Furax Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Bonjour, Je cherche un moyen de n'autoriser que certains sites web sur des PC. Les anciennes versions d'IE le permettaient par exemple mais ce n'est visiblement plus le cas. Si vous avez une méthode pour y parvenir, que ça soit en configuration locale ou GPO (ça serait même mieux ), merci! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nemasix Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Salut, Est ce que tu pourrais être plus précis :) quel version de Windows? Quel(s) navigateur(s)? Quel environnement (nb de pcs ? Possibilité de monter un proxy?) ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Furax Posté(e) le 9 novembre 2015 Auteur Partager Posté(e) le 9 novembre 2015 Heu... oui... J'avais tellement les config en tête que je ne pense même pas à le préciser désolé... :) Les PC, c'est du Windows 7, 8 et 10 et il y en aura 10 au maximum. Pour le navigateur ça sera Edge et Firefox. Le serveur qui peut servir pour les GPO c'est du Windows server 2012. Pas de possibilité de monter un proxy. Lien vers le commentaire Partager sur d’autres sites More sharing options...
renaud07 Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Salut, Vu qu'il y a plusieurs navigateurs, les extensions et le blocage intégré sont exclus car faciles à désactiver et long à mettre en place. Vu que tu ne peux pas monter de proxy, il te reste une solution assez simple : passer par le fichier hosts et déclarer tous les sites à bloquer. Tu n'auras plus qu'a répliquer le tout sur chaque machine et interdire la modif du fichier. Pour 10 machines ça devrait être rapide. Pour bloquer un site, il faut mettre : 0.0.0.0 domaine-a-bloquer.com Le fichier se trouve dans C:\Windows\system32\drivers\etc\hosts. Il se peut que tu ne puisses pas le modifier, pour ça il faudra modifier les permissions d'accès et te décaler en tant que propriétaire du fichier (par défaut c'est le système il me semble). Après les utilisateurs qui se connectent on un compte limité et n'ont donc normalement pas accès. Si tu comptes modifier souvent ce fichier ça risque d'être pénible à la longue de chaque fois le recopier, dans ce cas il faudrait monter un DNS menteur sur le windows server pour bloquer les sites, par contre je ne sais pas trop comment ça fonctionne. Je sais que sous Linux on peut déclarer facilement un domaine à bloquer via une fonction de bind avec les aliases (CNAME). Il faudrait que je creuse. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arcy Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Sinon si les utilisateurs peuvent pas le modifier, passer par des DNS qui permettent un filtrage poussé. Certains autorisent l'accès à des sites selon le contenu, comme par exemple OpenDNS : https://www.opendns.com/home-internet-security/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
renaud07 Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Je viens de trouver pour le DNS de windows server. En fait c'est tout simple : il faut rajouter pour chaque site à bloquer une zone de recherche direct en laissant les choix cochés par défaut et même sans paramétrage ça bloque absolument tout, même les sous-domaines et pas besoin de configurer d'ip 0.0.0.0 ou autre ; on crée la zone avec l'assistant et c'est tout ! Et pour que les utilisateurs ne modifient pas la config ip, il suffit d’interdire l'accès au panneau de configuration via la GPO kivabien et hop ! Une fois configuré ça donne : Ici on bloque facebook, youtube, twitter et deezer. Je l'ai fait sous 2008 R2, mais ce devrait être pareil pour 2012 je pense. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Et si on fait "dig www.google.fr 8.8.8.8" dans une ligne de commande ca resout pas ? En outrepassant les serveurs DNS systèmes ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
JohnDeuf Posté(e) le 9 novembre 2015 Partager Posté(e) le 9 novembre 2015 Hello, Je n'ai pas de connaissance poussée dans le domaine, donc pardon si je dis une idiotie...Mais il n'est pas possible d'outrepasser l'interdiction en utilisant une adresse fausse, automatiquement rectifiée par le browser ?Je me souviens du temps où j'étais à l'école, on passait par wwww.youtube.com pour y arriver, ou encore htttp://www.facebook.com. Lien vers le commentaire Partager sur d’autres sites More sharing options...
renaud07 Posté(e) le 10 novembre 2015 Partager Posté(e) le 10 novembre 2015 Et si on fait "dig www.google.fr 8.8.8.8" dans une ligne de commande ca resout pas ? En outrepassant les serveurs DNS systèmes ? Si ça marche, mais après tu fais comment ? La plupart du temps en mettant l'ip ça ne fonctionne pas, pour youtube ça renvoie l'ip de google, si tu tapes l'ip dans la barre d'adresse, ça renvoie sur google, pas youtube. -deezer : HTTP_NOT_FOUND -twitter : page blanche -facebook : redirection vers le domaine > paf, adresse introuvable Je continue ? Hello, Je n'ai pas de connaissance poussée dans le domaine, donc pardon si je dis une idiotie... Mais il n'est pas possible d'outrepasser l'interdiction en utilisant une adresse fausse, automatiquement rectifiée par le browser ? Je me souviens du temps où j'étais à l'école, on passait par wwww.youtube.com pour y arriver, ou encore htttp://www.facebook.com. Je viens de tester : ça ne fonctionne pas En même temps même avec la correction, tu demandes un domaine auquel n'est associé aucune IP donc il ne peut que te renvoyer "adresse introuvable" Ça me fait penser que dans mon lycée pour aller sur les sites bloqués je me faisais mon petit tunnel SSH avec redirection de port, et vu qu'on se servait de firefox, les préférences ne pouvant être bloquées, je configurais un proxy socks et hop, à moi la liberté Lien vers le commentaire Partager sur d’autres sites More sharing options...
Furax Posté(e) le 10 novembre 2015 Auteur Partager Posté(e) le 10 novembre 2015 Merci pour toutes vos réponses. Par contre juste un point, je ne veux pas bloquer certains sites, mais seulement en autoriser certains, l'inverse en quelque sorte. C'est plus chi*** à gérer car sinon oui je serais passé par le fichier hosts par exemple, mais bloquer TOUS les sites sauf certains c'est un peu long malheureusement... Lien vers le commentaire Partager sur d’autres sites More sharing options...
RFN Posté(e) le 10 novembre 2015 Partager Posté(e) le 10 novembre 2015 Bonjour, J'opterai pour ne pas mettre de DNS (ou une fake). La seule solution alors pour résoudre une URL en IP est ce que l'ordi trouvera dans le fichier host. Et donc dans ce dernier, on y met les sites autorisés : l'URL pourra alors être traduite en IP. Contournements possibles : - entrer directement l'IP - remettre un DNS (il faut donc bloquer l'accès au paramétrage réseau. Lien vers le commentaire Partager sur d’autres sites More sharing options...
renaud07 Posté(e) le 10 novembre 2015 Partager Posté(e) le 10 novembre 2015 +1 Faut faire la même chose avec le ficher hosts sauf qu'on y mets les vraies IP des sites à autoriser. Sinon si tu veux tout gérer via le serveur : il faut se déclarer autorité sur les TLD (com, org ,fr...) Pour ça créer une zone de recherche pour chacun. A partir de là si on ne fait rien de plus tout est bloqué (c'est ce que tu veux). Il faudra donc en fonction du domaine ajouter les enregistrements qui vont bien en créant un "nouvel Hôte (A ou AAAA)" Voici un exemple (j'ai barré le blocage individuel des sites, car je ne l'ai pas effacé avant, mais il ne faut pas les mettres bien entendu) : * Là par exemple j'ai donné accès à google, wikipedia et ubuntu-fr.org. Tout le reste est bloqué. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.