Zugriff nur auf bestimmte Webseiten zulassen
Guten Abend.
Ich habe folgende Herausforderung:
Es gilt auf Windows PCs den Zugriff über Browser (egal welcher) auf das Internet soweit einzuschränken, dass nur bestimmte, definierte und von mir "freigegebenen" Webseiten aufgerufen werden können.
Also quasi ein "block all" mit einer "Whitelist".
Mailing, Teamviewer etc soll jedoch uneingeschränkt nutzbar sein.
Hintergrund ist einfach, dass Mitarbeiter lediglich ausgewählte Webseiten aufrufen können sollen, und nicht frei durch´s Web surfen können sollen.
Das ganze soll auch "nur" bestimmte PCs in einem Netzwerk betreffen, und nicht das ganze Netzsegment.
Und dazu sollte es ein zentrales Management geben, über welches man bei Bedarf neue Freigaben nachpflegen kann.
Es sollen darüber bis 200 PCs "gemanaged" werden.
Schwierige Herausforderung, aber vielleicht hat ja jemand etwas ähnliches bereits im Einsatz...
Ich habe folgende Herausforderung:
Es gilt auf Windows PCs den Zugriff über Browser (egal welcher) auf das Internet soweit einzuschränken, dass nur bestimmte, definierte und von mir "freigegebenen" Webseiten aufgerufen werden können.
Also quasi ein "block all" mit einer "Whitelist".
Mailing, Teamviewer etc soll jedoch uneingeschränkt nutzbar sein.
Hintergrund ist einfach, dass Mitarbeiter lediglich ausgewählte Webseiten aufrufen können sollen, und nicht frei durch´s Web surfen können sollen.
Das ganze soll auch "nur" bestimmte PCs in einem Netzwerk betreffen, und nicht das ganze Netzsegment.
Und dazu sollte es ein zentrales Management geben, über welches man bei Bedarf neue Freigaben nachpflegen kann.
Es sollen darüber bis 200 PCs "gemanaged" werden.
Schwierige Herausforderung, aber vielleicht hat ja jemand etwas ähnliches bereits im Einsatz...
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671690
Url: https://administrator.de/forum/zugriff-nur-auf-bestimmte-webseiten-zulassen-671690.html
Ausgedruckt am: 27.04.2025 um 11:04 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Firewall mit HTTP Proxy einsetzen und dort eine ACL pflegen. Zugriff am Proxy vorbei per Firewall Regeln verbieten.
Gruß,
Avoton
Firewall mit HTTP Proxy einsetzen und dort eine ACL pflegen. Zugriff am Proxy vorbei per Firewall Regeln verbieten.
Gruß,
Avoton
würde ich auch sagen - was is daran schwer? Squid + Squidguard für die Whitelist (gibt auch andere Lösungen natürlich!), die Rechner per static-dhcp auf ne feste IP pinnen und fertig. Rest is spielerei in der Firewall...
Ich würde jedoch überlegen ob ich die isolierten Rechner nicht in ein anderes VLAN hänge - um auszuschliessen das jemand meint das er/sie da einfach was zwischenklemmt. Das VLAN kostet nichts und kann intern ja dieselben Rechte wie die anderen Rechner haben. Nach aussen ist es dann einfach einen Rechner freizugeben bzw. zu sperren - einfach den Port umsetzen, fertig.
Ich würde jedoch überlegen ob ich die isolierten Rechner nicht in ein anderes VLAN hänge - um auszuschliessen das jemand meint das er/sie da einfach was zwischenklemmt. Das VLAN kostet nichts und kann intern ja dieselben Rechte wie die anderen Rechner haben. Nach aussen ist es dann einfach einen Rechner freizugeben bzw. zu sperren - einfach den Port umsetzen, fertig.
2
Mahlzeit.
Es wäre für eine zielführende Hilfestellung auch ein paar Rahmenbedingungen bekannt sein
Was liegt denn an Hardware vor? Im Speziellen Firewall / Router.
Wie sieht die Netzwerk-Topologie aus? Gibt es Netzwerksegmente oder sind die fast 200 PC in einem 192.168.178.0/24 Netz?
TeamViewer sollte man nur situativ freigeben und nicht pauschal. Stichwort: Schatten-IT und man hört dann Sätze auf dem Flur á la: "Ich kann arbeiten ohne mich mit dem blöden VPN und MFA Quatsch zu verbinden."
Die Kollegen nannten ja schon einige mögliche Verfahrenswege. Je nachdem, welche Firewall vorliegt könnten auch Webfilter dort aktiviert und zusammen mit Gruppenobjekten für DHCP-Bereiche / Subnetze / VLAN genutzt werden.
Gruß
Marc
Es wäre für eine zielführende Hilfestellung auch ein paar Rahmenbedingungen bekannt sein
Was liegt denn an Hardware vor? Im Speziellen Firewall / Router.
Wie sieht die Netzwerk-Topologie aus? Gibt es Netzwerksegmente oder sind die fast 200 PC in einem 192.168.178.0/24 Netz?
TeamViewer sollte man nur situativ freigeben und nicht pauschal. Stichwort: Schatten-IT und man hört dann Sätze auf dem Flur á la: "Ich kann arbeiten ohne mich mit dem blöden VPN und MFA Quatsch zu verbinden."
Die Kollegen nannten ja schon einige mögliche Verfahrenswege. Je nachdem, welche Firewall vorliegt könnten auch Webfilter dort aktiviert und zusammen mit Gruppenobjekten für DHCP-Bereiche / Subnetze / VLAN genutzt werden.
Gruß
Marc
Moin,
gehe vor, wie oben beschrieben.
Achte nur darauf, dass in den PCs keine WLAN Karten eingebaut sind, sonst ist das schneller umgangen, als man sich umschauen kann.
Gruß
DivideByZero
gehe vor, wie oben beschrieben.
Achte nur darauf, dass in den PCs keine WLAN Karten eingebaut sind, sonst ist das schneller umgangen, als man sich umschauen kann.
Gruß
DivideByZero
geht ohne bastelei mit gdata endpointprotection enterprise.
Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
beides ohne dhcp-ip-pinning
Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
beides ohne dhcp-ip-pinning
geht ohne bastelei mit gdata endpointprotection enterprise.
Mit Moneten geht vieles ohne Bastelei ;)
Gruß,
Avoton
Die Bastelei hierbei entspricht Anschaffung, Konfiguration, Wartung eines solchen Systems. Funktioniert ja, aber erfordert Pflege.
Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
Da ist das Problem, dass die "Schlauen" am Client ausbüchsen können.Da ist das Problem, dass die "Schlauen" am Client ausbüchsen können.
wie?
