none
Restringir internet para usuários/maquinas no dominio RRS feed

  • Pergunta

  • Boa noite a todos,
                 gostaria de saber se é possível fazer com que a internet seja acessada apenas por usuários logados no domínio e máquinas que estejam inclusas no domínio utilizando algum recurso do ISA Server 2006?

    Também ouvi falar se estiver alguma opção de bloqueio a apenas usuários/maquinas no dominio e o usuário se autenticar no dominio (pode ser com net use) em uma máquina fora do dominio, ele irá acessar a internet normalmente, isso é verdade mesmo?

    Obrigado desde já.
    Rodrigo Palazzolli
    sábado, 3 de outubro de 2009 00:34

Todas as Respostas

  • Boa noite Rodrigo

    Ao aplicar a regra liberando a internet vc pode escolher apenas usuários autenticados, dessa forma vc restringi o acesso apenas aos usuários logados.



    sábado, 3 de outubro de 2009 01:24
  • Rodrigo Boa Noite,

    Você pode ter vários cenários configurados no seu ISA Server:

    1) Permitir que todos os usários acessem a internet sem autenticar;
    2) Permitir que todos os usuários acessem a internet somente quem autenticar;
    3) Permitir que somentes os usuários que fizerem parte de grupos do dominio configurados por você acessem a internet;

    Dentre outra possibilidade.

    Se a máquina do usuário não estiver no dominio ele poderá acessar normalmente, vai depender do modo que você configurar:

    - Usuários que usam máquinas fora do dominio pode navegar sem autenticar;
    - Usuários que usam máquinas fora do dominio só navega se autenticar;

    Você é quem determina, isso vai de acordo com a sua necessidade.

    Abraços!


    Charles S. Tavares
    sábado, 3 de outubro de 2009 02:06
  • Rodrigo,

    Exatamente como o amigo Charles citou acima.

    Você pode definir a maneira de autenticação dos usuários, computadores, quem avega ou não navega, em que horario navega, por onde navega, e por ai vaiiii...

    Sobre o NET USE não tem nada a ver....pode ficar friooo....

    Qualquer duvida post novamente.

    Forte abraço


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sábado, 3 de outubro de 2009 03:08
    Moderador
  • Então, há alguma maneira de bloquear essas maquinas fora do dominio de acessarem a internet?

    E como configuro o ISA para fazer com que os usuários necessitem de autenticação para acessar a internet mas não precisem informar as credenciais ao acessar o IE, tanto máquinas no dominio ou fora do dominio?

    Obrigado.
    Rodrigo Palazzolli
    sábado, 3 de outubro de 2009 15:35
  • Rodrigo,

    "Então, há alguma maneira de bloquear essas maquinas fora do dominio de acessarem a internet?"

    R. Sim.

    "E como configuro o ISA para fazer com que os usuários necessitem de autenticação para acessar a internet mas não precisem informar as credenciais ao acessar o IE, tanto máquinas no dominio ou fora do dominio?"

    R. Você acabou atropelando a pergunta rsrsrs. Se seu objetivo é fazer com que as máquinas fora do dominio não tenha acesso a a internet... a idéia é que você determine que somente quem se autenticar poderá navegar na internet. Porque se não for isso, você iria optar por trabalhar cadastrando os endereços das maquinas em "Network Objects\Computer" (coisa que acredito que você não irá querer fazer) e também seria custoso de se administrar isso, levando em conta que seria um trabalho manual e também se algum usuário colocar um IP que tem acesso a navegar ele iria conseguir.

    Deu pra entender?


    Abraços!
    Charles S. Tavares
    • Editado Charles Tavares sábado, 3 de outubro de 2009 15:59 Melhorar o texto
    sábado, 3 de outubro de 2009 15:54
  • Seguinte.

    Maquinas no dominio


    Quando os usuario se logon no dominio através dessas maquinas é gerado um token, o ISA server também usa esse token para autenticar usuario do dominio para sair para internet.


    Maquina fora do dominio.


    Como essas maquinas estão fora do dominio o usuario se loga localmente na maquina (não possui o token para o dominio), então para sair para internet o Browser abre um pop-up para o usuario digitar Usuario e senha para se autenticar para sair para internet, nesse mesmo pop-up vai ter a opção de vc salvar esse usuario e senha (nas versões home do Windows XP não tem essa opção), dessa maneira o usario não ira precisar ficar digitando usuario e senha toda x que abri o IE.


     


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sábado, 3 de outubro de 2009 21:58
  • Muito obrigado pelas informações, apenas mais uma coisa: para máquinas fora do dominio eu consigo restringir totalmente, ou seja, fazendo com que esse pop-up ao abrir o IE não apareça, ficando sem acesso a internet?

    Obrigado.

    Rodrigo Palazzolli
    segunda-feira, 5 de outubro de 2009 12:38
  • Rodrigo,

    Esse poup-up só irá aparecer em casos que:

    - Na opção de configuração de proxy do browser no cliente esteja com o endereço do srv de proxy;
    - Ou você tenha configurado o WPAD no ISA e no browser do cliente esteja marcado a opção de detecção de configuração automática.

    Seria algo assim...

    Caso contrário daria acesso negado (um html de erro do ISA) por não ter autenticado para navegar.

    Abraços!


    Charles S. Tavares
    segunda-feira, 5 de outubro de 2009 12:45
  • Por qual motivo vc gostaria de restringir o acesso desses computadores de fora do dominio?? Porque eu penso assim, se o usuario não tiver uma conta no AD ele não vai conseguir acessar a NET ok?? Que eu saiba se tiver o WPAD sempre aparecerá esse POP-UP.

    Explica melhor o seu pensamente (o que vc deseja realmente), para podemos te dar a melhor resposta.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 5 de outubro de 2009 13:15
  • O caso é o seguinte: necessito restringir o acesso a internet para apenas as máquinas que estejam no dominio, para evitar que máquinas não autorizadas pelo departamento sejam colocadas na rede e possam acessar a internet ocasionando diversos problemas como infecção de virus.

    Porém os próprios usuários inserem maquinas externas na rede e eles possuem conta no AD, então preciso apenas que máquinas no dominio acessem a internet pois estão devidamente com antivirus e atualizadas via WSUS, então eu consigo restringir estes acessos via ISA Server?

    Deu para entender um pouco a situação?

    Rodrigo Palazzolli
    segunda-feira, 5 de outubro de 2009 14:19
  • Via ISA server que eu saiba não.

    Uma ideia seria usar IPSEC no servidor ISA, assim so maquinas que estão no dominio conseguirá acessar o servidor ISA SERVER. (Não sei se da certo ok? é so uma ideia, nunca testei, em outros servidores funciona). Outra coisa mesmo que maquinas fora dominio não navegue na internet mais conectar na sua rede, ainda sim essas maquinas podem passar virus para sua rede interna, então o que vc tem que fazer eh usolar os pontos de acesso de rede, configurar APs com autenticação por certificado digital e etc.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 5 de outubro de 2009 15:18
  • Cara teria como fazer uma gambiarra master..mas acho mto arriscado.

    Vc definir os IPs das estações em um objeto , depois criar uma regra liberando internet somente para esses caras.

    Seria uma engenharia braba...rs


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 6 de outubro de 2009 14:54
    Moderador
  • Rodrigo,

    Se sua necessidade é essa em especifico, não adianta ficar rodando... fica a dica de usar NAP (network access protection) o Windows Server 2008 ja possui essa funcionalidade (e clientes XP com no minimo SP3), e faz TUDO que você citou como necessidade atual para seu ambiente... Mas acredito que ja foge do fórum a qual é pertinente assuntos ligados ao Winows 2008.


    Abraços!
    Charles S. Tavares
    terça-feira, 6 de outubro de 2009 14:59
  • Charles,

    Aquestão não é nem essa do forum.
    A bucha é licenciamento e hardware para o 2008.

    MAs foi uma ótima dica...


    Abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 7 de outubro de 2009 03:11
    Moderador
  • Ficou alguma duvida sobre o topico?

    Podemos finaliza-lo?



    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 13 de outubro de 2009 23:52
    Moderador