Capita spesso che alcuni PC abbiano la necessità di andare su internet per scaricare gli aggiornamenti di Microsoft o per fare l’update dell’antivirus obbligando, di fatto, all’accesso incondizionato ad internet.
Ma con le group policy è possibile “filtrare” l’accesso consentendo solo alcuni domini.
La soluzione è basata sulla configurazione di un finto proxy server sul browser tramite le policies: l’utente che prova ad accedere al sito acme.com viene reindirizzato verso un proxy che di fatto non esiste per cui l’accesso viene precluso. Per i siti consentiti, invece, ci sarà un’eccezione sulle impostazioni proxy in modo da bypassare il blocco.
In questo modo potrete accedere a https://download.microsoft.com e bloccare https://www.facebook.com.
Ecco i passaggi per l’attivazione:
- Creare una nuova Group Policy di dominio (aprire la MMC gpmc.msc)
- Selezionare l’ambito di applicazione; in questo esempio la policy viene applicata a soli 2 utenti:
- Modificare la policy
- Impostare i seguenti criteri:
- E le seguenti preferenze:
Anzitutto bisognerà impostare il falso indirizzo internet del proxy: in questo esempio useremo nella sezione Generale il server 192.168.114.9:8080 che evidentemente è una falsa porta sul server principale e che darà al client una risposta errata. Attenzione a non utilizzare porte in uso: usate sul server il comando netstat -ano per controllare.
Si dovrà poi personalizzare la parte evidenziata impostando i siti che si vogliono consentire, e poi applicare la policy col comando gpupdate /force (prima sul server e poi sui PC).
Da questo momento gli utenti indicati al punto 2 non potranno andare su nessuno sito web tranne quelli indicati nella voce ProxyOverride della policy, e tantomeno potranno accedere alle configurazioni del proxy sul browser in quanto inibite.
Sistemisti Senior 