como bloquear navegação apenas na rede externa?

[TioJota]

Olá, atualmente gerencio a infra de um estabelecimento onde não existe controle por AD, e houve um pedido para bloquear os computadores de acessar conteúdo externo, no caso apenas para 4 computadores, digo apenas externo pois o sistema desse estabelecimento utiliza conexão web https em um servidor local, pensei em algumas alternativas como utilizar o hosts do windows, bloqueadores de links, porém foi ressaltado por esse cliente que o ideal é cortar totalmente o acesso a sites externos.

Obrigado.

[Visitante]

Use a GPO. Nas políticas de grupo pode determinar como as máquinas podem se conectar na rede.

[TioJota]

agora, Mega Blaster disse:

Use a GPO. Nas políticas de grupo pode determinar como as máquinas podem se conectar na rede.

Show, vou dar uma conferida nas regras e testar algumas.
Obrigado

[arfneto]

@TioJota algo simples pode ser usar um gateway pra essas maquinas que não vá pra lugar nenhum e manipulando através de DHCP.  Claro que os usuários não devem ter acesso administrativo para mudar os endereços de rede.

 

[Swalls]

@Mega Blaster tem como configurar GPO sem AD?

[Visitante]

@Swalls  Não tenho muito conhecimento sobre server, mas acho que não. O AD é usado justamente para gerenciar os usuários e determinar as configurações de domínio. Pode implementar configurações na estação local tendo o cuidado de impedir que o usuário tenha acesso administrativo, mas o AD é quem irá gerir as permissões da GPO.

Aqui tem instruções sobre implementação voltada à autenticação:

 

https://learn.microsoft.com/pt-br/windows-server/security/windows-authentication/group-policy-settings-used-in-windows-authentication

 

E aqui, como criar objetos da GPO:

 

https://learn.microsoft.com/pt-br/windows-server/networking/branchcache/deploy/use-group-policy-to-configure-domain-member-client-computers

[Swalls]

@Mega Blaster O dono do post disse não ter AD, por isso fiquei meio em dúvida com sua resposta.

[Visitante]

Em 27/05/2023 às 18:03, TioJota disse:

não existe controle por AD

Ele diz que não tem controle por AD e não que não tem. Duas hipóteses: Ou não implementou políticas ou não é server.

[arfneto]

@TioJota Não tem mesmo um firewall na rede? Não pretende implementar um? Numa rede pequena pode ser só uma máquina qualquer rodando Windows com o firewall e duas placas de rede...

 

 

Como eu disse, o mais simples é usar um gateway que não vá pra lugar algum. Assim esses 4 micros navegam ok na rede mas qualquer acesso a outras redes vai falhar. Pode usar isso direto em um simples script de login nas contas que usam essas máquinas. Ou definir as configurações de rede para elas separadamente (menos conveniente se não tem acesso permanente ao local

[Visitante]

@arfneto Nesse aspecto, não seria mais interessante um servidor proxi? Tem mais vantagens no controle.

[arfneto]

@Mega Blaster não sei dizer. E de todo modo firewalll é proxy conceitualmente. 

E se tiver um micro lá parado pode usar direto o fw do Windows. Proxy. Squid, Linux, routerOs, tudo isso resolve mas envolve mais conhecimento

 

[Swalls]

@arfneto Acredito que o proxy permite mais liberdade para configurar e é mais "otimizado", mas pouco sei dessa área, mês passado eu montei meu primeiro proxy porque estava com dificuldades com firewall e ainda estou enfrentando os problemas de como filtrar https sem cometer crimes 

[Buga Laza]

Em 04/01/2024 às 11:26, Swalls disse:

tem como configurar GPO sem AD?

 

Existem quatro tipos de GPO: locais, por Site, por Domínio e por Unidade Organizacional. Exceto as diretivas locais, as demais são armazenadas no Active Directory e, quando aplicadas, substituem as diretivas locais.

 

Em 27/05/2023 às 23:19, arfneto disse:

algo simples pode ser usar um gateway pra essas maquinas que não vá pra lugar nenhum e manipulando através de DHCP.

 

Mais simples ainda é não definir nenhum gateway.

 

23 horas atrás, arfneto disse:

E se tiver um micro lá parado pode usar direto o fw do Windows

 

Embora o Windows Defender Firewall seja bastante eficiente para filtrar o tráfego de entrada e saída do próprio host, ele não processa nenhum tráfego encaminhado. O que poderia ser feito seria configurar as regras de firewall no Active Directory, que seriam aplicadas nas estações individualmente.