Bloquer Facebook pour les utilisateurs sélectionnés

12

Nous avons quelques utilisateurs ici qui utilisent Facebook pendant les heures de travail et leur productivité est au rendez-vous, à titre temporaire, j'ai modifié à distance leurs fichiers hôtes pour pointer facebook.com et ses divers sous-domaines pour pointer vers l'adresse de bouclage, puis manuellement commenter à l'heure du déjeuner afin qu'ils puissent l'utiliser.

C'est évidemment un peu fastidieux de le faire pour un certain nombre d'utilisateurs chaque jour.

J'essaie de trouver quelque chose qui peut faire ce blocage automatiquement dans les délais.

Je pensais à une sorte de serveur proxy que je peux ajouter aux paramètres de proxy sur leur navigateur via la stratégie de groupe.

Quelqu'un connaît-il une solution logicielle gratuite ou bon marché pour Windows qui le fera? Ou peut-être quelque chose de autonome que je peux installer sur un PC / VM?

Je suppose que je pourrais toujours écrire et planifier des fichiers batch pour changer un fichier d'hôtes bloqués par un fichier non bloqué.

Le réseau est un serveur Windows 2003 SBS, des stations de travail Windows XP sp3, une interface unique sur le routeur Netgear DG834 du serveur qui, bien qu'il ait une certaine planification, ne permet pas de définir une fenêtre à fenêtre à bloc unique - par exemple, 9 h à 17 h, mais je voudrais pour l'ouvrir au milieu.

windows-server-2003 proxy blocking Ben Gillam
la source
18
Cela ressemble honnêtement à un problème de gestion, pas à un problème technique. Peut-être qu'il est temps de rédiger une politique d'utilisation acceptable?
DanBig
2
c'est très vrai, mais la politique ou non les utilisateurs continueront de le faire, que ce soit pris ou non. Je pourrais en écrire un mais la direction et les utilisateurs l'ignoreraient: / - Bien que la direction veuille que je fasse quelque chose pour l'empêcher
Ben Gillam
6
@Ben - Dites à la direction que si elle ne veut pas renvoyer des gens, les gens continueront de faire ce qu'ils veulent. S'ils sont gestionnaires, ils devraient déjà le savoir.
MDMarra
3
Si on ne peut pas leur faire confiance pour se comporter et utiliser Internet comme des adultes responsables, alors peut-être que leur contrat devrait être résilié, plutôt que leurs connexions TCP.
Tom O'Connor
1
Votre environnement est-il géré à l'aide d'Active Directory? Si c'est le cas, vous pouvez essayer de déployer GPO pour ajouter des sites à la liste bloquée d'IE et distribuer les modifications au DNS.
Ismaël

Réponses:

11

Si ce que vous faites en ce moment fonctionne mais que le problème que cela prend trop de temps, alors les tâches planifiées sont votre ami :)

Pop les deux versions du fichier d'hôtes sur le réseau quelque part (avec FB activé / désactivé), puis configurez une tâche planifiée, poussée par GPO.

A l'heure du déjeuner (disons, 11h30), il copie le hostsfichier "FB activé" , puis après le déjeuner (disons, 13h30), il copie le hostsfichier "FB désactivé" .

Prix: $ gratuit
Difficile: facile
Efficacité: bonne
gestion Frais généraux: moyen

Pour mémoire, la réponse de Squillman est celle que je préférerais en tant qu'administrateur système, mais nous savons tous que ce n'est pas ainsi que cela fonctionne dans la vie réelle.

Mark Henderson
la source
merci, ont marqué cela comme une réponse pour l'instant, il sera plus rapide à mettre en œuvre et ne doit être exécuté que pour certains utilisateurs
Ben Gillam
+1 Mais pour moi, c'est comme ça que ça va fonctionner dans la vraie vie. Les gens me connaissaient en tant que type Internet / pare-feu et quand ils se sont fait gifler pour leurs mauvaises décisions de navigation qui me sont revenues à un niveau personnel. Cette merde ne vole pas pour moi au niveau de travail où je ne suis pas celui qui fait les appels disciplinaires. L'un des termes clés de ma réponse est "informatique de niveau professionnel". Si vous avez plus qu'une responsabilité informatique de niveau opérationnel, alors oui, les choses s'impliquent davantage. Voir également ma réponse au commentaire de John sur ma réponse.
squillman
26

En tant que personne qui était responsable des procurations, des pare-feu et des filtres Web, je suis tout à fait d'accord avec le commentaire de @ DanBig et je vous exhorte à dire poliment à la direction "Je m'en fiche" et à les laisser s'en occuper. Le babysitting est un problème de gestion / RH et ne doit pas être laissé au niveau informatique. Si vous avez des conflits de ressources au point où les activités Facebook de quelqu'un causent des problèmes de performances sur votre réseau et que vous n'avez pas encore de logiciel de filtrage en place, bloquez leur port de commutateur ou quelque chose et impliquez la gestion. Ensuite, travaillez avec la direction / les ressources humaines sur une politique d'utilisation acceptable, qui pourrait également inclure un filtre proxy / Web pour aider à appliquer ladite politique. Le service informatique peut aider à définir la politique, mais les RH doivent être le propriétaire de la politique.

Vous ne voulez PAS vous retrouver au milieu de batailles juridiques ou d'autres conflits avec des [anciens] employés mécontents s'ils commencent à tomber. Ce n'est pas un long déclin de l'utilisation exubérante de Facebook à d'autres utilisations douteuses d'Internet.

squillman
la source
4
+1, problème de gestion tout le long. Laissez les employés faire ce qu'ils veulent; s'ils ne produisent pas, débarrassez-vous d'eux; s'ils font face à l'espace toute la journée et continuent de faire le travail, alors qui s'en soucie.
Chris S
4
Entièrement d'accord. Problème de gestion tout le long. Maintenant, je n'ai moi-même aucun problème avec l'utilisation de la technologie pour soutenir la gestion, mais le blocage de sites sans support / application de la gestion en fait un jeu et pour paraphraser les wargames, la seule façon de gagner ce jeu particulier est de ne pas jouer.
Rob Moir
1
Personnellement, je n'ai aucun problème avec une interdiction générale de Facebook au travail. Ce n'est pas lié au travail (sauf si votre entreprise a une page Facebook?), Donc personne ne devrait l'utiliser. J'ai travaillé pour une organisation où tous les sites de messagerie Web sont bloqués, ebay, carsales, realestate, facebook, etc. Semble dur, mais je pourrais toujours faire mon travail.
xXhRQ8sD2L7Z
1
Bien que je sois tout à fait d'accord pour dire qu'il s'agit principalement d'un problème de gestion, pour ceux d'entre nous qui travaillent dans de petites entreprises, les frontières et les règles sont un peu plus fluides. Comme l'OP utilise SBS, je suppose que c'est une très petite entreprise. Dans de tels cas, l'informaticien est rarement un informaticien et a une plus grande responsabilité pour le côté humain des choses. En termes simples, certains d'entre nous ne peuvent pas se contenter de la rejeter sur la gestion et doivent y faire face du mieux que nous pouvons.
John Gardeniers
@John Je respecte totalement d'où vous venez: l'aspect petite entreprise, ne vous méprenez pas. Certes, je n'ai pas travaillé à temps plein pour une petite entreprise, je n'ai fait que des consultations pour eux, mais étant donné mon expérience avec cela, je serais toujours réticent à mettre en œuvre quelque chose sans le partenariat du propriétaire (ou de celui qui a un gros intérêt) dans l'accord. Je pousserais également cette personne à appeler les coups de feu. Personnellement pour moi, je ne l'aurais pas autrement. Les appels téléphoniques que j'ai reçus d'anciens employés n'en valaient tout simplement pas la peine.
squillman
7

Une autre alternative consisterait à bloquer Facebook et al des machines de travail des gens de 9 à 5, mais à mettre en place un "Internet Cafe" dans une zone commune où ils peuvent avoir accès à Internet pour une navigation personnelle à l'heure du déjeuner.

Ces machines peuvent être verrouillées la plupart du temps mais ouvertes uniquement de 11h à 14h (par exemple).

Comme ces machines sont effectivement "publiques", les gens devraient alors apprendre à se déconnecter lorsqu'ils auront terminé.

Cela aiderait également à délimiter clairement l'utilisation privée et professionnelle d'Internet.

ChrisF
la source
merci, ce serait en effet une bonne idée, malheureusement nous n'avons pas de matériel de rechange, mais cela vaut la peine de considérer si et quand nous mettons à niveau les systèmes ici et retirons l'ancien matériel
Ben Gillam
3

Wow, c'est définitivement la voie difficile.

Il existe une multitude de solutions de filtrage Web qui feront ce dont vous avez besoin. Squidguard est probablement le choix populaire / simple, mais les options gratuites / bon marché ne manquent pas (ainsi que celles ridiculement chères); Démêlez, DansGuardian, les versions gratuites de certains des appareils de gestion unifiée des menaces comme Astaro feraient l'affaire.

Shane Madden
la source
3

Bien que je sois d’accord avec la plupart des gens ici, il s’agit d’un problème de gestion et, dans un monde idéal, cela se terminerait par une nouvelle politique; cependant, dans le monde dans lequel nous vivons, un bras d'application est nécessaire en plus de la politique.

D'autres ont mentionné plusieurs forfaits que vous pourriez acheter; Je pense que ce que vous avez fait est bien - ce dont vous avez besoin est un moyen d'automatiser. Je pense qu'un simple PowerShell et une paire de tâches planifiées fonctionneraient très bien.

Nate
la source
1

Nous avions 3 machines avec un accès Internet ouvert dans une zone publique avec un accès bloqué à des sites douteux via OpenDNS et séparés du reste du réseau. Le reste de l'étage de production n'avait pas accès à Internet. Servi un site avec plus de 50 utilisateurs plutôt bien, mais notre entreprise n'est pas très lourde d'accès au Web.

Bryan Lott
la source
1

Nous avons une situation similaire sur mon lieu de travail. Nous l'avons résolu en plaçant tous les utilisateurs problématiques sur le même sous-domaine et en bloquant l'accès de ce sous-domaine à Facebook, etc. via le pare-feu. Si votre pare-feu n'accepte pas les noms d'hôte, il y aura une maintenance associée à la modification des enregistrements DNS, mais cela semble être une solution acceptable par rapport à votre solution actuelle.

Vous pouvez également activer des restrictions temporelles en fonction de votre logiciel de pare-feu.

jamesbtate
la source
Filtrage sélectif? Cela ne semble pas être une bonne idée, OMI.
DanBig
1

Le plus simple (*) est d'installer Ubuntu sur PC avec 2 cartes réseau, de configurer iptables + Squid + Dansguardian et de bloquer les utilisateurs par IP. Le proxy sera transparent, pas besoin de configurer les navigateurs des utilisateurs. Dans Dansguardian, vous pourrez créer des groupes d'utilisateurs et attribuer différents ensembles de règles à chacun d'eux. Dansguardian prend en charge la planification.

Outre le blocage, je recommanderais d'implémenter la création de rapports. Les rapports sont très importants: les gens sont beaucoup plus responsables lorsqu'ils savent qu'ils sont responsables. Nous avons utilisé SARG qui a publié des rapports quotidiens sur le site Web local afin que tout le monde, y compris la direction, puisse voir les statistiques.

Je préfère les accords plutôt que les politiques et les rapports à la direction. Nous avons donc convenu que les réseaux sociaux seront disponibles pendant l'heure du déjeuner et après les heures de travail, ce qui est suffisant pour 98% du personnel.

* Plus facile car:

  • toutes les ressources nécessaires sont des vieux PC et 15 $ pour la carte réseau - pas besoin de demander un budget;
  • tous les packages mentionnés sont disponibles à partir du référentiel Ubuntu, pas besoin de recompiler quoi que ce soit: la personnalisation est mineure avec de nombreux manuels et articles disponibles;
  • la solution est centralisée;
  • les règles fonctionneront pour TOUS les ordinateurs du réseau même si le PC n'appartient pas à votre AD;
  • cet intérim est assez bon pour devenir une solution permanente donc aucun effort ne sera gaspillé ...
alexm
la source
+1 pour dansguardian. Vous devez configurer des tâches cron pour échanger la liste de blocage à différents moments de la journée.
4
C'est la façon la plus simple à laquelle vous pouvez penser? Que diriez-vous d'une tâche planifiée Windows pour modifier leur fichier d'hôtes? (boiteux, oui). Ou une solution proxy achetée en magasin?
Ziplin
Je suis d'accord avec @Ziplin, comment est-ce si facile ? Je n'ai pas vu ce commentaire jusqu'à présent, mais j'ai posté des tâches planifiées comme réponse à laquelle je suis venu de manière indépendante.
Mark Henderson
@Ziplin Henderson @ Mark - il semble compliqué , mais est facile parce que tout ce qui est nécessaire pour la mise en œuvre est sous votre contrôle. Je ne pense pas que la modification des fichiers hôtes durera longtemps: les utilisateurs 1) trouveront des anonymiseurs ou 2) apporteront des cahiers de chez eux ou 3) changer le fuseau horaire sur PC.
alexm
@Ziplin: l'achat d'une solution prête est une bonne option sous réserve du budget disponible ...
alexm
1

Je suis généralement d'accord avec ce qu'a écrit alexm, mais je l'aborderais légèrement différemment. Plutôt que de construire un système à partir de zéro, je suggère d'utiliser l'une des distributions de pare-feu très faciles à utiliser. Personnellement, je préfère Smoothwall mais il y en a un certain nombre d'autres parmi lesquels choisir. En plus de vous offrir beaucoup plus de flexibilité pour le filtrage que vous n'en avez actuellement, vous bénéficierez également des avantages d'un pare-feu de passerelle décent.

La plupart des distributions de pare-feu ont un très bon support communautaire, il est donc possible que quelqu'un ait déjà créé un module complémentaire pour vous. Sinon, bien que les paramètres que vous recherchez ne soient pas disponibles dans la console de gestion normale, ils sont facilement mis en œuvre via squid et cron. Avec très peu de scripts, vous pouvez avoir autant de granularité et de contrôle que vous le souhaitez.

John Gardeniers
la source
0

Jetez un œil aux pare-feu FortiGate. Ils ont un blocage au niveau de l'application.

John Andrea
la source