Bloquear o Facebook para usuários selecionados

Temos aqui alguns usuários que usam o Facebook durante o horário de trabalho e sua produtividade é constante, como medida temporária editei remotamente os arquivos de hosts para apontar para facebook.com e seus vários subdomínios para apontar para o endereço de loopback e depois manualmente comentar na hora do almoço para que eles possam usá-lo.

Obviamente, é um pouco cansativo fazer isso para vários usuários todos os dias.

Estou tentando encontrar algo que possa fazer isso bloqueando automaticamente na programação.

Eu estava pensando em algum tipo de servidor proxy que eu posso adicionar às configurações de proxy no navegador por meio da política de grupo.

Alguém sabe de alguma solução de software gratuita ou barata para o Windows que fará isso? Ou talvez algo autônomo que eu possa instalar em um PC / VM?

Eu acho que eu sempre poderia escrever e agendar alguns arquivos em lote para alternar um arquivo de hosts bloqueados por um não bloqueado.

A rede é um servidor Windows 2003 SBS, estações de trabalho Windows XP sp3, interface única no roteador Netgear DG834 do servidor que, embora tenha algum agendamento, não permite a configuração de uma janela apenas uma janela de bloco único - por exemplo, das 21h às 17h, mas eu gostaria de para abrir no meio.

Se o que você está fazendo no momento está funcionando, mas o problema está demorando muito do seu tempo, as tarefas agendadas são suas amigas :)

Pop as duas versões do arquivo hosts na rede em algum lugar (Com o FB ativado / desativado) e configure uma tarefa agendada, enviada pelo GPO.

Na hora do almoço (digamos, 11:30), copia o hostsarquivo "FB ativado" e, depois do almoço (digamos, 13:30), copia o hostsarquivo "FB desativado" .

Preço: $ grátis
Difícil: Fácil
Eficácia: Bom
Gerenciamento Despesas Gerais: Média

_{Para constar, a resposta de squillman é a que eu preferiria como administrador de sistemas, mas todos sabemos que não é assim que funciona na vida real}

Como alguém que costumava ser responsável pelos proxies, firewalls e filtros da web, eu concordo muito com o comentário do @ DanBig e exorto você a educadamente dizer à gerência "Eu não ligo" e deixá-los lidar com isso. A babá é uma questão de gerenciamento / RH e não deve ser deixada no nível de TI de trabalho. Se você contiver recursos até o ponto em que as atividades de alguém no Facebook estão causando problemas de desempenho em sua rede e você ainda não tiver um software de filtragem, bloqueie a porta do switch ou algo assim e envolva o gerenciamento. Em seguida, trabalhe com o gerenciamento / RH em uma política de uso aceitável, que também pode incluir um filtro de proxy / Web para ajudar a impor essa política. A TI pode ajudar a definir a política, mas o RH deve ser o proprietário da política.

Você NÃO quer ficar no meio de batalhas legais ou outros conflitos com funcionários [antigos] descontentes se / quando eles começarem a cair no cano. Não é um longo declínio do uso exuberante do Facebook para outros usos questionáveis ​​da Internet.

Outra alternativa seria bloquear o Facebook et al das máquinas de trabalho das pessoas dos 9 aos 5 anos, mas criar um "Internet Café" em uma área comum, onde eles poderiam ter acesso à Internet para navegação pessoal na hora do almoço.

Essas máquinas podem ficar trancadas a maior parte do dia, mas só funcionam das 11h às 14h (por exemplo).

Como essas máquinas são efetivamente "públicas", as pessoas precisam aprender a fazer logoff quando terminarem.

Isso também ajudaria a delinear claramente o uso privado e de trabalho da Internet.

Uau, essa é definitivamente a maneira mais difícil.

Há uma infinidade de soluções de filtragem da web por aí que farão o que você precisa. Lula Molusco é provavelmente a escolha popular / simples, mas não faltam opções gratuitas / baratas (além de ridiculamente caras); Desembaraçar, DansGuardian, as versões gratuitas de alguns dos dispositivos de gerenciamento de ameaças unificados por aí, como o Astaro, resolveriam o problema.

Embora eu concorde com o máximo aqui que este é um problema de gerenciamento e, no mundo ideal, ele terminaria com uma nova política; no entanto, no mundo em que vivemos, é necessário um braço de execução além da política.

Outros mencionaram vários pacotes que você poderia comprar; Acho que o que você fez é bom - o que você precisa é uma maneira de automatizá-lo. Eu acho que um simples PowerShell e um par de tarefas agendadas funcionariam perfeitamente.

Tínhamos três máquinas com acesso aberto à Internet em uma área pública com acesso bloqueado a sites questionáveis ​​através do OpenDNS e separados do restante da rede. O restante da área de produção não tinha acesso à Internet. Servimos um site com mais de 50 usuários, mas nosso negócio não é muito pesado para o acesso à Web.

Temos uma situação semelhante no meu local de trabalho. Resolvemos isso colocando os usuários com problemas no mesmo subdomínio e bloqueando o acesso desse subdomínio ao Facebook etc. através do firewall. Se o seu firewall não aceitar nomes de host, haverá alguma manutenção associada à alteração dos registros DNS, mas isso parece uma solução aceitável em comparação com a solução atual.

Você também pode ativar restrições baseadas no tempo, dependendo do seu software de firewall.

O mais fácil (*) é instalar o Ubuntu no PC com 2 placas de rede, configurar iptables + Squid + Dansguardian e bloquear usuários por IPs. O proxy será transparente, sem a necessidade de configurar os navegadores dos usuários. No Dansguardian, você poderá criar grupos de usuários e atribuir diferentes conjuntos de regras a cada um deles. Dansguardian suporta agendamento.

Além de bloquear, eu recomendaria implementar relatórios. Os relatórios são muito importantes: as pessoas são muito mais responsáveis ​​quando sabem que são responsáveis. Utilizamos o SARG, que publicou relatórios diários no site local para que todos, incluindo a gerência, pudessem ver estatísticas.

Prefiro acordos do que políticas e relatórios para a gerência. Assim, concordamos que as redes sociais estarão disponíveis durante o almoço e após o horário de trabalho e isso é suficiente para 98% da equipe.

* Mais fácil porque:

• todos os recursos necessários são PCs antigos e US $ 15,00 para a placa de rede - não é necessário solicitar um orçamento;
• todos os pacotes mencionados estão disponíveis no repositório Ubuntu, não há necessidade de recompilar nada: a personalização é pequena com muitos manuais e artigos disponíveis;
• solução é centralizada;
• as regras funcionarão para TODOS os computadores da rede, mesmo se o PC não pertencer ao seu AD;
• esse ínterim é bom o suficiente para se tornar uma solução permanente, para que nenhum esforço seja desperdiçado ...

Estou de acordo geral com o que alexm escreveu, mas o abordaria de maneira um pouco diferente. Em vez de criar um sistema do zero, sugiro usar uma das distribuições de firewall muito fáceis de usar. Pessoalmente, sou a favor do Smoothwall, mas há vários outros por onde escolher. Além de permitir muito mais flexibilidade para filtragem do que você possui atualmente, você também obterá os benefícios de ter um firewall de gateway decente.

A maioria das distribuições de firewall tem muito bom suporte à comunidade; portanto, é bem possível que alguém já tenha criado um complemento adequado a você. Caso contrário, enquanto as configurações que você procura podem não estar disponíveis no console de gerenciamento normal, elas são facilmente implementadas via squid e cron. Com muito pouco script, você pode ter a granularidade e o controle que desejar.

Dê uma olhada nos firewalls do FortiGate. Eles têm bloqueio no nível do aplicativo.