Sperren Sie Facebook für ausgewählte Benutzer

12

Wir haben hier ein paar Benutzer, die Facebook während der Arbeitszeit nutzen und deren Produktivität auf dem Fußboden liegt. Als vorübergehende Maßnahme habe ich ihre Hosts-Dateien so bearbeitet, dass sie auf facebook.com und seine verschiedenen Subdomains verweisen und dann manuell auf die Loopback-Adresse verweisen Kommentiere zur Mittagszeit aus, damit sie es benutzen können.

Dies ist offensichtlich für eine Reihe von Benutzern jeden Tag etwas mühsam.

Ich bin auf der Suche nach etwas, das diese Blockierung automatisch im Zeitplan tun kann.

Ich dachte an eine Art Proxy-Server, den ich über Gruppenrichtlinien zu den Proxy-Einstellungen in ihrem Browser hinzufügen kann.

Kennt jemand eine kostenlose oder kostengünstige Softwarelösung für Windows, die dies ermöglicht? Oder vielleicht etwas eigenständiges, das ich auf einem PC / einer VM installieren kann?

Ich denke, ich könnte immer einige Batch-Dateien schreiben und planen, um eine blockierte Host-Datei durch eine nicht blockierte zu ersetzen.

Das Netzwerk ist ein Windows 2003 SBS-Server, Windows XP SP3-Workstations, eine einzelne Schnittstelle auf dem Server Netgear DG834-Router, der zwar eine gewisse Zeitplanung hat, jedoch nicht die Einstellung eines Fensters nur eines einzelnen Blockfensters zulässt - zum Beispiel von 21:00 bis 17:00 Uhr, aber ich würde es wünschen um es in der Mitte zu öffnen.

Ben Gillam
quelle
18
Das klingt ehrlich gesagt nach einem Managementproblem, nicht nach einem technischen. Vielleicht ist es Zeit, eine akzeptable Nutzungsrichtlinie aufzustellen?
DanBig
2
Das ist sehr richtig, aber die Politik oder nicht die Benutzer werden es trotzdem tun, ob sie erwischt werden oder nicht. Ich könnte eine schreiben, aber das Management und die Benutzer würden es ignorieren: / - Obwohl das Management möchte, dass ich etwas tue, um es zu verhindern
Ben Gillam
6
@Ben - Sagen Sie dem Management, dass die Leute weiterhin tun, was sie wollen, wenn sie keine Leute entlassen wollen. Wenn sie Management sind, sollten sie das bereits wissen.
MDMarra
3
Wenn ihnen nicht vertraut werden kann, dass sie sich verhalten, und das Internet wie verantwortungsbewusste Erwachsene nutzen, sollte ihr Vertrag möglicherweise gekündigt werden und nicht ihre TCP-Verbindungen.
Tom O'Connor
1
Wird Ihre Umgebung mit Active Directory verwaltet? In diesem Fall können Sie versuchen, ein Gruppenrichtlinienobjekt bereitzustellen, um Websites zur Sperrliste des IE hinzuzufügen und Änderungen an DNS zu verteilen.
Ishmael

Antworten:

11

Wenn das, was Sie gerade tun, funktioniert aber das Problem, dass es zu viel Zeit in nimmt, dann sind geplante Aufgaben Ihr Freund :)

Öffnen Sie die beiden Versionen der Hosts-Datei im Netzwerk (mit aktiviertem / deaktiviertem FB) und richten Sie dann eine geplante Aufgabe ein, die vom Gruppenrichtlinienobjekt verteilt wird.

Zur Mittagszeit (z. B. 11:30) wird die hostsDatei "FB Enabled" kopiert , und nach dem Mittagessen (z. B. 13:30) wird die Datei "FB Disabled" kopiert.hosts Datei .

Preis: $ gratis
Schwierigkeit: Einfach
Wirksamkeit: Gut
Verwaltungsaufwand: Mittel

Für die Aufzeichnung Antwort des squillman ist diejenige , die ich als Sysadmin bevorzugen würde, aber wir alle wissen , dass nicht so , wie es im wirklichen Leben funktioniert ist

Mark Henderson
quelle
danke, habe dies als Antwort markiert, es ist am schnellsten zu implementieren und muss nur für bestimmte Benutzer ausgeführt werden
Ben Gillam
+1 Aber für mich ist das die Art und Weise, wie es im wirklichen Leben funktioniert. Die Leute kannten mich als den Internet- / Firewall-Typen und als sie wegen ihrer schlechten Browserentscheidungen herumgeschlagen wurden, fielen sie mir auf persönlicher Ebene auf. Dieser Mist fliegt für mich nicht auf der Arbeitsebene, wo ich nicht derjenige bin, der die Disziplinarrufe macht. Einer der Schlüsselbegriffe in meiner Antwort ist "IT auf Arbeitsebene". Wenn Sie mehr als nur eine IT-Verantwortung auf Arbeitsebene haben, werden die Dinge stärker einbezogen. Siehe auch meine Kommentarantwort zu Johns Kommentar zu meiner Antwort.
Squillman
26

Als jemand, der früher für die Proxys, Firewalls und Webfilter verantwortlich war, stimme ich dem Kommentar von @ DanBig sehr zu und fordere Sie auf, dem Management höflich mitzuteilen, dass es mir egal ist. und dass sie sich . Babysitting ist ein Management- / HR-Problem und sollte nicht der IT auf Arbeitsebene überlassen werden. Wenn Sie einen Ressourcenkonflikt haben, bei dem die Facebook-Aktivitäten einer Person Leistungsprobleme in Ihrem Netzwerk verursachen, und Sie noch keine Filtersoftware installiert haben, blockieren Sie deren Switch-Port oder ähnliches, und lassen Sie das Management einschalten. Arbeiten Sie dann mit dem Management / Personal an einer Richtlinie zur akzeptablen Verwendung, die auch einen Proxy- / Webfilter enthalten kann, um die Durchsetzung dieser Richtlinie zu unterstützen. Die IT kann bei der Definition der Richtlinie helfen, aber die Personalabteilung sollte der Eigentümer der Richtlinie sein.

Sie möchten sich NICHT in juristische Auseinandersetzungen oder andere Konflikte mit verärgerten [ehemaligen] Mitarbeitern verwickeln lassen, wenn diese anfangen, die Pfeife runterzukommen. Es ist kein langer Rückgang von der überbordenden Nutzung von Facebook zu anderen fragwürdigen Nutzungen des Internets.

Squillman
quelle
4
+1, Management Problem den ganzen Weg. Lassen Sie die Mitarbeiter tun, was sie wollen. wenn sie nicht produzieren, werden sie los; Wenn sie den ganzen Tag im Gesicht sind und trotzdem die Arbeit erledigen, wen interessiert das dann?
Chris S
4
Stimme voll und ganz zu. Management-Problem den ganzen Weg. Jetzt habe ich selbst kein Problem mit der Verwendung von Technologie zur Unterstützung des Managements, aber das Blockieren von Websites ohne Managementunterstützung / -durchsetzung macht dies zu einem Spiel und um Kriegsspiele zu paraphrasieren, ist die einzige Möglichkeit, dieses bestimmte Spiel zu gewinnen, nicht zu spielen.
Rob Moir
1
Ich persönlich habe kein Problem mit einem generellen Verbot von Facebook bei der Arbeit. Es ist nicht arbeitsbezogen (es sei denn, Ihr Unternehmen hat eine Facebook-Seite?), Daher sollte niemand es verwenden. Ich habe für eine Organisation gearbeitet, in der alle webbasierten Mail-Sites blockiert sind, eBay, Carsales, Realestate, Facebook usw. Scheint hart, aber ich könnte trotzdem meine Arbeit tun.
xXhRQ8sD2L7Z
1
Ich stimme voll und ganz zu, dass es sich in erster Linie um ein Managementproblem handelt, aber für diejenigen von uns, die in kleinen Unternehmen arbeiten, sind die Grenzen und Regeln etwas fließender. Da das OP SBS verwendet, ist es vermutlich eine sehr kleine Firma. In solchen Fällen ist die IT-Person selten nur eine IT-Person und hat eine größere Verantwortung für die menschliche Seite der Dinge. In einfachen Worten, einige von uns können es nicht einfach dem Management zurückgeben und müssen es so gut wie möglich behandeln.
John Gardeniers
@ John Ich respektiere total, wo du herkommst: Versteh mich nicht falsch. Ich habe zugegebenermaßen nicht in Vollzeit für ein kleines Unternehmen gearbeitet, sondern nur für sie beraten. Aufgrund meiner Erfahrung würde ich immer noch ungern etwas umsetzen, ohne die Partnerschaft des Inhabers (oder desjenigen, der einen großen Anteil an Dingen hat) der Deal. Ich würde auch dafür sorgen, dass diese Person das Sagen hat. Persönlich würde ich es nicht anders haben. Die Anrufe, die ich von ehemaligen Mitarbeitern erhalten habe, haben sich einfach nicht gelohnt.
Squillman
7

Eine andere Alternative wäre, Facebook et al. Von 9 bis 5 Uhr an den Arbeitsmaschinen der Leute zu hindern, aber ein "Internet-Café" in einem Gemeinschaftsbereich einzurichten, in dem sie zum persönlichen Surfen zur Mittagszeit Zugang zum Internet haben können.

Diese Automaten können den größten Teil des Tages gesperrt sein, sind jedoch beispielsweise nur von 11.00 bis 14.00 Uhr geöffnet.

Da diese Maschinen effektiv "öffentlich" sind, müssten die Leute lernen, sich abzumelden, wenn sie fertig sind.

Dies würde auch dazu beitragen, die private und berufliche Nutzung des Internets klar abzugrenzen.

ChrisF
quelle
danke, das wäre in der Tat eine gute Idee, leider haben wir keine Ersatzhardware, aber es lohnt sich zu überlegen, ob und wann wir die Systeme hier aktualisieren und die alte Hardware aus dem
Verkehr
3

Wow, das ist definitiv der harte Weg.

Es gibt eine Vielzahl von Webfilterlösungen, die genau das tun, was Sie brauchen. Squidguard ist wahrscheinlich die populäre / einfache Wahl, aber es gibt keinen Mangel an kostenlosen / billigen Optionen (sowie lächerlich teuren); Untangle, DansGuardian, die kostenlosen Versionen einiger der einheitlichen Bedrohungsmanagement-Appliances, wie Astaro, würden den Trick machen.

Shane Madden
quelle
3

Obwohl ich hier der Meinung bin, dass dies ein Managementproblem ist und in einer idealen Welt mit einer neuen Politik enden würde; In der Welt, in der wir leben, ist jedoch zusätzlich zur Politik eine Durchsetzungsbehörde erforderlich.

Andere haben einige Pakete erwähnt, die Sie kaufen könnten; Ich denke, was Sie getan haben, ist in Ordnung - was Sie brauchen, ist eine Möglichkeit, es zu automatisieren. Ich denke, eine einfache PowerShell und zwei geplante Aufgaben würden gut funktionieren.

Nate
quelle
1

Wir hatten 3 Maschinen mit offenem Internetzugang in einem öffentlichen Bereich mit gesperrtem Zugang zu fragwürdigen Sites über OpenDNS und getrennt vom Rest des Netzwerks. Der Rest der Produktionshalle hatte keinen Internetzugang. Hat eine Website mit mehr als 50 Nutzern recht gut bedient, aber unser Geschäft ist nicht sehr webintensiv.

Bryan Lott
quelle
1

Wir haben eine ähnliche Situation an meinem Arbeitsplatz. Wir haben das Problem behoben, indem wir die Benutzer derselben Subdomain zugeordnet und den Zugriff dieser Subdomain auf Facebook usw. über die Firewall blockiert haben. Wenn Ihre Firewall keine Hostnamen akzeptiert, ist mit dem Ändern von DNS-Einträgen eine gewisse Wartung verbunden. Dies scheint jedoch im Vergleich zu Ihrer aktuellen Lösung eine akzeptable Lösung zu sein.

Abhängig von Ihrer Firewall-Software können Sie auch zeitbasierte Einschränkungen aktivieren.

jamesbtate
quelle
Selektive Filterung? Das klingt nicht nach einer guten Idee, IMO.
DanBig
1

Am einfachsten (*) ist es, Ubuntu auf einem PC mit 2 Netzwerkkarten zu installieren, iptables + Squid + Dansguardian zu konfigurieren und Benutzer nach IPs zu blockieren. Der Proxy ist transparent, die Browser der Benutzer müssen nicht konfiguriert werden. In Dansguardian können Sie Benutzergruppen erstellen und ihnen jeweils unterschiedliche Regelsätze zuweisen. Dansguardian unterstützt die Terminplanung.

Neben dem Blockieren würde ich empfehlen, die Berichterstellung zu implementieren. Berichte sind sehr wichtig: Menschen sind viel verantwortungsbewusster, wenn sie wissen, dass sie rechenschaftspflichtig sind. Wir verwendeten SARG, das tägliche Berichte auf der lokalen Website veröffentlichte, damit jeder, einschließlich des Managements, Statistiken sehen kann.

Ich bevorzuge Vereinbarungen gegenüber Richtlinien und Berichten an das Management. Aus diesem Grund haben wir vereinbart, dass soziale Netzwerke während der Mittagspause und nach der Arbeitszeit verfügbar sein werden. Dies ist für 98% der Mitarbeiter ausreichend.

* Am einfachsten, weil:

  • Alle erforderlichen Ressourcen sind alter PC und 15 US-Dollar für eine Netzwerkkarte - Sie müssen nicht nach einem Budget fragen.
  • Alle genannten Pakete sind im Ubuntu-Repository verfügbar, es ist keine Neukompilierung erforderlich. Die Anpassung ist gering, da viele Handbücher und Artikel verfügbar sind.
  • Lösung ist zentralisiert;
  • Regeln funktionieren für ALLE Computer im Netzwerk, auch wenn der PC nicht zu Ihrem AD gehört.
  • Diese Zwischenzeit ist gut genug, um eine dauerhafte Lösung zu werden, so dass keine Mühe verschwendet wird ...
alexm
quelle
+1 für Dansguardian. Sie haben Cron-Jobs eingerichtet, um die Sperrliste den ganzen Tag über zu verschiedenen Zeiten auszutauschen.
4
Dies ist der einfachste Weg, den Sie sich vorstellen können? Wie wäre es mit einer geplanten Windows-Aufgabe zum Bearbeiten der Hosts-Datei? (lahm ja) Oder kaufte ein Geschäft Proxy-Lösung?
Ziplin
Ich bin mit @Ziplin einverstanden, wie um alles in der Welt ist das einfach ? Ich habe diesen Kommentar erst jetzt gesehen, aber ich habe Geplante Aufgaben als Antwort gepostet, zu der ich unabhängig gekommen bin.
Mark Henderson
@Ziplin @Mark Henderson - es hört sich kompliziert an, ist aber einfach, da alles, was für die Implementierung erforderlich ist, unter Ihrer Kontrolle liegt. Ich glaube nicht, dass das Bearbeiten von Hosts-Dateien lange dauern wird: Benutzer werden 1) Anonymisierer finden oder 2) Notebooks von zu Hause mitnehmen oder 3) die Zeitzone auf dem PC ändern.
Alexm
@ Ziplin: Kauf einer fertigen Lösung ist eine gute Option, abhängig vom verfügbaren Budget ...
Alexm
1

Ich bin im Allgemeinen einverstanden mit dem, was Alexm geschrieben hat, würde es aber etwas anders angehen. Anstatt ein System von Grund auf neu zu erstellen, empfehle ich die Verwendung einer der sehr einfach zu verwendenden Firewall-Distributionen. Ich persönlich bevorzuge Smoothwall, aber es gibt eine Reihe von anderen zur Auswahl. Sie können nicht nur wesentlich flexibler filtern als bisher, sondern profitieren auch von einer anständigen Gateway-Firewall.

Die meisten Firewall-Distributionen bieten eine sehr gute Community-Unterstützung, sodass es durchaus möglich ist, dass bereits jemand ein für Sie passendes Add-On erstellt hat. Andernfalls sind die von Ihnen gewünschten Einstellungen möglicherweise nicht in der normalen Verwaltungskonsole verfügbar und können problemlos über Squid und Cron implementiert werden. Mit sehr wenig Skripten können Sie so viel Granularität und Kontrolle haben, wie Sie möchten.

John Gardeniers
quelle
0

Schauen Sie sich die FortiGate-Firewalls an. Sie haben Blockierung auf Anwendungsebene.

John Andrea
quelle