سعید صغیر شمس آبادی
کارشناس شبکه های مایکروسافت : علاقه مند به لینوکس

آموزش بلاک کردن (Block) سایت ها در شبکه با گروپ پالیسی

همانطور که میدانید در شبکه های بسیاری از سازمانها ، شرکتها ، محیطهای آموزشی و ... اینترنت وجود دارد و بنا به نیاز در اختیار کاربران قرار میگیرد ممکن است گاهی لازم باشد که کاربران از ورود به برخی سایتها منع شوند و یا آنها را تنها به ورود به برخی وب سایتها محدود کرد ، در این مقاله تصمیم داریم نحوه ی محدود کردن کاربران به مشاهده ی وب سایتها از طریق گروپ پالیسی و بصورت متمرکز توضیح دهیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. در قسمت User options
  2. نتیجه

بدیهیست که جهت اعمال این پالیسی بصورت متمرکز لازم به یکپارچه سازی کلاینتها و راه اندازی اکتیو دایرکتوری میباشیم ولی در حالت عادی هم میتوانیم در Group policy کامپیوتر ها این تنظیمات را اعمال کنیم. توجه داشته باشید که با استفاده از این روش کاربران تنها در مرورگر Internet Explorer محدود به مشاهده صفحات اینترنتی خواهند بود و از طریق مرورگرهای دیگر میتوانند به راحتی و بدون هیچ محدودیتی تمامی صفحات را باز و مشاهده کنند اما شما میتوانید با محدود کردن IE و عدم اجازه نصب مرورگرهای دیگر به کاربران تا حد زیادی به هدف خود برسید .

در این روش ما یک لیست از وب سایتها را درست کرده و با توجه به آدرسهای موجود در این لیست کاربران را محدود میکنیم. میتوانیم کاربران را از مشاهده آدرسهای درج شده منع کرده و یا به کاربران تنها اجازه بازکردن آدرسهای موجود در لیست را بدهیم. در ابتدا برای اینکار از طریق کنسول گروپ پالیسی در ویندوز سرور GPO ایجاد کرده و آن را تنها به کاربران ( نه کامپیوترها !!! ) Assign میکنیم . سپس آن GPO را باز کرده و به مسیر زیر میرویم

User Configuration => Windows Settings => Internet Explorer Maintenance => Security

در این قسمت Security Zones and Content Ratings را باز کرده در پنجره باز شده Import the current Content Ratings settings را انتخاب کنید

نحوه Block کردن سایتها از طریق Group Policy

Modify settings را بزنید تا پنجره ای به شکل زیر باز شود

نحوه Block کردن سایتها از طریق Group Policy

در اولین باری که این پنجره را باز میکنید بدلیل عدم وجود رمز، این پنجره به راحتی باز میشود ولی پس از اعمال تغییرات و در زمان بستن پنجره از شما درخواست یک رمز جدید میشود و با وارد کردن رمز از آن پس برای مشاهده این پنجره اول بایستی رمز ورود را وارد کنید . در این پنجره در تب Approved Sites لیستی از سایتها را میتوانید وارد کنید که در ادامه روش ایجاد آنها را توضیح خواهیم داد.در تب General با هم مروری به برخی تنظیمات میکنیم :

نحوه Block کردن سایتها از طریق Group Policy

در قسمت User options

  • Users can see websites that have no rating : با غیرفعال کردن این گزینه کاربران تنها سایتهایی را مشاهده میکنند که در تب Approved Sites اجازه دسترسی به آنها داده شده باشد و مابقی وب سایتها را مشاهده نخواهند کرد و با فعال کردن آن کاربران قادر به مشاهده تمامی وب سایتها و صفحات وب بوده به جز آنهایی که در تب Approved Sites بلاک شده اند.
  • Supervisor can type a password to allow users to view restricted content : زمانی که کاربران از مشاهده ی یک سایت منع شوند به صورت پیشفرض با پیامی مواجه میشوند که از آنها رمز برای ویرایش تنظیمات لیست خواسته میشود رمز خواسته شده همان رمزی هست که در ابتدا برای ورود به پنجره Content Advisor مورد استفاده قرار میگرفت شما با غیر فعال کردن این چک باکس میتوانید موجب عدم درخواست رمز عبور از کاربر شوید و کاربر تنها با پیغامی مبنی بر بلاک شدن سایت فوق مواجه میشود.

در صورت تمایل به تعویض رمز عبور خود میتوانید دکمه Change password را زده و در پنجره باز شده رمز عبور جدید خود را وارد کنید

برمیگردیم به تب Approved Sites و روش ایجاد لیست را توضیح میدهیم

نحوه Block کردن سایتها از طریق Group Policy

در این پنجره اگر بخواهیم Block list درست کنیم یعنی مجموعه ای از سایتها که اجازه دسترسی کاربران از آنها سلب شود بایستی نام سایت را در قسمت Allow this website: بنویسیم و با زدن دکمه Never نام آن در لیست ثبت خواهد شد همچنین اگر بخواهیم لیستی از سایتها تهیه کنیم که کاربران تنها اجازه دسترسی به آنها را داشته باشند و سایتهای دیگر را نتوانند باز کنند نام سایت را در قسمت Allow this website: نوشته و Always را میزنیم

  • توجه داشته باشید که متناسب با نیاز خود در تب General بایستی چک باکس Users can see websites that have no rating را که توضیحات آن قبلا گفته شد فعال یا غیر فعال نمایید

در صورتی که آدرس سایت را به عنوان مثال به شکل "tosinso.com" وارد کنید تنها زمانی تاثیر آن دیده میشود که کاربر آدرس خود را بدون WWW وارد کند و اگر WWW را وارد کند به راحتی میتواند سایت را مشاهده کند، در صورتی که اول آدرس شما یک ستاره و تقطه اضافه شود آنوقت نام سایتی که با WWW نوشته شود را هم شامل میشود همچنین به دامین های زیر مجموعه ی آن هم اشاره میکند. با وارد کردن هر دو آدرس به شکل زیر میتوانید به نتیجه بهتر برسید

tosinso.com
*.tosinso.com

از طرفی امکان دارد که کاربر آدرس سایت مورد نظر خود را Ping کند و پس از بدست آوردن IP سایت مقصد ، آن را در مرورگر خود وارد کند و بدلیل متفاوت بودن IP سایت با نام سایت که در لیست وارد کردید براحتی وارد سایت شود به همین دلیل IP سایت را بدست آورده و در لیست مربوطه اضافه کنید. این روش تا حدی از ورود کاربران بوسیله وارد کردن IP جلوگیری میکند اما نه بطور قطعی . همانطور که میدانید برخی سایتها ممکن است بدلیل داشتن چندین سرور از چندین IP استفاده کنند و نتوانیم تمامی IP های آن را بدست آورده و در لیست وارد کنیم.برای درک بهتر مثالی میزنم که بوسیله آن بهتر با شیوه آدرس نوشتن آشنا شوید

ما تصمیم داریم که کاربران ما قادر به مشاهده تمامی صفحات اینترنتی باشند بجز وب سایت ITPro.ir و صفحات زیر مجموعه آن برای اینکار اول از همه بایستی در تب General چک باکس Users can see websites that have no rating را فعال کرده تا تنها سایتهایی که تعیین شده ، بلاک شوند و مابقی سایتها قابل مشاهده باشند سپس در تب Approved Sites لیستی به شکل زیر ساخته و برای همه آنها Never را میزنیم تا با علامتی قرمز رنگ در لیست ما اضافه شوند :

tosinso.com
*.tosinso.com
78.46.79.22

بدینصورت کاربران ما از تمام سایتها میتوانند بازدید کنند جز ITPro.ir و سایتهای زیر مجموعه ی آن.

نتیجه

در این مقاله سعی بر این بود که با استفاده از Group policy بتوانیم کاربران را در ورود به سایتها محدود کنیم همانطور که گفته شد بدلیل اینکه این تنظیمات در Group policy بوده ، تنها تنظیمات آن ، مرورگر پیشفرض خود ویندوز یعنی Internet Explorer را تحت تاثیر قرار میدهد و مرورگرهای دیگر تحت تاثیر واقع نمیشوند . همچنین به این نکته اشاره کنم که گرچه در طول این مقاله به جلوگیری و محدودسازی کاربران اشاره شد اما به این روش نمیشود به طور کامل اکتفا کرد و با اطمینان گفت که کاربران به هیچ وجه نمیتوانند به سایتهای مورد نظر دسترسی نداشته باشند.

بسته به اطلاعات فنی کاربران راهکارهایی برای دور زدن این محدودیت وجود دارد. یکی از این راهها استفاده از مرورگرهایی غیر از IE هست ، شما به عنوان مدیر شبکه خصوصا در شبکه های دامین با محدود کردن کاربر میتوانید از نصب مرورگرهای دیگر در کامپیوتر کاربران جلوگیری کنید اما اگر کاربران از مرورگرهای پرتابل که نیازی به نصب نداشته باشند استفاده کنند به راحتی میتوانند به سایت مورد نظر خود دست پیدا کنند . راه دیگر برای دور زدن این محدودیت ورود بوسیله IP سایت است .

گرچه در این مقاله گفتیم که IP سایت را هم در لیست قرار دهیم ولی همانطور که گفته شد امکان دارد کاربران ما با Ping کردن آدرس سایت مورد نظر به IPهای متفاوتی برسند و پیدا کردن تمامی IPهای برخی سایتها برای شما کاری بسیار سخت و بعضا غیر ممکن باشد. اما استفاده از این روش برای شبکه هایی که کاربران آنها از نظر اطلاعات فنی دارای سطح بسیار پایینی می باشند تا حد زیادی جوابگو خواهد بود.

نویسنده : سعید شمس آبادی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#فیلتر_کردن_وب_سایت_با_policy #Block_کردن_سایتها_از_طریق_Group_Policy #فیلتر_کرن_اینترنت_برای_یوزر_لوکالی #فیلتر_کردن_وب_سایت #چگونه_سایتها_را_Block_کنم #مسدود_کردن_دسترسی_به_وب_سایت_ها #بلاک_کردن_سایتها

سعید صغیر شمس آبادی
سعید صغیر شمس آبادی

کارشناس شبکه های مایکروسافت : علاقه مند به لینوکس

سعید صغیر شمس آبادی ، کارشناس سیستم عامل های سرور و سرویس های مبتنی بر مایکروسافت ، گرافیست و علاقه مند به مجازی سازی ، لینوکس و Open Source ، علاقه مند به کار تیمی و ...

نظرات