Condividi:        

Internet aziendale ed abilitazioni

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Internet aziendale ed abilitazioni

Postdi caponord » 14/07/04 09:53

Ciao a tutti oggi ho un “questione” tosto tosto e premetto già secondo me non risolvibile.

Vorrei agevolare un mio collega, che non è abilitato in ufficio alla navigazione internet, mentre io lo sono. La cosa più semplice sarebbe passargli la mia login (user id e password) da inserire nella finestrella del proxy che si apre in IE cliccando su un indirizzo http qualsiasi:

finestrella che appare così:
Password di Rete (immettere nome utente e la password)
Firewall: SPROXY1
User Name / Password / Dominio Etc etc

In questo modo non avrebbe il minimo problema poiché il sistema riconosce una login che è abilitata “alla fonte” alla navigazione, questa però è una soluzione che lui non gradisce molto più di quanto non la gradisca io, per ovvie ragioni.

Il bello sarebbe capire se c’è un modo, ma credo sia molto difficile che esista, per intervenire su qualche files in modo che possa anche lui essere abilitato alla navigazione. Premesso che da una prima analisi le opzioni internet, a livello di impostazioni lan e di proxy sono identiche, sia per gli utenti abilitati sia per quelli non abilitati.

Ricordo che una volta feci una cosa del genere in un’altra azienda, ma quella volta bastò inserire le stesse impostazioni di connessione lan di un altro pc che era abilitato alla navigazione, qui l’abilitazione è “agganciata” alla propria utenza di rete.

Prima di abbandonare del tutto la cosa, potete consigliarmi qualche controllo supplementare che posso fare su certi files o impostazioni ? o non c’è proprio speranza ?

Grazie 1.000 in anticipo.

caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Sponsor
 

Postdi RunDLL » 14/07/04 13:33

Ciao, da quello che dici nel server della tua lan dovrebbe esserci un programma con un database che permette l'accesso solo a determinati user, io penso che l'unica cosa da fare sia creare uno user per il tuo collega cosa che da quello che ho capito non sia possibile per motivi di amministrazione della vostra azienda. Ciao
Avatar utente
RunDLL
Utente Senior
 
Post: 351
Iscritto il: 14/01/04 13:25

Postdi caponord » 14/07/04 14:16

in effetti abbiamo poche speranze.
ho confrontato anche il registro di sistema nel frattempo, in internet settings, ed ho notato che le impostazioni sono identiche raffrontate con chi ha e chi non ha l'abilitazione, ho provato anche nella chiave ProxyOverride, che contiene quei siti che sono consentiti, a fargli inserire come prova degli URL, ma non cambia nulla, tra l'altro una volta che si riavvia il pc di default vengono cancellati tutti gli URL aggiunti, evidentemente nel login di rete sono tutte informazioni che vengono sovrascritte.
quindi lascio perdere ? dai ditemi di no, questa è una bella sfida
ciao
caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi francy » 15/07/04 08:00

Tu vuoi evitare i principi base della sicurezza ;)
Nella tua vecchia azienda non volevano spendere in sistemi Proxy, e mettevano o toglievano impostazioni internet o TCP/IP per abilitare o no gli utenti. Qui usano un proxy, con un database Utenti (strano però che chieda USR e PSW, dovrebbe riconoscere quelle di WIn), il database e le abilitazioni relative stanno su server o FW, per cui a tuo rischio e pericolo, dai la tua utenza ad altri, se la persona a cui la dai fa danni o naviga dove non dovrebbe andare, sei tu che ne rispondi, Utente e password sono tue personali e nemmeno l'amministratore della rete deve saperle!!!
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine

Postdi caponord » 15/07/04 08:28

francy ha scritto:Tu vuoi evitare i principi base della sicurezza ;)
Nella tua vecchia azienda non volevano spendere in sistemi Proxy, e mettevano o toglievano impostazioni internet o TCP/IP per abilitare o no gli utenti. Qui usano un proxy, con un database Utenti (strano però che chieda USR e PSW, dovrebbe riconoscere quelle di WIn), il database e le abilitazioni relative stanno su server o FW, per cui a tuo rischio e pericolo, dai la tua utenza ad altri, se la persona a cui la dai fa danni o naviga dove non dovrebbe andare, sei tu che ne rispondi, Utente e password sono tue personali e nemmeno l'amministratore della rete deve saperle!!!


Ciao Francy, si hai perfettamente ragione, diciamo che volevo/volevamo solo capirci un po di più della rete aziendale e capire come funziona.
Direi che ormai non vi è dubbio che si basa tutto su un Data Base di utenti abilitati, che si presentano al proxy e lui decide se aprire le porte alla porta 80 e quindi alla navigazioni o negare la richiesta di accesso al web.
Mi spiego meglio dove dici (strano che chieda le pass), queste le chiede solo a chi NON è abilitato alla navigazione, ossia se io che sono abilitato digito un http:// non mi chiede assolutamente nulla, dato che sono loggato con la mia utenza in rete ed il proxy mi fa passare, chi NON è abilitato inserisce un URL, il DB non lo riconosce, e viene richiesto utente / Password, se il collega inserisce la mia, il proxy la riconosce e passa.
Evidentemente siccome ci può essere necessità di far accedere un collega per lavoro ad internet, gli si passa l'utenza, NON c'è quindi un controllo sulla macchina che accede ad internet, se volessero davvero restringere la cosa credo che sarebbe possibile, ossia un controllo sull'utenza che può accedere solo dalla propria macchina.
Vabbè mi sa che ormai è ora di tirare i remi in barca, anche perchè le speranze sono sempre meno, abbiamo anche provato con la condivisione della connessione ma NON è fattibile.
grazie del contributo. ciao
caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi caponord » 15/07/04 12:24

da ulteriori informazioni ottenute oggi (da uno dell'IT, un pezzo piuttosto grosso), non si può combinare nulla, ho saputo tra l'altro che dietro a tutto c'è un proxy aziendale collegato ad un data base che contiene tutte le abilitazioni e le password degli utenti, quindi sarà ovviamente assolutamente impenetrabile.
Il Proxy tra l'altro consente l'accesso solo alla porta 80 dopo aver controllato che utente si presenta alla porta, quindi nessuna altra porta accessibile, neppure la 8080 o porte usate magari per il p2p.
Direi che ormai ce la mettiamo via, al momento si può solo usare la login dell'altro, finchè non troveranno anche il sistema di monitorare anche la macchina dalla quale perviene la richiesta di accesso alla porta 80.
ciao
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi francy » 15/07/04 13:23

caponord ha scritto:da ulteriori informazioni ottenute oggi (da uno dell'IT, un pezzo piuttosto grosso), non si può combinare nulla, ho saputo tra l'altro che dietro a tutto c'è un proxy aziendale collegato ad un data base che contiene tutte le abilitazioni e le password degli utenti, quindi sarà ovviamente assolutamente impenetrabile.
Il Proxy tra l'altro consente l'accesso solo alla porta 80 dopo aver controllato che utente si presenta alla porta, quindi nessuna altra porta accessibile, neppure la 8080 o porte usate magari per il p2p.
Direi che ormai ce la mettiamo via, al momento si può solo usare la login dell'altro, finchè non troveranno anche il sistema di monitorare anche la macchina dalla quale perviene la richiesta di accesso alla porta 80.
ciao

Per altre informazioni... :)
I Proxy server se sono seri, si possono collegare ad un server LDAP (W200X per intenderci), Radius o altro, prendendo il DB Utenti ed abilitano o disabilitando la navigazione, l'FTP, percui aprendo o chiudendo porte. Puoi eventualmente dargli una lista di siti abilitati o disabilitati, o se è serio serio, stabilire quali parole non possono esistere nell'URL: non so se vuoi vedere la Pamela Anderson e vai su google, il risultato ottenuto avrà nell'URL il nome di pamela anderson, per cui non volendola abilitare ti verrà proibito di vederla :cry: ;) e sarai reindirizzato ad una pagina dove ti daranno dello sporcaccione ;), ovviamente tutte queste informazioni di "violazione" sono contenute nei log del proxy, per quello quando dico che se dai la tua utenza a qualcunaltro è a tuo rischio e pericolo...
Ma tutti i proxy o FW, fanno comunque "censimento" anche a livello di macchina, o meglio di IP Address, ma questo impedisce a te abilitato alla navigazione di poter accedere alle informazioni in qualsiasi luogo tu ti trova...
Ciao :D
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine

Postdi caponord » 15/07/04 14:14

Eh si, purtroppo è così, inutilmente abbiamo provato anche a modificare i settings di IE nel registro provando ad aggiungere altri URL tra quelli consentiti (che sono 4 o 5), ma non si ottiene nulla, anzi quando si riavvia di default forzano e ti rimettono i medesimi.
Per il filtraggio dei siti utilizziamo WEBSENSE che è stato molto migliorato dato che tempo fa bastava anteporre un sito raggiungibile, aggiungere la "@" ed attaccare il sito vietato :) ed andava tutto alla grande dato che in sostanza era il primo sito che chiedeva il secondo.
C'erano poi degli escamotage per scaricare anche files che solitamente venivano bloccati da WEBSENSE, tipo gli mp3.
Credo cmq che siamo al cospetto di un proxy server serio, purtroppo ;)
Al momento come dicevo un censimento di macchina/IP non viene fatto e sembra non venga fatto almeno sinchè sarà data possibilità con la propria login di lavorare anche sulla macchina del collega qualora magari la propria sia impegnata per qualche motivo, o sia in crash.
ciao e grazie ancora per le interessanti info.
caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi francy » 15/07/04 16:59

Al momento come dicevo un censimento di macchina/IP non viene fatto e sembra non venga fatto almeno sinchè sarà data possibilità con la propria login di lavorare anche sulla macchina del collega qualora magari la propria sia impegnata per qualche motivo, o sia in crash

La teoria: :mmmh:
In una azienda, piuttosto che di TUO PC si parla di TUA Utenza, sempre di più ci si sposta sulla concezione dell'importanza dell'utente piuttosto che del PC.
Mi spiego meglio:
In teoria, non so se la tua azienda lo applica, dovrebbe essere indifferente per te essere su una macchina piuttosto che su un'altra, i tuoi documenti, le impostazioni, le configurazioni SW, i modelli, i preferiti...vengono con te da qualunque parte tu stia lavorando. Per cui se ti trovi in un ufficio e devi mostrare qualcosa ad un collega, non so posta o internet, e il tuo collega non è collegato, che fai? gli dici andiamo nel mio ufficio che ti faccio vedere, magari a qualche centinaio di metri o in un altro edificio? :cry: , oppure è meglio dirgli, fai logoff con il tuo utente che io entro con il mio e ti faccio vedere?
Oppure se ti spostano di ufficio o di sede che fai? carichi il PC in spalla?
Capisci perchè è meglio basarsi sull'utente piuttosto che sulla macchina?
Ciao
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine

Postdi caponord » 15/07/04 21:11

Si non fa una grinza, ci mancherebbe ;)
Per quanto ci riguarda non è come dici, nel senso che con la nostra utenza possiamo accedere ai pc dei colleghi ma tutte le nostre impostazioni, la posta elettronica etc etc NON sono disponibili.
Per quanto riguarda internet se mi loggo sul pc di un collega, che non è abilitato alla navigazione, posso farlo navigare dato che il proxy mi fa passare avendo inserito la mia utenza.
Ovviamente ogni rete LAN aziendale ha le sue restrizioni e le sue concessioni, da oggi ne so di più sia grazie a te sia grazie a quello dell'IT con il quale ho scambiato un po' di info, senza ovviamente espormi troppo ;)
ciaoooo
caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi pjfry » 16/07/04 09:17

francy ha scritto:I Proxy server se sono seri, si possono collegare ad un server LDAP (W200X per intenderci), Radius o altro, prendendo il DB Utenti ...


OT: ldap non c'entra con active directory, o no? cioè, gli utenti di un dominio windows non sono nell'LDAP, credo... potresti chiarirmi un minimo le idee su 'sta cosa per favore? :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi francy » 16/07/04 13:25

OT: ldap non c'entra con active directory, o no?

La sigla LDAP sta per Lightweight Directory Access Protocol ovvero: protocollo "leggero" per l'accesso a servizi di directory .
Per cui i sistemi Windows 200x, e quelli Linux, ma penso anche Novell, supportano il sudetto protocollo, per cui è possibile interfacciare SW o dispositivi che accedano a queste informazioni, ecco perchè parlavo di AD, che è solitamente il server LDAP più usato, ma paradossalmente potrei anche prendere un PC 2000 pro o XP Pro, e fargli prendere il DB utenti da li, teoricamente, io non ho mai provato ;)
Se ci sono dubbi dimmi.
Ciao
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine

Postdi pjfry » 19/07/04 16:51

quindi dici che tramite ldap si può accedere anche al db utenti di windows? xkè è da un pò che ho a che fare con un applicativo che usa ldap ma necessita di utenti propri :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi The_ALL » 19/07/04 17:37

animali :)
volete che gli utenti se ne sbattano del proxy e domain controller? ^^

una volta era generalmente piu' facile, anche perche' nt era quel che era(e' quel che e' per chi ancora deve passare a 2000/2003)riuscire a usare internet proxy etc..etc.. senza ne essere controllati o in ogni caso era troppo uno sbattimento anche per chi doveva gestire la cosa.
Ora le comodita' di gestione sono tante,e i controlli sono piu' efficenti.Segnalazioni se ci sono piu' di due pc con la stessa user che navigano in internet, restrizioni siti,restrizione banda, porte,ftp etc..
log da monitorare se sono successi casini,interfacciameti fra unita' organizzative in modo da non riscrivere gli utenti 3000 volte etc..

E' molto piu' semplice fare richiesta per essere abilitato con motivazioni anche banali.

comunque dipende molto anche da come viene gestita la rete.Piu' piccola e' piu' c'e' un generale sbattimento,e poco importa se dai un utenza ad un altro, piu' grande e' e piu' la cosa diventa burocratica.
Play For Destruction.
Play For Fun.
The_ALL
The_ALL
Utente Senior
 
Post: 103
Iscritto il: 18/07/02 08:30

Postdi caponord » 19/07/04 19:34

Assolutamente d'accordo, in sostanza mi sono meravigliato anch'io che una compagnia così risparmiosa dal punto di vista dell'abilitazione ad internet non faccia dei controlli maggiori, ossia sul numero delle utenze uguali che navigano, oppure su utenze che "girano" su pc non dell'utente abilitato etc etc.
Tutto sommato da quello che so ci sono diversi responsabili che per motivi di lavoro concedono la loro password agli stretti collaboratori, quindi tutto sommato questa è una delle ragioni per cui non ci sono controlli accurati, sono straconvinto che il proxy che hanno messo in piedi possa fare tutti i controlli che citi, ma evidentemente come dicevo ci sono delle ragioni per cui certi controlli non vengono fatti, il più semplice sarebbe appunto di "linkare" l'abilitazione all'utenza, così da poterla usare solo sulla macchina dell'abilitato, poi potrebbero essercene molti altri.
Cmq in una compagnia di circa 800 persone se non 1.000 non è così semplice farsi dare l'abilitazione ad internet perchè oltre all'avvallo del responsabile ci vuole anche quello di un dirigente di un certo livello, certo se il tuo responsabile è d'accordo il più è fatto e di problemi non ce ne sono.
Come spesso accade è abilitato chi non se lo merita o chi non ne ha bisogno, e persone meritevoli e di grado superiore magari non ce l'hanno, ma qui sta alla testa dei resposabili, il più delle volte bacata :)
Ciaooooooooooo
caponord
caponord
Utente Senior
 
Post: 371
Iscritto il: 02/12/02 19:36

Postdi francy » 20/07/04 07:55

pjfry ha scritto:quindi dici che tramite ldap si può accedere anche al db utenti di windows? xkè è da un pò che ho a che fare con un applicativo che usa ldap ma necessita di utenti propri :undecided:

Se usa LDAP può accedere ai servizi LDAP :D
Se fai dei searhc sul technet di MS trovi varie informazioni:
qui trovi una bella white paper su LDAP.
Se poi nella Knowledge Base di MS Ricerchi LDAP trovi dei bei risultati.
Che problemi hai nell'interfacciare l'applicazione?
Ciao
francy
Utente Senior
 
Post: 464
Iscritto il: 03/12/02 11:11
Località: Udine

Postdi piercing » 20/07/04 22:46

:eeh:

ragà... state in campana a fare queste cose... si rischia la sedia dove si sta seduti...

non si fà prima a richiedere l'accesso a internet per motivi di lavoro???
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma


Torna a Software Windows


Topic correlati a "Internet aziendale ed abilitazioni":


Chi c’è in linea

Visitano il forum: Nessuno e 77 ospiti