我想弄清楚如何阻止我们的一些用户绕过正在部署组策略的代理服务器。
首先,我使用一个pac文件来configurationPC的代理设置。 这些设置正在与组策略正确部署,该部分运作良好。
我的问题是一些用户正在使用此命令重置设置为默认值:
RunDll32.exe InetCpl.cpl,ResetIEtoDefaults
然后将设置重置为默认值(无代理),直到下一次应用组策略。 我已经尝试了多个事情来解决这个问题,但没有任何我已经尝试到目前为止停止这项工作
目前该政策不允许用户重置设置(从计算机configuration和用户configuration),我已经尝试将代理设置设置为每台机器而不是每个用户(具有相应的代理registry项)和一些其他事情。 我也删除了InetCpl.cpl文件,但打破了其他的事情。
我不能强迫人们使用我们网关的代理服务器,我需要客户端使用正在设置的pac文件(有一些目的地代理服务器根据他们parsing的IP不会使用)以及相当的文件中的规则很less。
你有一些聪明的用户。 或者至less有一个智能用户,其余的则善于遵循指示。 你有没有尝试阻止RunDll32.exe通过组策略在用户空间执行?
在我上学的学校,我也有类似的问题。 我的解决scheme是设置一个白名单,无代理stream量(只有less数网站需要它)。 如果你没有通过代理,你被阻止了一切。 IIRC,没有普通用户有任何问题,因为我有通过DHCP和DNS提供的pac文件。
我想你在这里打败了一场败仗。 如果用户有pipe理员访问他们的笔记本电脑,你可以做的很less,以阻止他们与代理设置monkeying。
此外,为什么你的用户禁用代理的问题是重要的。 是否因为一些网站的访问不与代理工作? 根据我的经验,一起参与和解决这个问题将会比战斗更好。 但是,如果与他们战斗是唯一的select,那么你需要在networking层进行战斗。
如果代理的唯一function是为您节省一点带宽,那么也许您不会阻止不通过代理的stream量,但是如果代理被视为依赖组策略来强制stream量通过的安全控制,一个可行的select。 恶意软件,用户手机mac,铬等将忽略你的规则,所有的时间和金钱投入到代理被浪费
你说toucans强迫他们使用代理作为那里你不需要代理的IP。 为了解决这个问题,您的防火墙允许出站networkingstream量到这些IP,并阻止所有其他networkingstream量不是来自代理。
就个人而言,我一直偏好透明代理,而不必在每个客户端上configuration代理。