный дедлайн. Рассматривает основную работу - просто как удобное место для получения пассивного дохода. Сидит, иммитирует деятельность, получает ЗП, шабашит. Сколько не плати, даже вдвое от рынка - он не бросит шабашки.
А такого кадра "потерять" - разве нежелательно?

И принципиально другой вариант:
- Дочерная структура при полу-госконторе. Отставные генералы из вышестоящей структуры, их дети и внучкИ, кумовство процветает. ЗП распределяется исключительно по блату. Вот в нее перетекает и очень уважаемый Главный безопасник - из бывших силовиков. Знания определенного специфического характера и опыт - конечно у него есть, но не глубокое знание вопросов ИТ безопасности - да оно ему и не требуется. Это его вотчина, эта структура - для него, а не он для неё. Вот такой отрывается в самодурстве, наглухо отучая окружение думать и спорить. Максимально, до одури, закручивает гайки. При этом фактически они легко обходятся. Ибо существуют не для реального контроля, а для оправдания своей работы. При этом, как написал выше - никто с "гениальными" решениями ИБ не спорит и оценку эффективности не проводит - себе дороже. Периодически сам инициирует бурную деятельность по выявлению виновных. Причин вины достаточно любых и самых формальных (опыт "принятия" и гладкого "оформления" имеется). Замыкание всех ИБ инцидентов производит только через себя, докладывает через голову генеральному в вышестоящей стуктуре и только свою версию. Оттуда прилетает только одна комманда - уволить, остальных наказать.
Вот оттуда бегут нормальные работники и оседают 1-й и 2-й вышеуказаные типы.
А всей когорте тамошних тунеядцев - контроль не помеха. Они могут вечно иммитировать деятельность и соблюдать ритуалы ИБ (когда нет реальной работы, сойдет и такая загруженность). Если благодаря ИБ рабочая операция, занимавшая 5 - минут растягивается на месяц согласований и ожиданий - это же прекрасно. Тем более, что 3/4 из них и пальцем тронуть нельзя (блат). И отмазы, почему комп постоянно в простое - у них будут железные (совещания, планерки, коммандировки, выходы на объект и т.д.)
Плохо что ли?
Нормальным людям там делать нечего, а всем остальным - хорошо.

[Desere]

В первом случае - вопрос к HR.
Во втором случае - вопрос к HR и руководству в целом.
Заметьте - ни к человеку-работнику, а к руководству организации. Ибо управление человеческими ресурсами - это такая же не простая деятельность, как основная специализация компании. И ей управлять должны профессионалы именно в этой области.
В третьем случае - такие организации существовать не должны ибо они паразитируют в экономике и отбирают поле для деятельности у реально работающих.
Так что никаких причин во всяких блокировках я лично не вижу.

[Дмитрий]

pindschik, ограничение белым списком нам не подходит, всегда может найтись какой-то сайт, который очень сильно нужен, а мы о нём не знали и в белый список не добавили. Включали веб-контроль, он положил нам ремоутку, с тех пор изучаем вопрос "альтернативных решений". )
p.s. Конечно же, надо полагать, что возможно вопрос связности ремоутки и веб-контроля решится обращением в тех. поддержку ЛК, но тем не менее. альтернативные решение изучать это не мешает.

Answer 7

[CityCat4]

Не понял - раздали корпоративные ноуты с правами админа? Ну, в таком случае говорят "Сам дурак". Если юзер работает на корпоративной технике - никаких прав админа, пароль на BIOS, загрузку с внешних носителей отключить, поставить антивирус и агент СМП.
Очень полезно будет п.1 из того, что предлагает pindschik

Comments

[Дмитрий]

Не раздавали с правами админа, а есть софт, который для установки права не требует (как гугл хром). И это в какой-то степени проблема.

[CityCat4]

Дмитрий, На корпоративные ноуты - которые есть собственность компании - можно ставить CМП. А в СМП есть модуль обнаружения "тревоги по ключевому слову". Например задаем ключевое слово "hh.ru" - и как только юзер зашел на него (с прокси, без прокси, с VPN, без VPN, как угодно) - админу летит алерт.

Я в таких случаях поступаю по ситуации :) Кому-то достаточно просто сказать Ай-яй-яй сообщением от непонятно чего (вдруг посреди экрана появляется окно "Сообщение" с текстом типа не надо ходить туда-то), с кем-то поговорить самому, с кем-то поговорит начальник.

Подобная задача обычно не имеет чиста технического решения. Ну и кроме того, даже на конвейере есть технологические перерывы через два часа :)

[Дмитрий]

CityCat4, да, хорошее решение. Какие порекомендуете СМП?

[CityCat4]

Дмитрий, Я до сих пор использую Стахановец. Правда, последнее время он сильно испортился. Оттуда ушли все разрабы, которые его некогда создали. Примерно как в Федорином Горе - "и чашки ушли и стаканы, остались одни продаваны" :)
Они все еще барахтаются, но основной продукт у них по-прежнему тот, старый Стахановец, в котором не правятся баги столетней давности. При том, что даже и сейчас он работает с фантастической эффективностью (если компы только на винде, линух там не поддерживается).
Но на будущее я вижу переход скорее всего на SearchInform (или на Стафф, если они линух запилят).

Answer 8

[Drubanda]

Дмитрий, один из вариантов - это понизить текущую учетную запись пользователя на удалёнке, до "пользователь". Это можно сделать даже удалённо, только перед этой операцией необходимо создать другую учетную запись, которая будет с правами администратора.
После установить всем Kaspersky Endpoint Security Cloud Plus. В нём есть функционал фильтрации веб ресурсов (и не только).
В этой версии существует централизованное управление устройствами, на которые ПО установлено. То есть ваши задачи могут быть полностью решены таким образом

Comments

[Дмитрий]

Они и так с правами пользователя. Локального админа по умолчанию ни у кого нет. Просто есть софт, не требующий прав для установки. KES и KSC у нас тоже установлен, но там есть нюансы.

Answer 9

[Kil1J0y]

Скрыть от пользователя установку adguardhome, настроить публичный сервер не от рут... и там резать. Я таким способами без лишнего Г порезал один ноутбук выданный. Домена нет. Биос в локе, пользователь обычный. Подымается автоматом openvpn для удаленки от имени админа для пользователя все прозрачно

Answer 10

[Ratenti]

Можно через групповые политики настроить черный список в браузере
https://www.windows-active-directory.com/gpo-to-bl...

Answer 11

[goose-hate]

Если пользователи работают на не корпоративных (личных) ПК, то так можно и по шапке получить, если пользователь напишет заявление в полицию.

Comments

[pindschik]

Вот по этому и выдают корпоративные. С личными существонно заморочнее реализовать. Настолько, что проще купить и выдать.
Но можно.
Как при использовании личного автомобиля...

Подписали договор - используется личный комп. За вознаграждение. Рабочее время с 9 до 18, обед с 13 до 14. В рабочее время обязан работать. В рабочее время производится контроль компа (и что личный комп - тут уже не влияет, контролируется РАБОТА). Есть ключ лицензии, допустим Нанокад, использовать выданную софтину можно только по работе (она не твоя). Обязан поставить немного крутого софта от работодателя, наблюдение, доступ админа, VPN, мессенджер, почта и т.п.
Если возникла такая необходимость - можно и переработки вечерами. Но. При запуске Нанокада за пределами рабочего времени - начинается наблюдение.
Еще работодатель проводит обучение. В рабочее время. Обязан обучаться. А в связи с тем, что тебя учат за счет работодателя - ты обязан соблюдать деловую этику - не работать у конкурентов, используя данные тебе новые знания и опыт.
Всё подписано обоюдно, в двух экземплярах.

Нормальный софт наблюдения настраивается так, что не будет собираться информация, когда после 18:00 вы играли в доту, а ближе к ночи посещали сайт на букву По, который кончается на ХАБ...
Вам предоставляется доступ ко всей собранной по вам информации.

Идите, пишите заявление в полицию... Если, на вашу беду, заявление примут и дадут ему ход - получите ответку за клевету.

[Desere]

pindschik, фигасе работодатель - личные компы использовать в рабочем процессе. Нужно таких работодателей всем дружно направлять в сторону леса. Как начались всем известные события отечественные работодатели начали такой ерундой заниматься. И надо таких работодателей учить нормальным отношениям. В трудовом кодексе прописана обязанность предоставлять ВСЕ инструменты для выполнения рабочих обязанностей. Иначе работник может (а по моему мнению - обязан) обратиться в трудовую инспекцию. Результаты обращения бывают редко в сторону работодателя.

[Дмитрий]

Desere, столько однотипных комментариев про свободу прав человека, как будто пишет председатель профсоюза

[Дмитрий]

pindschik,

[Desere]

Дмитрий, нет, не председатель профсоюзов, а всего лишь тот, кто видел иной подход работодателя к работникам, нежели, чем к рабам.

Answer 12

[Сергей Сахаров]

Вообще ничего не понял. Сам работаю на удалёнке. Комп личный, никто ничего не режет - никаких сайтов. Для подключения к работе есть несколько VPN чтобы заходить на ТС, там две учётки (простая и админская, ТС в домене). Там, где админская, инета нет вообще. Только локальная сеть. С коллегами общаемся в мессенджере.

И всё, работаем, выполняем задачи по заявкам.
Решил заявку - "табутаск выполнен, авторитет +1"
Не решил заявку - "табутаск провален, авторитет -1"
© "Вангеры"

Да, рабочая станция в офисе есть, но доступ к ней получить не так просто.
И на ней интернета нет. Совсем. Да и не нужна она, если всё можно сделать с ТС.

Comments

[Дмитрий]

видите ли, везде сильно по-разному организованы рабочие процессы. Там, где у работников сильно функционал ограничен, там можно как у Вас - весь Интернет отключить полностью, оставить только Интранет (внутреннюю сеть). Но у нас так нельзя... Кстати, а что такое ТС?

[Сергей Сахаров]

Дмитрий, ТС - Терминальный сервер (сервер терминалов).
У нас функционал ничем не ограничен. Выполняем заявки - "развернуть ВМ", "сделать снапшот", "завести полсотни УЗ на сервер терминалов..." Клиенты попадают на свои ТС снаружи через Балабит - это СКДПУ. И там работают.

Answer 13

[Lordzero]

1. Организационно-административные меры в сто раз проще и эффективнее технических.
2. Можно политиками запретить запуск всего что явно не разрешено, но это аукнется кучей обращений что что-то не работает и нужно включить
3. Если уж очень надо будет, пользователь зайдет куда надо с телефона или личного компа