Blocca Facebook per gli utenti selezionati

Abbiamo alcuni utenti qui che utilizzano Facebook durante l'orario di lavoro e la loro produttività è in piena regola, come misura temporanea ho modificato in remoto i file dei loro host per indirizzare facebook.com e i suoi vari sottodomini per puntare all'indirizzo di loopback e poi manualmente commentare all'ora di pranzo in modo che possano usarlo.

Questo è ovviamente un po 'noioso farlo per un numero di utenti ogni giorno.

Sto cercando di trovare qualcosa che possa fare questo blocco automaticamente nei tempi previsti.

Stavo pensando a un tipo di server proxy che posso aggiungere alle impostazioni proxy sul loro browser tramite i criteri di gruppo.

Qualcuno sa di qualsiasi soluzione software gratuita o economica per Windows che lo farà? O forse qualcosa di autonomo che posso installare su un PC / VM?

Immagino che potrei sempre scrivere e pianificare alcuni file batch per cambiare un file host bloccato con uno non bloccato.

La rete è un server SBS di Windows 2003, stazioni di lavoro SP3 di Windows XP, singola interfaccia sul router Netgear DG834 del server che, sebbene abbia una certa pianificazione, non consente l'impostazione di una finestra a un solo blocco - ad esempio, dalle 21 alle 17:00, ma vorrei per aprirlo nel mezzo.

Se quello che stai facendo in questo momento funziona ma il problema è che stai impiegando troppo tempo, allora le attività pianificate sono amiche :)

Pop da qualche parte le due versioni del file hosts sulla rete (con FB abilitato / disabilitato), quindi impostare un'attività pianificata, inviata dall'oggetto Criteri di gruppo.

All'ora di pranzo (diciamo, 11:30) copia il file "FB abilitato" hosts, quindi dopo pranzo (diciamo, 13:30) copia il file "FB disabilitato" hosts.

Prezzo: $ gratuito
Difficile: facile
Efficacia: buona
gestione Spese generali: medie

_{Per la cronaca, la risposta di Squillman è quella che preferirei come amministratore di sistema, ma sappiamo tutti che non è così che funziona nella vita reale}

Come qualcuno che era responsabile dei proxy, dei firewall e dei filtri Web, sono molto d'accordo con il commento di @ DanBig e ti esorto a dire educatamente al management "Non mi interessa" e lasciare che lo facciano. Il baby-sitter è un problema di gestione / risorse umane e non dovrebbe essere lasciato al livello IT di lavoro. Se hai problemi di risorse al punto in cui le attività di Facebook causano problemi di prestazioni sulla tua rete e non disponi già di un software di filtro, blocca la loro porta dello switch o qualcosa e coinvolgi la gestione. Quindi lavorare con il management / risorse umane su una politica di utilizzo accettabile, che potrebbe anche includere un filtro proxy / web per aiutare a far rispettare tale politica. L'IT può aiutare a definire la politica, ma le risorse umane dovrebbero essere il proprietario della politica.

NON vuoi entrare nel bel mezzo di battaglie legali o altri conflitti con [ex] impiegati scontenti se / quando iniziano a scendere dal tubo. Non è un lungo declino dall'esuberante utilizzo di Facebook ad altri usi discutibili di Internet.

Un'altra alternativa sarebbe quella di bloccare Facebook e altri dalle macchine di lavoro delle persone dal 9 al 5, ma creare un "Internet Cafe" in un'area comune dove possano avere accesso a Internet per la navigazione personale all'ora di pranzo.

Queste macchine potrebbero essere bloccate per gran parte della giornata ma aperte solo dalle 11 alle 14 (ad esempio).

Poiché queste macchine sono effettivamente "pubbliche" le persone dovrebbero quindi imparare a disconnettersi quando hanno finito.

Ciò contribuirebbe anche a delineare chiaramente l'uso privato e lavorativo di Internet.

Wow, questo è sicuramente il modo più difficile.

Esistono moltissime soluzioni di filtro Web che faranno ciò di cui hai bisogno. Squidguard è probabilmente la scelta popolare / semplice, ma non mancano le opzioni gratuite / economiche (oltre a quelle ridicolmente costose); Districa, DansGuardian, le versioni gratuite di alcune delle appliance unificate di gestione delle minacce come Astaro farebbero il trucco.

Mentre sono d'accordo con la maggior parte qui che questo è un problema di gestione e in un mondo ideale finirebbe con una nuova politica; tuttavia, nel mondo in cui viviamo, oltre alla politica è richiesto un braccio di controllo.

Altri hanno menzionato diversi pacchetti che è possibile acquistare; Penso che quello che hai fatto vada bene: quello di cui hai bisogno è un modo per automatizzarlo. Penso che un semplice PowerShell e un paio di attività pianificate funzionerebbero bene.

Avevamo 3 macchine con accesso a Internet aperto in un'area pubblica con accesso bloccato a siti discutibili tramite OpenDNS e sezionato dal resto della rete. Il resto del piano di produzione non aveva accesso a Internet. Ha servito un sito con oltre 50 utenti piuttosto bene, ma la nostra attività non ha molto accesso al web.

Abbiamo una situazione simile nel mio posto di lavoro. Abbiamo risolto ponendo tutti gli utenti problematici sullo stesso sottodominio e bloccando l'accesso di quel sottodominio a Facebook, ecc. Attraverso il firewall. Se il firewall non accetta i nomi host, ci sarà un po 'di manutenzione associata alla modifica dei record DNS, ma questa sembra una soluzione accettabile rispetto alla soluzione corrente.

È inoltre possibile abilitare le restrizioni basate sul tempo a seconda del software del firewall.

Il più semplice (*) è installare Ubuntu su PC con 2 schede di rete, configurare iptables + Squid + Dansguardian e bloccare gli utenti tramite IP. Il proxy sarà trasparente, non è necessario configurare i browser degli utenti. In Dansguardian sarai in grado di creare gruppi di utenti e assegnare diversi set di regole a ciascuno di essi. Dansguardian supporta la pianificazione.

Oltre al blocco, consiglierei di implementare i rapporti. Le relazioni sono molto importanti: le persone sono molto più responsabili quando sanno di essere responsabili. Abbiamo utilizzato SARG che ha pubblicato rapporti giornalieri sul sito Web locale in modo che tutti, compresa la direzione, possano vedere le statistiche.

Preferisco gli accordi piuttosto che le politiche e le relazioni alla direzione. Pertanto, abbiamo concordato che i social network saranno disponibili durante l'ora di pranzo e dopo l'orario di lavoro e ciò è sufficiente per il 98% del personale.

* Più semplice perché:

• tutte le risorse necessarie sono PC vecchi e $ 15 per la scheda di rete - non è necessario richiedere un budget;
• tutti i pacchetti citati sono disponibili dal repository Ubuntu, non è necessario ricompilare nulla: la personalizzazione è minore con molti manuali e articoli disponibili;
• la soluzione è centralizzata;
• le regole funzioneranno per TUTTI i computer della rete anche se il PC non appartiene al tuo AD;
• questo intervallo è abbastanza buono per diventare una soluzione permanente, quindi nessuno sforzo sarà sprecato ...

Sono in generale d'accordo con ciò che Alexm ha scritto, ma lo affronterei in modo leggermente diverso. Invece di creare un sistema da zero, suggerisco di utilizzare una delle distro firewall molto facili da usare. Personalmente preferisco Smoothwall ma ce ne sono molti altri tra cui scegliere. Oltre a consentire una maggiore flessibilità di filtraggio rispetto a quella attualmente disponibile, otterrai anche i vantaggi di avere un firewall gateway decente.

La maggior parte delle distribuzioni firewall ha un ottimo supporto per la community, quindi è possibile che qualcuno abbia già creato un componente aggiuntivo adatto a te. Altrimenti, mentre le impostazioni che stai cercando potrebbero non essere disponibili nella normale console di gestione, sono facilmente implementabili tramite squid e cron. Con pochissimi scripting puoi avere la granularità e il controllo che desideri.

Dai un'occhiata ai firewall FortiGate. Hanno il blocco a livello di applicazione.