Bloquear Facebook para usuarios seleccionados

Tenemos algunos usuarios aquí que usan Facebook durante las horas de trabajo y su productividad está por las nubes, como medida temporal he editado remotamente sus archivos de host para apuntar facebook.com y sus diversos subdominios para apuntar a la dirección de bucle invertido y luego manualmente comentar a la hora del almuerzo para que puedan usarlo.

Obviamente, esto es un poco cansado para varios usuarios todos los días.

Estoy tratando de encontrar algo que pueda hacer este bloqueo automáticamente a tiempo.

Estaba pensando en algún tipo de servidor proxy que puedo agregar a la configuración del proxy en su navegador a través de la política de grupo.

¿Alguien sabe de alguna solución de software gratuita o barata para Windows que haga esto? ¿O tal vez algo independiente que pueda instalar en una PC / VM?

Supongo que siempre podría escribir y programar algunos archivos por lotes para cambiar un archivo host bloqueado por uno no bloqueado.

La red es un servidor Windows 2003 SBS, estaciones de trabajo Windows XP sp3, una interfaz única en el enrutador Netgear DG834 del servidor que, si bien tiene cierta programación, no permite la configuración de una ventana solo ventana de bloque único, por ejemplo 9-5pm, pero me gustaría para abrirlo en el medio.

Si lo que estás haciendo ahora está funcionando pero el problema es que te está tomando demasiado tiempo, entonces las tareas programadas son tu amigo :)

Pop las dos versiones del archivo de hosts en la red en algún lugar (con FB habilitado / deshabilitado), y luego configure una tarea programada, expulsada por GPO.

A la hora del almuerzo (digamos, 11:30) copia el hostsarchivo "FB habilitado" , y luego después del almuerzo (digamos, 13:30) copia el hostsarchivo "FB deshabilitado" .

Precio: $ gratis
Difícil: Fácil
Efectividad: Buena
gestión Gastos generales: Medio

_{Para el registro, la respuesta de Squillman es la que preferiría como administrador de sistemas, pero todos sabemos que esa no es la forma en que funciona en la vida real.}

Como alguien que solía ser responsable de los servidores proxy, los cortafuegos y los filtros web, estoy muy de acuerdo con el comentario de @ DanBig y le insto a decirle cortésmente a la gerencia "No me importa" y dejar que se encarguen de ello. El cuidado de niños es un problema de gestión / recursos humanos y no debe dejarse a nivel de TI de trabajo. Si tiene contención de recursos hasta el punto en que las actividades de alguien en Facebook están causando problemas de rendimiento en su red y aún no tiene un software de filtrado, bloquee su puerto de conmutación o algo así e involucre a la administración. Luego trabaje con la gerencia / RRHH en una política de uso aceptable, que también podría incluir un proxy / filtro web para ayudar a hacer cumplir dicha política. TI puede ayudar a definir la política, pero RR.HH. debería ser el propietario de la política.

NO desea meterse en medio de batallas legales u otros conflictos con [ex] empleados descontentos si / cuando comienzan a caer por la tubería. No es un largo declive del uso exuberante de Facebook a otros usos cuestionables de Internet.

Otra alternativa sería bloquear Facebook et al de las máquinas de trabajo de las personas de 9 a 5, pero establecer un "cibercafé" en un área común donde puedan tener acceso a Internet para navegar a la hora del almuerzo.

Estas máquinas pueden estar cerradas la mayor parte del día, pero solo abren de 11 a.m. a 2 p.m. (por ejemplo).

Como estas máquinas son efectivamente "públicas", las personas tendrían que aprender a desconectarse cuando hayan terminado.

Esto también ayudaría a delinear claramente el uso privado y laboral de Internet.

Wow, esa es definitivamente la forma difícil.

Hay una multitud de soluciones de filtrado web que harán lo que necesita. Squidguard es probablemente la opción popular / simple, pero no faltan las opciones gratuitas / baratas (así como las ridículamente caras); Untangle, DansGuardian, las versiones gratuitas de algunos de los dispositivos de gestión de amenazas unificadas que existen como Astaro harían el truco.

Si bien estoy más de acuerdo aquí con que este es un problema de gestión y en un mundo ideal, terminaría con una nueva política; sin embargo, en el mundo en el que vivimos, se requiere un brazo de cumplimiento además de la política.

Otros han mencionado varios paquetes que puedes comprar; Creo que lo que has hecho está bien, lo que necesitas es una forma de automatizarlo. Creo que un simple PowerShell y un par de tareas programadas funcionarían bien.

Teníamos 3 máquinas con acceso abierto a Internet en un área pública con acceso bloqueado a sitios cuestionables a través de OpenDNS y separadas del resto de la red. El resto de la planta de producción no tenía acceso a internet. Serví bastante bien a un sitio con más de 50 usuarios, pero nuestro negocio no tiene mucho acceso a la web.

Tenemos una situación similar en mi lugar de trabajo. Lo resolvimos poniendo a todos los usuarios problemáticos en el mismo subdominio y bloqueando el acceso de ese subdominio a Facebook, etc. a través del firewall. Si su firewall no acepta nombres de host, habrá algún mantenimiento asociado con el cambio de registros DNS, pero esto parece una solución aceptable en comparación con su solución actual.

También puede habilitar restricciones basadas en el tiempo dependiendo de su software de firewall.

Lo más fácil (*) es instalar Ubuntu en la PC con 2 tarjetas de red, configurar iptables + Squid + Dansguardian y bloquear usuarios por IP. El proxy será transparente, no es necesario configurar los navegadores de los usuarios. En Dansguardian podrás crear grupos de usuarios y asignar diferentes conjuntos de reglas a cada uno de ellos. Dansguardian admite la programación.

Además de bloquear, recomendaría implementar informes. Los informes son muy importantes: las personas son mucho más responsables cuando saben que son responsables. Utilizamos SARG que publicaba informes diarios en el sitio web local para que todos, incluida la gerencia, puedan ver estadísticas.

Prefiero acuerdos en lugar de políticas e informes a la gerencia. Por lo tanto, acordamos que las redes sociales estarán disponibles durante la hora del almuerzo y después del horario laboral y eso es suficiente para el 98% del personal.

* Más fácil porque:

• todos los recursos requeridos son PC viejas y $ 15 por tarjeta de red; no es necesario solicitar un presupuesto;
• todos los paquetes mencionados están disponibles en el repositorio de Ubuntu, no es necesario volver a compilar nada: la personalización es menor con muchos manuales y artículos disponibles;
• la solución está centralizada;
• las reglas funcionarán para TODAS las computadoras en la red, incluso si la PC no pertenece a su AD;
• este intermedio es lo suficientemente bueno como para convertirse en una solución permanente, por lo que no se desperdiciará ningún esfuerzo ...

Estoy de acuerdo en general con lo que escribió alexm, pero lo abordaría de manera ligeramente diferente. En lugar de construir un sistema desde cero, sugiero usar una de las distribuciones de firewall muy fáciles de usar. Personalmente estoy a favor de Smoothwall, pero hay muchos otros para elegir. Además de permitirle mucha más flexibilidad de filtrado que la que tiene actualmente, también obtendrá los beneficios de tener un firewall de puerta de enlace decente.

La mayoría de las distribuciones de firewall tienen un soporte comunitario muy bueno, por lo que es muy posible que alguien ya haya creado un complemento para usted. De lo contrario, aunque la configuración que busca puede no estar disponible en la consola de administración normal, puede implementarse fácilmente mediante squid y cron. Con muy pocas secuencias de comandos, puede tener tanta granularidad y control como desee.

Eche un vistazo a los firewalls FortiGate. Tienen bloqueo de nivel de aplicación.