Furax Posted November 9, 2015 Share Posted November 9, 2015 Bonjour, Je cherche un moyen de n'autoriser que certains sites web sur des PC. Les anciennes versions d'IE le permettaient par exemple mais ce n'est visiblement plus le cas. Si vous avez une méthode pour y parvenir, que ça soit en configuration locale ou GPO (ça serait même mieux ), merci! Link to comment Share on other sites More sharing options...
Nemasix Posted November 9, 2015 Share Posted November 9, 2015 Salut, Est ce que tu pourrais être plus précis :) quel version de Windows? Quel(s) navigateur(s)? Quel environnement (nb de pcs ? Possibilité de monter un proxy?) ? Link to comment Share on other sites More sharing options...
Furax Posted November 9, 2015 Author Share Posted November 9, 2015 Heu... oui... J'avais tellement les config en tête que je ne pense même pas à le préciser désolé... :) Les PC, c'est du Windows 7, 8 et 10 et il y en aura 10 au maximum. Pour le navigateur ça sera Edge et Firefox. Le serveur qui peut servir pour les GPO c'est du Windows server 2012. Pas de possibilité de monter un proxy. Link to comment Share on other sites More sharing options...
renaud07 Posted November 9, 2015 Share Posted November 9, 2015 Salut, Vu qu'il y a plusieurs navigateurs, les extensions et le blocage intégré sont exclus car faciles à désactiver et long à mettre en place. Vu que tu ne peux pas monter de proxy, il te reste une solution assez simple : passer par le fichier hosts et déclarer tous les sites à bloquer. Tu n'auras plus qu'a répliquer le tout sur chaque machine et interdire la modif du fichier. Pour 10 machines ça devrait être rapide. Pour bloquer un site, il faut mettre : 0.0.0.0 domaine-a-bloquer.com Le fichier se trouve dans C:\Windows\system32\drivers\etc\hosts. Il se peut que tu ne puisses pas le modifier, pour ça il faudra modifier les permissions d'accès et te décaler en tant que propriétaire du fichier (par défaut c'est le système il me semble). Après les utilisateurs qui se connectent on un compte limité et n'ont donc normalement pas accès. Si tu comptes modifier souvent ce fichier ça risque d'être pénible à la longue de chaque fois le recopier, dans ce cas il faudrait monter un DNS menteur sur le windows server pour bloquer les sites, par contre je ne sais pas trop comment ça fonctionne. Je sais que sous Linux on peut déclarer facilement un domaine à bloquer via une fonction de bind avec les aliases (CNAME). Il faudrait que je creuse. Link to comment Share on other sites More sharing options...
Arcy Posted November 9, 2015 Share Posted November 9, 2015 Sinon si les utilisateurs peuvent pas le modifier, passer par des DNS qui permettent un filtrage poussé. Certains autorisent l'accès à des sites selon le contenu, comme par exemple OpenDNS : https://www.opendns.com/home-internet-security/ Link to comment Share on other sites More sharing options...
renaud07 Posted November 9, 2015 Share Posted November 9, 2015 Je viens de trouver pour le DNS de windows server. En fait c'est tout simple : il faut rajouter pour chaque site à bloquer une zone de recherche direct en laissant les choix cochés par défaut et même sans paramétrage ça bloque absolument tout, même les sous-domaines et pas besoin de configurer d'ip 0.0.0.0 ou autre ; on crée la zone avec l'assistant et c'est tout ! Et pour que les utilisateurs ne modifient pas la config ip, il suffit d’interdire l'accès au panneau de configuration via la GPO kivabien et hop ! Une fois configuré ça donne : Ici on bloque facebook, youtube, twitter et deezer. Je l'ai fait sous 2008 R2, mais ce devrait être pareil pour 2012 je pense. Link to comment Share on other sites More sharing options...
Krapace Posted November 9, 2015 Share Posted November 9, 2015 Et si on fait "dig www.google.fr 8.8.8.8" dans une ligne de commande ca resout pas ? En outrepassant les serveurs DNS systèmes ? Link to comment Share on other sites More sharing options...
JohnDeuf Posted November 9, 2015 Share Posted November 9, 2015 Hello, Je n'ai pas de connaissance poussée dans le domaine, donc pardon si je dis une idiotie...Mais il n'est pas possible d'outrepasser l'interdiction en utilisant une adresse fausse, automatiquement rectifiée par le browser ?Je me souviens du temps où j'étais à l'école, on passait par wwww.youtube.com pour y arriver, ou encore htttp://www.facebook.com. Link to comment Share on other sites More sharing options...
renaud07 Posted November 10, 2015 Share Posted November 10, 2015 Et si on fait "dig www.google.fr 8.8.8.8" dans une ligne de commande ca resout pas ? En outrepassant les serveurs DNS systèmes ? Si ça marche, mais après tu fais comment ? La plupart du temps en mettant l'ip ça ne fonctionne pas, pour youtube ça renvoie l'ip de google, si tu tapes l'ip dans la barre d'adresse, ça renvoie sur google, pas youtube. -deezer : HTTP_NOT_FOUND -twitter : page blanche -facebook : redirection vers le domaine > paf, adresse introuvable Je continue ? Hello, Je n'ai pas de connaissance poussée dans le domaine, donc pardon si je dis une idiotie... Mais il n'est pas possible d'outrepasser l'interdiction en utilisant une adresse fausse, automatiquement rectifiée par le browser ? Je me souviens du temps où j'étais à l'école, on passait par wwww.youtube.com pour y arriver, ou encore htttp://www.facebook.com. Je viens de tester : ça ne fonctionne pas En même temps même avec la correction, tu demandes un domaine auquel n'est associé aucune IP donc il ne peut que te renvoyer "adresse introuvable" Ça me fait penser que dans mon lycée pour aller sur les sites bloqués je me faisais mon petit tunnel SSH avec redirection de port, et vu qu'on se servait de firefox, les préférences ne pouvant être bloquées, je configurais un proxy socks et hop, à moi la liberté Link to comment Share on other sites More sharing options...
Furax Posted November 10, 2015 Author Share Posted November 10, 2015 Merci pour toutes vos réponses. Par contre juste un point, je ne veux pas bloquer certains sites, mais seulement en autoriser certains, l'inverse en quelque sorte. C'est plus chi*** à gérer car sinon oui je serais passé par le fichier hosts par exemple, mais bloquer TOUS les sites sauf certains c'est un peu long malheureusement... Link to comment Share on other sites More sharing options...
RFN Posted November 10, 2015 Share Posted November 10, 2015 Bonjour, J'opterai pour ne pas mettre de DNS (ou une fake). La seule solution alors pour résoudre une URL en IP est ce que l'ordi trouvera dans le fichier host. Et donc dans ce dernier, on y met les sites autorisés : l'URL pourra alors être traduite en IP. Contournements possibles : - entrer directement l'IP - remettre un DNS (il faut donc bloquer l'accès au paramétrage réseau. Link to comment Share on other sites More sharing options...
renaud07 Posted November 10, 2015 Share Posted November 10, 2015 +1 Faut faire la même chose avec le ficher hosts sauf qu'on y mets les vraies IP des sites à autoriser. Sinon si tu veux tout gérer via le serveur : il faut se déclarer autorité sur les TLD (com, org ,fr...) Pour ça créer une zone de recherche pour chacun. A partir de là si on ne fait rien de plus tout est bloqué (c'est ce que tu veux). Il faudra donc en fonction du domaine ajouter les enregistrements qui vont bien en créant un "nouvel Hôte (A ou AAAA)" Voici un exemple (j'ai barré le blocage individuel des sites, car je ne l'ai pas effacé avant, mais il ne faut pas les mettres bien entendu) : * Là par exemple j'ai donné accès à google, wikipedia et ubuntu-fr.org. Tout le reste est bloqué. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.