GPO ile Web Sitesi Yasaklama

27.06.2008 | 17:08 Çözümler , Windows , Windows Server 29 Yorum

GPO (Group Policy Object) kullanarak web sitelerini yasaklama şansımız var. Aslında buna yasaklamak değil de izin vermek desek daha doğru olacak.

Öncelikle bunun tam bir çözüm olmayacağının altını çizmek istiyorum. Küçük yapılarda kullanabilirsiniz. Daha büyük yapılarda ise mutlaka gateway üzerinde bir Firewall veya içerik filtreleme sistemi kullanmanız tavsiye edilir. (ör: ISA Server, fortigate vs..)

Yazının amacı GPO ile sadece izin verilen sitelere erişimin sağlanması, diğer tüm sitelerin block ‘lanmasıdır.

Ben local policy üzerinde anlatıyorum, siz bunu tüm domain ortamına uygulayabilirsiniz.

Başlat> çalıştır> gpedit.msc açıyoruz ve aşağıdaki “Proxy Ayarları” kısmına geliyoruz.

GPO Proxy Ayarları

Ayara çift tıklayıp “Proxy ayarlarını etkinleştir” diyoruz ve http adresi olarak 0.0.0.0 gibi gerçekte var olmayan bir adres veriyoruz.

IE Proxy Ayarları

Ayrıca yukarıdaki resimde görüldüğü gibi “özel durumlar” kısmında, izin vermek istediğimiz web sitelerini yazıyoruz. Birden fazla site yazacaksak aralarına noktalı virgül (;) koyuyoruz.

Tamam diyerek pencereleri kapatıyoruz.

Böylece IE için alakasız bir Proxy adresi atamış olduk. Belirlediğimiz siteler dışındaki adreslere bu alakasız Proxy üzerinden erişilmeye çalışılacak ve haliyle sayfalar açılmayacak. Ama “Özel Durumlar” kısmında eklediğimiz sitelere ise normal şekilde ulaşılıyor olacak. (Default Gateway üzerinden.)

Yapmamız gereken son bir işlem ise kullanıcıların Proxy ayarlarına müdahale etmesini engellemek.

Yine GPO ile aşağıdaki ayarı uyguluyoruz.

Internet Explorer Policy

Böylece kullanıcılarımız IE üzerindeki Proxy ayarlarına müdahale edemeyecek.

Şunu unutmamak gerek; bu ayarlar Internet Explorer için geçerli. Eğer kullanıcılarımız Firefox gibi başka bir browser kullanabiliyorsa, bu yöntem etkili olmayacaktır. Bu nedenle kullanıcılarınızın diğer browserları kullanmasını da önlemeniz gerekebilir.

Yazı Etiketleri: , ,

Sayfa Başı ▲

Yorumlar (29)

  1. DENİZ

    Hocam gerçekten IT sektöründe siz ve arkadaşlarınız cok guzel işler yapıyorsunuz bilgi deneyim anlatım olasılık herşey çok iyi kurgulanıyor ve aktarılıyor. size ve tüm arkadaşlarınıza yürekten teşekkür ediyorum. Allah yardımcınız olsun.

  2. HALIL MUTLU

    Merhaba, gercekten tadire sayan bir anlama ve anlatım. onca sitede forumda gezdim sorunu anlayan yok. bu nedenlede cevap verende yok. tesekkur ederım.

  3. htc

    Merhaba,
    Ben de bu yontemi denedim ama sanirim banka sitelerinde olmuyor.. işlem yapmasi için acilan 2. sayfayi yuklemiyor.. bunun da bir ayari var midir? izin verilen siteden acilan butun sayfalari acmasi için..

  4. Serhat AKINCI

    Merhaba htc

    Banka sitelerindeki bazı linkler farklı domainlerde hizmet veriyor (genelde internet şubesi linkleri).

    Ör: Zirat Bankası

    ziraat.com.tr domaini üzerinden hizmet veriyor ama sayfadaki internet şubesi linki “esube1.ziraatbank.com.tr” gibi bir domain üzerinde ve https olarak açılıyor.

    Bu nedenle ziraat.com.tr’ye izin verirken esube1.ziraatbank.com.tr’ye de izin vermek gerekiyor.

  5. nihat

    her zamanki gibi sade ve güzel bir anlatım.
    emeğinize sağlık
    teşekkürler

  6. ibrahim

    Hocam anlatım için teşekkürler. Bi sorum var ; Her site açışımızda bu siteyi ekleyim mi diye soruyor ya onu nasıl kaldırabiliriz.

  7. Serhat AKINCI

    Selam.

    IE Güvenlik bölgesi uyarılarından mı bahsediyoruz?

  8. satı gün

    Hocam ellerine sağlık çok güzel yazmışsın ve çok güzel olmuş ben bunu denedim ve oldu ama intranette bir siteyi açmak için çok kasmaya başladı bu yüzden iptal etmek zorunda kaldım intraneti de ekledim ama olmadı yardımlarınızı rica ediyorum.

  9. Satı Gün

    Hocam bana bu konuda geri dönüş yapabilirseniz sevinirim, çünkü çalıştığım işyerinde zor durumda kaldım :(((

  10. Serhat AKINCI

    Selam Satı.

    Problemi daha açık özetlersen yardımcı olmaya çalışayım.

  11. Satı Gün

    192.168.0.13 ipli yada http://intra.cpex.local olarak explorerda bir pencere açıyorlar ve bu pencerede karşınıza kullanıcı adı ve şifresi geliyor ve buradaki veritabanında işlem yapıyorlar, herşey normal ama ben proxy uyguladığımda bu yere girişte çok bekletiyor ve bir butona tıkladığınızda aşırı yavaş çalışıyor buda şikayete neden oldu ve bende iptal etmek zorunda kaldım proxy i şimdi benden engellememi istiyorlar ama yavaşlığı gideremiyorum hocam

  12. Serhat AKINCI

    “IE Browser> Araçlar> internet seçenekleri> Bağlantılar> yerel ağ ayarları> yerel adresler için proxy sunucusunu atla” kutucuğu tıklı olmalı.

    Ayrıca http://intra.cpex.local, yine browser üzerinde “Yerel intranet” bölgesinde ekli olmalı.

  13. Satı Gün

    hocam bu işlemleri yaptım ama yine aynı :((

  14. Satı gün

    Hocam haptım ama olmadı yine yavaşlama söz konusu, hocam ben bunu proxy den değilde onaylanan sitelere şifre koydum bu açılmasını istediğim siteleride ekledim ve diğer siteleri açarken şifre istiyor ve kullanıcı şifreyi bilmediği için giriş yapamıyor böyle bir çözüm buldum ama etkinleştiremiyorum GPO dann
    her pc nin başına gidip elle etkinleştire tıklamam lazım. bunu nasıl yaparım hocam ?

  15. Serhat AKINCI

    İçerik danışmanını ayarlarını GPO ile topluca uygulayabilirsin.

    http://img4.imageshack.us/img4/6406/capturekzn.jpg

    İçerik danışmanı sadece IE için geçerlidir, hatırlatmak isterim.

  16. Satı gün

    Hocam ben bunu yaptım ama olmadı eklemiyor client lara başka bir denem yapıyorum oluyor ama içerik danışmanı etkinleşmiyor, onaylanan sitelere sayfalar gelmiyor bile sanki çalışmıyor bişeyi enabled falanmı yapmak gerekiyor.

  17. Burak

    Selam, Server 2003 sistem de ben bazı sitelerin sadece belli kullanıcılara yasaklanmasını istiyorum (Örn:youtube, facebook gibi) bunu nasıl sağlıyabilirim,

  18. lokmanhekim

    Üstad önce bu anlatıma tşk.Benim sorum hotmail mail,mynet mail ve bir bankanın online bankacılığına girilecek.Ancak bu tanımı yaptığımda kullanıcı adı şifre girişlerine kadar geliyor ama geri kalan sayfaya devam edemiyor.Bunu nasıl yaparız…

  19. Serhat AKINCI

    Login aşamasında yada hemen sonrasında site url’i genelde değişir. Full erişimi olan bir sistemde login sürecini monitor et, işin içinde senin izin verdiğin url’ler dışında bağlantılar olduğunu göreceksin.

  20. mevlüt

    hocam öncelikle elinize saglık fakat bu anlattıklarınızı yaptım yalnız hala izin verilen sitelerin dışındakilere giriyor

  21. ömer

    sayın hocam ben 15-20 makınaklık bır aga bakıyorum wingate programı uzerınden 3g modem ıle ınternet dagıtıyorum fakat ınt yetkısını 2 kısıye gerı kalan kısıma outlook pop3 ayarlıyorum benım sıkıntım kullanmıs oldugum wıngate lısanslı bu arada fırma bunu kullanacaksın dedı en ufak vırusden bıle etkılenıyor ve kıtlenıyor kullanıcıları ne kadar kısıtlasamda bır sekılde patlatıyolar proxy ayarları acount yetkılerı ıle oynuyorlar ve ben bas edemıyorum windowsun ayarlarında bu ılgılı pencerelerı komple kaldıramıyormuyuz nasıl basederız bunlarla

  22. Serhat AKINCI

    Selam Ömer: wingate’i çok iyi bilmiyorum ama hakkında iyi şeyler duyduğum da söylenemez. Bence senin temel problemin şu. Kullanıcıların istemediğin ayarları değiştirebiliyorsa muhtemelen local admin olarak çalışıyorlar. Sen local admin olan bir kullanıcı için kendi sisteminde ne önlem alırsan al o yine de aşabilecektir. Yapman gereken ilk şey kullanıcılarını user yetkisine çek ve proxy vs.. gibi ayarlarını yeniden düzenle. Bu şekilde olursa user’lar senin yaptığın ayarlara müdahale edemeyeceklerdir.

    Yapını tam olarak bilmediğim için detay vermem zor ama işe kullanıcı sistemlerinden başlaman gerektiğini hissediyorum :)

  23. Sfinks

    Arkadaş güzel anlatmışsın,ellerine sağlık.
    Yalnız sonda belirtmişsin ki,diğer programları engelememiz gerekiyor.Lütfen bu hakkda bi bilıgi verirmisin?
    GPO ile bunu yapa bilirmiyiz(diğer porgramları engeleye bilirmiyiz)?

  24. ÖMER

    hocam şimdi proxy ayarların sadece explorere da gecerlı ben bu ayarı tum pc lerde yapmak ıstıyorum

  25. Emin

    Cok teşekkürler her şeyi güzel anlatmişsınız….

  26. murat

    Hocam google chrome da da yasaklama yapabilirmiyiz?

  27. Murat

    firewall kullanın arkadaşlar bu güvenebileceğiniz bir yapı değil.

  28. mahir

    merhabalar. okulumuzda bir bilgisayara server 2008 kurduk ve 5 adet modem mevcut. kullanicilarin belli saatler icerisinde download yapamamasini ve ozelliklede youtube girememesini istiyoruz. mumkun mudur?

    networke biraz yabanciyim yardim ederseneiz cok memnun olurum.

    kolay gelsin.

    tesekkurler.

  29. KADİR

    hocam çok güzel bir çalışma olmuş uyguladım güzeş sonuç aldım fakat win 8 kurulu yeni makina aldık bunda uygulama yapamadık yardımcı olursanız sevinirim

Yorum Ekle