Блокуйте Facebook для вибраних користувачів

12

У нас є декілька користувачів, які користуються Facebook у робочий час, і їх продуктивність відбувається через підлогу, як тимчасовий захід, я віддалено редагував їхні файли хостів, щоб вказати facebook.com та його різні піддомени, щоб вказати на адресу петлі, а потім вручну коментуйте час обіду, щоб вони могли його використовувати.

Це очевидно дещо втомлює це робити для багатьох користувачів щодня.

Я переглядаю спробу знайти щось, що може зробити це блокування автоматично за графіком.

Я думав про якийсь проксі-сервер, який я можу додати до налаштувань проксі у своєму браузері за допомогою групової політики.

Хтось знає про якесь безкоштовне або дешеве програмне рішення для Windows, яке це зробить? А може щось самостійне я можу встановити на ПК / ВМ?

Я думаю, я завжди міг написати та запланувати деякі пакетні файли, щоб переключити заблокований хост-файл із неблокованим.

Мережа - це сервер SBS Windows 2003, робочі станції Windows XP sp3, єдиний інтерфейс на сервері маршрутизатора Netgear DG834, хоча в нього є деякий графік, він не дозволяє встановлювати вікно лише для одного блочного вікна - наприклад, 9-5 вечора, але я хотів би щоб відкрити його посередині.

windows-server-2003  proxy  blocking 
Бен Гіллам
джерело
18
Це чесно звучить як проблема управління, а не технічна. Можливо, настав час написати прийнятну політику використання?
DanBig
2
це дуже вірно, але політики чи ні, користувачі все одно будуть це робити, тим більше, потрапляючи чи ні. Я можу написати таке, але менеджмент та користувачі проігнорують це: / - Хоча менеджмент хоче, щоб я щось зробив, щоб його не допустити
Бен Гіллам
6
@Ben - Скажіть керівництву, що якщо вони не хочуть звільняти людей, люди продовжуватимуть робити все, що хочуть. Якщо вони керують, вони вже повинні це знати.
MDMarra
3
Якщо їм не можна довіряти поведінку та користуватися Інтернетом, як відповідальні дорослі, можливо, їхній контракт повинен бути розірваний, а не їхні TCP-з'єднання.
Том О'Коннор
1
Чи керується вашим оточенням за допомогою Active Directory? Якщо так, ви можете спробувати розгорнути GPO, щоб додати сайти до списку заблокованих IE та розподілити зміни в DNS.
Ізмаїл

Відповіді:

11

Якщо те, що ти зараз робиш , працює, але питання, на що це забирає занадто багато часу, то заплановані завдання - ти друг :)

Помістіть дві версії файлу хостів десь у мережі (при включеному / відключеному FB), а потім встановіть заплановане завдання, витіснене GPO.

У обідній час (скажімо, 11:30) він копіює hostsфайл "FB Enabled" , а після обіду (скажімо, 13:30) він копіює hostsфайл "FB Disabled" .

Ціна: $ безкоштовно
Складність: Легка
ефективність: Хороший
керування накладними витратами: Середній

На приклад, відповідь шквалмена - це я, який би я вважав за краще систематиком, але всі ми знаємо, що це не так, як це працює в реальному житті

Марк Хендерсон
джерело
дякую, зараз позначили це як відповідь, це буде найшвидше впроваджувати, і його потрібно запускати лише для певних користувачів
Ben Gillam
+1 Але для мене це так і буде працювати в реальному житті. Люди знали мене як інтернета / брандмауера, і коли вони їх ляпали за свої погані рішення перегляду, які повернулися до мене на особистому рівні. Це лайно не летить для мене на робочому рівні, де я не той, хто робить дисциплінарні заклики. Одним із ключових термінів моєї відповіді є "ІТ на робочому рівні". Якщо ви несете відповідальність за ІТ на робочому рівні, то так, справи все більше залучаються. Також дивіться мою відповідь на коментар Джона до моєї відповіді.
шквал
26

Як хтось, хто відповідав за проксі, брандмауери та веб-фільтри, я дуже погоджуюся з коментарем @ DanBig і закликаю вас ввічливо сказати керівництву "Мені все одно", і дозвольте їм займатися цим. Няня - це питання управління / управління персоналом, і це не повинно залишатися ІТ робочого рівня. Якщо у вас є суперечки з ресурсами до того, що чиясь діяльність у Facebook викликає проблеми з продуктивністю у вашій мережі, і ви вже не маєте програмного забезпечення для фільтрації, заблокуйте їхній порт комутатора чи щось подібне та залучіть управління. Потім працюйте з управлінням / персоналом HR над прийнятною політикою використання, яка також може включати проксі / веб-фільтр для сприяння виконанню зазначеної політики. ІТ можуть допомогти визначити політику, але HR повинен бути власником політики.

Ви НЕ хочете потрапляти в середину судових битв чи інших конфліктів з незадоволеними [колишніми] працівниками, якщо / коли вони починають сходити з ладу. Це недовгий спад від насиченого використання Facebook до інших сумнівних застосувань Інтернету.

шквал
джерело
4
+1, питання управління все до кінця. Нехай працівники роблять все, що хочуть; якщо вони не виробляють, позбавляйтеся від них; якщо вони цілий день стикаються з простором і все-таки виконують роботу, то кого це хвилює.
Chris S
4
Повністю згоден. Питання управління до кінця. Тепер я сам не маю проблем із використанням технології для підтримки управління, але блокування сайтів без підтримки / примусового управління перетворює це на гру та перефразовує варгі, єдиний спосіб виграти в цій грі - це не грати.
Роб Моїр
1
У мене особисто немає проблем із забороною ковдри у фейсбуці на роботі. Це не пов’язано з роботою (якщо ваша компанія не має сторінки у Facebook?), Тому ніхто не повинен її використовувати. Я працював в організації, де всі веб-сайти поштового зв’язку заблоковані, ebay, carsales, realestate, facebook тощо. Здається, це суворо, але я все одно можу зробити свою роботу.
xXhRQ8sD2L7Z
1
Хоча я повністю згоден, що це насамперед питання менеджменту, для тих, хто працює в малих компаніях, кордони та правила трохи більш чіткі. Оскільки ОП використовує SBS, я здогадуюсь, що це дуже мала компанія. У таких випадках ІТ-людина рідко є лише ІТ-особою і несе більшу відповідальність за людську сторону речей. Простіше кажучи, дехто з нас не може просто повернути його на управління і доводиться поводитися з ним якнайкраще.
Джон Гарденєр
@John Я повністю поважаю те, звідки ти походить із ре: аспект малого бізнесу, не розумій мене. Я, правда, не працював на повний робочий день для малого бізнесу, я лише робив для них консультації, але, враховуючи свій досвід з цим, я все одно не люблю впроваджувати щось без партнерства власника (або того, хто має велику частку в речах) партнерства в Угода. Я б також наполягав на тому, щоб людина називала постріли. Особисто для мене я б не мав цього інакше. Телефонні дзвінки, які я отримував від колишніх співробітників, просто не варті.
шквал
7

Іншою альтернативою було б заблокувати Facebook та ін з робочих машин людей з 9 до 5, але створити "Інтернет-кафе" в комунальній зоні, де вони можуть мати доступ до Інтернету для особистого перегляду в обідній час.

Ці машини можна було заблокувати більшу частину дня, але відкрити їх можна лише з 11 ранку до 14 вечора (наприклад).

Оскільки ці машини фактично є "загальнодоступними", люди повинні потім навчитися виходити з системи, коли вони закінчать.

Це також допоможе чітко розмежувати приватне та робоче використання Інтернету.

ChrisF
джерело
дякую, це дійсно буде гарною ідеєю, на жаль, у нас немає запасного обладнання, але варто задуматися, якщо і коли ми модернізуємо тут системи та вийдемо на пенсію старе обладнання
Бен Гіллам
3

Нічого собі, це, безумовно, важкий шлях.

Існує безліч рішень для веб-фільтрації, які дозволять зробити все, що вам потрібно. Squidguard - це, мабуть, популярний / простий вибір, але безкоштовних / дешевих варіантів (як і смішно дорогих) не бракує; Розплутайте, DansGuardian, безкоштовні версії деяких уніфікованих приладів управління загрозами, як-от Astaro, зробили б свою справу.

Шейн Медден
джерело
3

Хоча я згоден з більшістю тут, що це питання управління, і в ідеальному світі це закінчиться новою політикою; однак у світі, в якому ми живемо, окрім політики необхідна рука правоохоронних органів.

Інші згадували кілька пакунків, які ви могли придбати; Я думаю, що те, що ти зробив, чудово - те, що тобі потрібно, це спосіб його автоматизувати. Я думаю, що простий корпус і пара запланованих завдань спрацювали б чудово.

Нейт
джерело
1

У нас було 3 машини з відкритим доступом до Інтернету в загальнодоступній зоні з заблокованим доступом до сумнівних сайтів через OpenDNS та відокремлені від решти мережі. На решті виробничого поверху не було доступу до Інтернету. Досить добре обслуговували сайт із 50+ користувачами, але наш бізнес не дуже важкий для веб-доступу.

Брайан Лотт
джерело
1

У нас на робочому місці схожа ситуація. Ми вирішили це, поставивши проблемних користувачів на один і той же піддомен і заблокувавши доступ цього брандмауера до субдомену до Facebook тощо. Якщо ваш брандмауер не приймає імена хостів, буде якесь технічне обслуговування, пов’язане зі зміною записів DNS, але це здається прийнятним рішенням у порівнянні з вашим поточним рішенням.

Ви також можете ввімкнути часові обмеження залежно від програмного забезпечення вашого брандмауера.

джамсбтат
джерело
Вибіркова фільтрація? Це не здається гарною ідеєю, ІМО.
DanBig
1

Найпростіше (*) встановити Ubuntu на ПК з 2 мережевими картами, налаштувати iptables + Squid + Dansguardian і заблокувати користувачів IP-адресами. Проксі буде прозорим, не потрібно налаштовувати браузери користувачів. У Dansguardian ви зможете створювати групи користувачів і призначати різні набори правил для кожної з них. Dansguardian підтримує планування.

Окрім блокування, я б рекомендував запровадити звітність. Звіти дуже важливі: люди набагато відповідальніші, коли знають, що підзвітні. Ми використовували SARG, який публікував щоденні звіти на місцевому веб-сайті, щоб усі, включаючи управління, могли бачити статистику.

Я віддаю перевагу угодам, а не політикам і звітам керівництву. Тож ми домовились, що соціальні мережі будуть доступні в обідній час та після робочого часу, що достатньо для 98% персоналу.

* Найпростіше, тому що:

  • усі необхідні ресурси - старий ПК та 15 доларів за мережеву карту - не потрібно просити бюджет;
  • всі згадані пакети доступні у сховищі Ubuntu, не потрібно нічого перекомпілювати: налаштування є незначною, маючи багато посібників та статей;
  • рішення централізоване;
  • правила працюватимуть для ВСІХ комп’ютерів у мережі, навіть якщо ПК не належить до вашої AD;
  • цей проміжок часу досить хороший, щоб стати постійним рішенням, тому ніяких зусиль не буде витрачено даремно ...
алекс
джерело
+1 для захисника. Ви б налаштували завдання cron, щоб змінювати список блоків у різний час протягом дня.
4
Це найпростіший спосіб, який ви можете придумати? Як щодо запланованого завдання Windows редагувати файл хостів? (кульгавий, так). Або магазин, куплений проксі-рішенням?
Ziplin
Я згоден з @Ziplin, як на землі це легко ? Я не бачив цього коментаря лише зараз, але я розмістив заплановані завдання як відповідь, до якої я прийшов самостійно.
Марк Хендерсон
@Ziplin @Mark Henderson - це звучить складно , але це легко , тому що все , що потрібно для реалізації знаходиться під вашим контролем. Я не думаю, що редагування файлів хостів триватиме довго: користувачі 1) знайдуть анонімізатори або 2) принесуть ноутбуки з дому або 3) змінить часовий пояс на ПК.
alexm
@ Ziplin: купівля готового рішення є хорошим варіантом за умови наявності бюджету ...
alexm
1

Я загалом згоден з тим, що написав алекс, але вирішував би це трохи інакше. Замість того, щоб будувати систему з нуля, я пропоную використовувати один із дуже простих у використанні дистрибуторів брандмауера. Я особисто віддаю перевагу Smoothwall, але є ряд інших, на які можна вибрати. На додаток до того, що ви надаєте набагато більшу гнучкість для фільтрації, ніж у вас зараз, ви також отримаєте переваги від гідного брандмауера.

Більшість дистрибуторів брандмауера мають дуже гарну підтримку, так що цілком можливо, хтось уже створив надбудову, яка вам підходить. В іншому випадку, хоча налаштування, які ви знаходитесь, можуть бути недоступними у звичайній консолі управління, вони легко реалізуються за допомогою кальмарів та cron. Завдяки дуже маленьким сценаріям, ви можете мати стільки деталізації та контролю, скільки бажаєте.

Джон Гарденєр
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.