Windows Server 2012 Firmennetzwerk - Bestimmte Webseiten Sperren (Windows SBS 2011)

[Caskaja]

Hallo zusammen,

wir haben hier ein Firmennetzwerk mit Windows Small Business Server 2011, zwischen Server und Internet steckt noch eine FritzBox 3370 für Wlan.

Wie kann ich verhindern das die Clients auf bestimmte Webseiten zugreifen können? Blacklist in der Fritzbox klappt irgendwie nicht, denke das liegt daran weil der Server das DNS übernimmt?

Kann ich auf dem Server irgendwie einrichten das die Seiten gesperrt werden?
Ich weiß das es für den Clienten ja wohl die Möglichkeit besteht über die Host Datei!?

Gibts da auch eine möglichkeit Netzwerkweit sowas zu machen? Oder für bestimmte User?

Grüße!

 

[Reepo]

Via HOST Datei sperren, das kann man auf den Rechnern selektiv machen.

Und was wohl besser geht, sollte es Firmenweit sein, die URLs via AntiVirenSoftware sperren.
Die meisten können das. Dann bekommste meistens auch eine Auflistung der Rechner, die immer wieder darauf wollen.

 

[Caskaja]

Auf dem Server?
Wo genau liegt die da?

 

[En3rg1eR1egel]

Wo genau liegt die da?

mal abgesehen, dass die nicht auf dem server liegt,
hier mangelt es doch an den minimalsten grundlagen.

warum wird ohne das geringste basiswissen am "firmennetzwerk" rumgedoktort ?
das geht doch 100% in die hose.

anständige antivirensoftware die auf den clients laufen sollte kann sowas wunderbar

die kann man dann auch anständig verwalten, gruppen zuordnen, etc.pp

 

[Masamune2]

Klassischerweise macht man sowas indem man alles über einen Proxy schiebt. Dafür gibt es zahlreiche Lösungen am Markt, in der Regel auf Linux Basis mit Open Source Software und von optionalen Support Verträgen abgesehen kostenlos.
Mit Windows direkt wird es schwer denn Microsofts Internet Acceleration Server ist seit Jahren abgekündigt. Zwar könntest du auch hier hingehen und den DNS dazu missbrauchen (A Records auf lokale Adressen verbiegen), das ist allerdings keine schöne Lösung, sehr schwer zu verwalten und fast nie lückenlos (z.B. wenn google.de nicht mehr geht funktioniert google.at immer noch)

Ich würde eine VM mit pfsense (oder beliebiger andere Firewall Distribution aufsetzen) und diese als Proxy bei allen Clients hinterlegen (per GPO). Dann kannst du in der Firewall (bzw. deren Proxy Dienst) einstellen wenn bestimmte Seiten nicht besucht werden dürfen.

 

[Reepo]

Da wäre noch zu fragen, um wieviele Rechner es sich handelt, die da im Netzwerk stehen.
Bei weniger als 10 Rechnern würd ich keinen Proxy machen, eher copy/paste die HostDatei ändern.

 

[Lawnmower]

Entweder via Proxy (sofern vorhanden) oder Firewall/Router (kann man oft auch schon auf Consumer Geräten), dass es bei Dir jetzt nicht klappt mit der Fritzbox liegt m.E.n. eher an einer falschen Konfiguration irgendwo. Falls die Fritzbox nur für WLAN Clients als AP/Internetzugang fungiert, dann klappts natürlich auch nur da, die Filter/Regel muss beim "endgültigen" Gateway definiert werden.

 

[leipziger1979]

Wie kann ich verhindern das die Clients auf bestimmte Webseiten zugreifen können?

Nur einzelne oder bestimmter Content ?
Dann wäre eine UTM ggf. sinnvoll.

 

[schumischumi]

Wie wäres mit der Windows Firewall?
Wir nutzen die per GPO auf Clientgeräten um pro Netzwerk URL zu whitelisten. D.h. im Domänenfremdennetz (dh. auch keine unternehmensfirewall oder proxy) sind nur die wichtigsten Seiten erreichbar.

Sollte anders herum na auch funktionieren.

Klassischer Weise macht man dies dann trotzdem über eine Unternehmensfirewall oder nen Proxy.

 

[Gohst]

Mittels Gruppenrichtlinie (wenn es eine Microsoft Active Directory Domäne gibt) könnte man wie bereits erwähnt ein HOST-File verteilen. Die User sollten dann aber keine lokalen Admin-Rechte haben.

Ansonsten ist eine Antiviren-Software oder ein Proxy-Server notwendig.
Aber einen Linux Proxy oder noch besser eine richtige UTM (z.B Sophos UTM oder pfsense+addons) kann man doch schnell als virtuelle Maschine bauen...

 

[Caskaja]

Okay danke.

Es handelt sich um 8-10 Clients, notfalls habe ich auch jemand der sich damit auskennt. Ich wollte das Thema nur nicht an die große glocke hängen
Ich denke ich werde es mal über die HOST datei versuchen bzw über den Virenscanner.
Danke

 

[Masamune2]

Über die Hosts Datei kannst du lediglich einzelne DNS Einträge ins leere laufen lassen. Das ist so schon nur begrenzt sinnvoll, aber wenn dann bitte mach das direkt auf dem DNS Server auf eurem Domain Controller und nicht auf jedem PC einzeln in der hosts.