我想阻止来自我的networking的不安全的IE和OE。 有些人坚持使用这个手段,而且几乎不使用它们。 我安装了FF和SM,他们都卸载了。 我想确保网关不要打开。
编辑:路由器是一个D-Link EBR-2310。
如果不引入额外的软件,则无法在防火墙层进行。
在人们提出的build议中,你们击倒了每一个人:
这些是技术解决scheme。 让他们工作(即购买代理服务器的硬件或撤销他们的pipe理员权限)或停止担心这个问题。 正如其他人所指出的那样,IE / OE的不安全性与Admins日常运行的用户相比毫无用处。 和XP家庭? 这是一个安全的笑话 – 你甚至不能执行文件权限。
最后一种select是把这看成一个社会问题。 你说你是pipe理层 – 很好,然后制定和执行你的政策。 卸载IE。 如果他们重新安装它,解雇他们。 不能这样做? 然后处理你的用户运行IE。 你可能想重新考虑你的“pipe理”技术。
不幸的是,你做出一个真正的糟糕的决定,让他们的XP家庭 – 保存现在,以后付出。 最好的办法是接受并放入XP专业版; 至less可以开始实施一些本地组策略,将事情locking在一个更明智的层面上(尽pipe没有AD,你将不得不在每台机器上单独做这件事 – 希望你们没有太多!)
Internet Explorer和Outlook使用标准协议访问Internet。 如果不进行深度数据包检查并检查其特定标题,则无法在路由器上阻止它们。
你可以做的是强制所有访问互联网通过代理服务器。 在代理服务器上,你可以通过用户代理string阻止某些客户端(尽pipe我不认为OE发送任何可识别的东西,所以这只适用于IE。
如果你能pipe理电脑,你可能会从(电子)桌面策略中获得更好的里程。
不幸的是,PC出于某种原因必须具有pipe理权限。
我认为你的时间和精力最好先花在研究这个问题上。
同意以上所有ppl,代理是禁用IE浏览器的最佳select。 不要以为你会遇到OE的困难
但是,你可以通过软件来阻止它们。 在win7 2008r2你可以使用AppLocker这是部署槽GroupPolicys。 糟糕的是,这些操作系统还不是RTM。 在applocker它只是为了禁用exe的filehash从计算机上运行。 我认为自从Windows 2000以来,类似的软件限制政策已经存在,我不太了解这个难题。
据我所知,FF比IE更不安全。 如果你想要一个更安全的环境,一般你的用户应该是用户而不是pipe理员/本地pipe理员。 使用ACT(应用程序兼容性工具包)欺骗应用程序,以认为它由pipe理员运行。
除非他们使用不同的端口,否则无法在路由器级别阻止应用程序。 例如,如果你阻塞端口80,它将阻止IE / Firefox /等。 为什么不只是删除所有的IE快捷方式,不允许用户手动运行程序?
在pipe理层批准的情况下发布IT策略,禁止在企业中使用Internet Explorer和Outlook Express。
删除Internet Explorer的快捷方式(手动或通过GPO)并卸载Outlook Express。
删除用户的pipe理权限,以防止他们安装应用程序。
对Internet Explorer和Outlook Express进行审计的机器偶尔会写入任何人使用它们进行pipe理。
违反IT策略应该在您的组织中认真对待。 您不应该与用户争取哪些软件被批准供公司使用。 如果你的pipe理层不支持你的安全工作,我会考虑在某个地方工作。
(这将是一个评论,但它有点长…)
看来你正在试图用技术解决scheme来解决一个社会问题(应该由政策来控制的东西)。 这几乎总是一个坏主意,几乎总是以某种方式失败。 通常以一种方式来咬pipe理员。
另外,你有没有研究过为什么你认为IE和OE是一个坏主意? 许多(大多数?)公司在全世界使用它们,只要它们被完全修补,就没有听说过许多重大事件(至less现在是这样)。 我怀疑,通过改用Windows Pro,摆脱用户工作站的pipe理权限,并实施可靠的修补机制,可以更好地为您服务。 从长远来看,这对你来说远远不止于IE和OE的访问。 如果您在删除pipe理权限方面需要帮助,Aaron Margosis曾经拥有非pipe理员博客。 它还没有被更新,但它仍然包含有用的信息。
IANANG(我不是Netowork上帝),但是这对我来说似乎是不可能的。 Outlook Express应该显示为SMTP客户端,因此您将无法在路由器或防火墙上检测到它。 如果你能检测到UserAgentstring,你也许可以阻止IE浏览器,但这似乎也是可疑的。
我会同意这个“crchad”。 有许多必须给pipe理员权限的变通办法。
其他人也是对的。 您的用户负责计算机,并且您试图pipe理“他们”,尽pipe远离和通过安静的手段,而不是直接与有问题的用户或pipe理人员certificate您的情况。
与其花时间研究技术解决scheme,相反,我会build议你研究有效的案例,说明为什么他们不想运行在他们目前所在的configuration中。整个公司的危险是什么,一个过时和易受攻击的浏览器和操作系统。
无论哪种方式,祝你好运伙伴..
用你有什么:没有机会。
一种select是在路由器前面获得一个新的路由器或代理,检查networkingstream量并阻止基于此的应用程序(据我所知称为第7层过滤)。 但是,由于IE和OE使用标准协议,因此只能依赖于可能阻止其他浏览器和应用程序的用户代理string。
一个更好的select是升级到一个真正的域名并执行策略。
但是,由于用户具有pipe理权限,没有域名,只有家庭用户路由器,你就会迷路了。
从技术上讲,如果你阻止IE浏览器,一些应用程序可能会因此而失败,即使它们没有连接到Internet。 IE已经成为Windows操作系统的核心部分,而且这些日益变得越来越重要。
然后再次,你的问题似乎是连接到互联网阅读他们的电子邮件,可能是一些其他个人的东西的用户。 这不好吗? 它经常发生在公司,经过调查,事实certificate,如果能够在工作中使用IE和电子邮件,它往往会使人们更有效率。 其中一个原因是因为它让他们连接到他们的计算机,而不是匆匆向同事聊天。 所以,如果你不允许IE和OE,因为你担心你会失去生产力,那么你错了。
关于安全性…虽然路由器能够检测来自某些types的应用程序的通信,但您无法真正阻止路由器级别的应用程序。 这样的浏览器可能会阻止IE,但仍然允许Chrome或Firefox。 这使我有一个有趣的select…为什么不安装和强制在这些计算机上使用Chrome或Firefox? 这将会更安全一些。 如果您还想提供一个电子邮件替代scheme,请获取Mozilla的Seamonkey,它将浏览和电子邮件结合在一个产品中。 那么用户可能不再使用IE和OE。 (然后再一次,像Windows更新一样简单的事情可能会再次把它带回来。)
在这些电脑上安装一个好的防病毒产品,以防万一。 阻止IE和OE将不能保证他们的安全,因为有许多其他的方式可以感染计算机。 已知MS-Word是不安全的,Acrobat Reader也是如此。 Windows GUI中的一个错误甚至使简单的JPG图像成为一个潜在的危险,但是这个更新已经被修正了。