lothar.kruse
Goto Top

Zugriff nur auf bestimmte Webseiten zulassen

Guten Abend.
Ich habe folgende Herausforderung:
Es gilt auf Windows PCs den Zugriff über Browser (egal welcher) auf das Internet soweit einzuschränken, dass nur bestimmte, definierte und von mir "freigegebenen" Webseiten aufgerufen werden können.
Also quasi ein "block all" mit einer "Whitelist".
Mailing, Teamviewer etc soll jedoch uneingeschränkt nutzbar sein.
Hintergrund ist einfach, dass Mitarbeiter lediglich ausgewählte Webseiten aufrufen können sollen, und nicht frei durch´s Web surfen können sollen.
Das ganze soll auch "nur" bestimmte PCs in einem Netzwerk betreffen, und nicht das ganze Netzsegment.
Und dazu sollte es ein zentrales Management geben, über welches man bei Bedarf neue Freigaben nachpflegen kann.
Es sollen darüber bis 200 PCs "gemanaged" werden.

Schwierige Herausforderung, aber vielleicht hat ja jemand etwas ähnliches bereits im Einsatz...

Content-ID: 671690

Url: https://administrator.de/forum/zugriff-nur-auf-bestimmte-webseiten-zulassen-671690.html

Ausgedruckt am: 06.04.2025 um 02:04 Uhr

Avoton
Avoton 28.02.2025 um 23:36:01 Uhr
Goto Top
Moin,

Firewall mit HTTP Proxy einsetzen und dort eine ACL pflegen. Zugriff am Proxy vorbei per Firewall Regeln verbieten.

Gruß,
Avoton
maretz
maretz 01.03.2025 um 05:08:19 Uhr
Goto Top
würde ich auch sagen - was is daran schwer? Squid + Squidguard für die Whitelist (gibt auch andere Lösungen natürlich!), die Rechner per static-dhcp auf ne feste IP pinnen und fertig. Rest is spielerei in der Firewall...

Ich würde jedoch überlegen ob ich die isolierten Rechner nicht in ein anderes VLAN hänge - um auszuschliessen das jemand meint das er/sie da einfach was zwischenklemmt. Das VLAN kostet nichts und kann intern ja dieselben Rechte wie die anderen Rechner haben. Nach aussen ist es dann einfach einen Rechner freizugeben bzw. zu sperren - einfach den Port umsetzen, fertig.
radiogugu
radiogugu 01.03.2025 aktualisiert um 11:57:51 Uhr
Goto Top
Mahlzeit.

Es wäre für eine zielführende Hilfestellung auch ein paar Rahmenbedingungen bekannt sein face-smile

Was liegt denn an Hardware vor? Im Speziellen Firewall / Router.

Wie sieht die Netzwerk-Topologie aus? Gibt es Netzwerksegmente oder sind die fast 200 PC in einem 192.168.178.0/24 Netz?

TeamViewer sollte man nur situativ freigeben und nicht pauschal. Stichwort: Schatten-IT und man hört dann Sätze auf dem Flur á la: "Ich kann arbeiten ohne mich mit dem blöden VPN und MFA Quatsch zu verbinden."

Die Kollegen nannten ja schon einige mögliche Verfahrenswege. Je nachdem, welche Firewall vorliegt könnten auch Webfilter dort aktiviert und zusammen mit Gruppenobjekten für DHCP-Bereiche / Subnetze / VLAN genutzt werden.

Gruß
Marc
DivideByZero
DivideByZero 01.03.2025 um 12:35:06 Uhr
Goto Top
Moin,

gehe vor, wie oben beschrieben.

Achte nur darauf, dass in den PCs keine WLAN Karten eingebaut sind, sonst ist das schneller umgangen, als man sich umschauen kann.

Gruß

DivideByZero
user217
user217 03.03.2025 um 14:14:01 Uhr
Goto Top
geht ohne bastelei mit gdata endpointprotection enterprise.
Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
beides ohne dhcp-ip-pinning
Avoton
Avoton 03.03.2025 um 14:56:03 Uhr
Goto Top
geht ohne bastelei mit gdata endpointprotection enterprise.

Mit Moneten geht vieles ohne Bastelei ;)

Gruß,
Avoton
DivideByZero
DivideByZero 03.03.2025 um 16:11:55 Uhr
Goto Top
Zitat von @user217:
geht ohne bastelei mit gdata endpointprotection enterprise.
Die Bastelei hierbei entspricht Anschaffung, Konfiguration, Wartung eines solchen Systems. Funktioniert ja, aber erfordert Pflege.

Alternativ mit einen Proxy wie o.g. z.B. Sophos per AD Userkennung.
Da ist das Problem, dass die "Schlauen" am Client ausbüchsen können.
user217
user217 04.03.2025 um 14:01:58 Uhr
Goto Top
Da ist das Problem, dass die "Schlauen" am Client ausbüchsen können.

wie?