Как отключить интернет для определенного пользователя windows 7?
Учитывая, что на выходе стоит микротик с 6 уровнем лицензии.
В голову приходит только маркировка пакетов, как-то делал такое на linux, но можно ли такой трюк повторить в windows?
PS полностью блокировать выход в интернет нельзя, есть системные утилиты работающие на этом же ПК, которым нужен доступ к интернету, в тоже время за ПК сидят пользователи, которым интернет явно не нужен и только отвлекает их от прямых обязанностей.
Да, самое правильное и логичное решение — машину с мониторингом пускать только туда, куда должны ходить тулзы, а за второй рабочей — пусть делают что хотят…
Без использования прокси, можно организовать доступ ко внешнией сети с авторизацией через 802.1X, PPPoE или PPTP, т.е. наоборот — запретить всем, а с авторизацией кому надо — разрешить.
Со стороны пользователя особого геммороя нет, любой аппаратный роутер поддерживает RADIUS-авторизацию, со стороны Windows-сети поднимается NPS, задаются политики и вся авторизация становится прозрачной. Доступ к локальной сети и к требуемым ресурсам можно оставить и без авторизации.
аппаратный роутер у топикстартера есть, а судя по тому, какой именно у него есть аппаратный роутер, у него есть еще и виндоусовая ентерпрайз-сеть и нет необходимости поднимать что-то на «этой же семерке», а есть возможность настроить штатный NPS/IAS на Windows Server.
Так вот нету там «виндоусовой интерпраз сети», это отдельная такая хреновина вне общей сети. Просто отдельно стоящий дом. Когда это будет не отдельно стоящий дом, а комплекс — уже будет интересней и можно строить инфраструктуру. А пока этот роутер просто раздает интернет по вланам и обслуживает рабочую сеть контроллеров.
max_rip — вот вы и ответили на свой вопрос — пусть на машинку только валны, где бегает трафик контроллеров, и не давать туда доступ вланам в которых бегает интернет
foxmuldercp проблема в том, что ограничить интернет надо только на одном физическом ПК и сделать это на уровне пользователя и просто замечательно если это ограничение будет на уровне роутера, чтобы не делать разрешающие правила на самом ПК. Идеальное решение маркировка пакетов, на основании самого пользователя, а на основании этих уже маркировок роутер примет решение.
@max_ip — ну и ограничьте трафик, пустив на роутере на ваш пк мониторинга исключительно вланы с трафиком контроллеров, иначе смысл вланов теряется — а они как раз дл этого и были придуманы. и пусть будет без инета…
Прокся слишком сложное решение, в плане того, что скорее всего этот специфический софт не умеет с ней работать. А это система мониторинга и учета энерго, тепло, водо и других затрат. Так спефически сложилось, что через неё идет управление освещением комплекса.
Политиками слишком сложный квест. Начиная с запрета использования внешних носителей и кончая занесением всех программ через которые можно ходить в интернет в список которые запрещено запускать.
Иначе все это в пустую.
Или вы имеете в виду что-то другое?
Скорее всего, имелись ввиду политики IPSec, ими можно и нешифрованным трафиком управлять, но они на пользователей не назначаются, только на компьютеры.
нет конечно =)
но зато это самый вариант «наверняка».
а там могут быть процессы, запущенные от других пользователей?
btw, как — выполнение батничка с netsh(а дальше читать --help), простите, давно с виндой не имел дело, мысли дальше ip route add default via mm не идут :)
Я бы всё таки порекомендовал для таких целей поставить второй комп — всяко надёжнее и в текущих условиях не так дорого.
А так вот какие возникают идеи:
Используя виндовый файрволл разрешить доступ в сеть только тем программам, которые нужны. Остальное заблокировать. Пользователю урезать права, чтобы не мог рулить фаерволом.
Если утилит ограниченное количество, то явно прописать на микротике разрешённые адреса для этих утилит, а остальное банить.
Из предыдущего комментария не очень понял, но если эти утилиты только слушают адреса, то опять же прописать правила, которые разрешают только входящие соединения к этим утилитам, а остальное банить.
Дело не во втором компе, а в стоимости лицензии для дополнительного рабочего места.
По поводу списка разрешенных программ спасибо, буду завтра пробовать. На данный момент это самое реальное средство.
Главный вопрос: чем отличаются «системные утилиты» от запущенных юзером. Можно предположить, что «системные утилиты» запускаются под другой учеткой. Если у юзера ограниченные права и/или квалификация юзера близка к уровню плинтуса, то можно попробовать копать в сторону локальных файрволов и каким-либо образом сказать «процессы, запущенные под vpupkin, не пущать».
они работают как сервисы и запускаются от system, так вот не знаю я таких локальных фаерволов на windows, которые позволяют работать не только с приложениями но и с пользователями.
отключаю в ESS NOD32 — родителський контроль… Системные программы без проблем работают, а вот браузер пользователя никуда не пускает. Думаю, что такая фича есть в каждом современном антивирусном пакете…
Можно еще Родительский контроль попробовать (Панель Управления)…
Средний
