Zugriff nur auf bestimmte Webseiten zulassen
Guten Abend.
Ich habe folgende Herausforderung:
Es gilt auf Windows PCs den Zugriff über Browser (egal welcher) auf das Internet soweit einzuschränken, dass nur bestimmte, definierte und von mir "freigegebenen" Webseiten aufgerufen werden können.
Also quasi ein "block all" mit einer "Whitelist".
Mailing, Teamviewer etc soll jedoch uneingeschränkt nutzbar sein.
Hintergrund ist einfach, dass Mitarbeiter lediglich ausgewählte Webseiten aufrufen können sollen, und nicht frei durch´s Web surfen können sollen.
Das ganze soll auch "nur" bestimmte PCs in einem Netzwerk betreffen, und nicht das ganze Netzsegment.
Und dazu sollte es ein zentrales Management geben, über welches man bei Bedarf neue Freigaben nachpflegen kann.
Es sollen darüber bis 200 PCs "gemanaged" werden.
Schwierige Herausforderung, aber vielleicht hat ja jemand etwas ähnliches bereits im Einsatz...
Ich habe folgende Herausforderung:
Es gilt auf Windows PCs den Zugriff über Browser (egal welcher) auf das Internet soweit einzuschränken, dass nur bestimmte, definierte und von mir "freigegebenen" Webseiten aufgerufen werden können.
Also quasi ein "block all" mit einer "Whitelist".
Mailing, Teamviewer etc soll jedoch uneingeschränkt nutzbar sein.
Hintergrund ist einfach, dass Mitarbeiter lediglich ausgewählte Webseiten aufrufen können sollen, und nicht frei durch´s Web surfen können sollen.
Das ganze soll auch "nur" bestimmte PCs in einem Netzwerk betreffen, und nicht das ganze Netzsegment.
Und dazu sollte es ein zentrales Management geben, über welches man bei Bedarf neue Freigaben nachpflegen kann.
Es sollen darüber bis 200 PCs "gemanaged" werden.
Schwierige Herausforderung, aber vielleicht hat ja jemand etwas ähnliches bereits im Einsatz...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671690
Url: https://administrator.de/forum/zugriff-nur-auf-bestimmte-webseiten-zulassen-671690.html
Ausgedruckt am: 06.04.2025 um 02:04 Uhr
8 Kommentare
Neuester Kommentar
würde ich auch sagen - was is daran schwer? Squid + Squidguard für die Whitelist (gibt auch andere Lösungen natürlich!), die Rechner per static-dhcp auf ne feste IP pinnen und fertig. Rest is spielerei in der Firewall...
Ich würde jedoch überlegen ob ich die isolierten Rechner nicht in ein anderes VLAN hänge - um auszuschliessen das jemand meint das er/sie da einfach was zwischenklemmt. Das VLAN kostet nichts und kann intern ja dieselben Rechte wie die anderen Rechner haben. Nach aussen ist es dann einfach einen Rechner freizugeben bzw. zu sperren - einfach den Port umsetzen, fertig.
Ich würde jedoch überlegen ob ich die isolierten Rechner nicht in ein anderes VLAN hänge - um auszuschliessen das jemand meint das er/sie da einfach was zwischenklemmt. Das VLAN kostet nichts und kann intern ja dieselben Rechte wie die anderen Rechner haben. Nach aussen ist es dann einfach einen Rechner freizugeben bzw. zu sperren - einfach den Port umsetzen, fertig.
Mahlzeit.
Es wäre für eine zielführende Hilfestellung auch ein paar Rahmenbedingungen bekannt sein
Was liegt denn an Hardware vor? Im Speziellen Firewall / Router.
Wie sieht die Netzwerk-Topologie aus? Gibt es Netzwerksegmente oder sind die fast 200 PC in einem 192.168.178.0/24 Netz?
TeamViewer sollte man nur situativ freigeben und nicht pauschal. Stichwort: Schatten-IT und man hört dann Sätze auf dem Flur á la: "Ich kann arbeiten ohne mich mit dem blöden VPN und MFA Quatsch zu verbinden."
Die Kollegen nannten ja schon einige mögliche Verfahrenswege. Je nachdem, welche Firewall vorliegt könnten auch Webfilter dort aktiviert und zusammen mit Gruppenobjekten für DHCP-Bereiche / Subnetze / VLAN genutzt werden.
Gruß
Marc
Es wäre für eine zielführende Hilfestellung auch ein paar Rahmenbedingungen bekannt sein
Was liegt denn an Hardware vor? Im Speziellen Firewall / Router.
Wie sieht die Netzwerk-Topologie aus? Gibt es Netzwerksegmente oder sind die fast 200 PC in einem 192.168.178.0/24 Netz?
TeamViewer sollte man nur situativ freigeben und nicht pauschal. Stichwort: Schatten-IT und man hört dann Sätze auf dem Flur á la: "Ich kann arbeiten ohne mich mit dem blöden VPN und MFA Quatsch zu verbinden."
Die Kollegen nannten ja schon einige mögliche Verfahrenswege. Je nachdem, welche Firewall vorliegt könnten auch Webfilter dort aktiviert und zusammen mit Gruppenobjekten für DHCP-Bereiche / Subnetze / VLAN genutzt werden.
Gruß
Marc
Die Bastelei hierbei entspricht Anschaffung, Konfiguration, Wartung eines solchen Systems. Funktioniert ja, aber erfordert Pflege.
Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
Da ist das Problem, dass die "Schlauen" am Client ausbüchsen können.