Tengo un amigo con una pequeña empresa, la cual tiene 4 ordenadores en red, mediante un grupo de trabajo.
El problema lo tiene en 3 ordenadores, ya que el 4º es el de el.
El sistema operativo es Xp en todos los pcs.
El problema que tiene es que algunos empleados tienen que utilizar estos 3 pcs para utilizar un programa que hay instalado en ellos, nada mas, pero ademas de eso, se pasan tooooooodo el dia descargandose cosas, llenando los pcs de virus ( hoy mismo le quite 6 ) instalando programas y tonterias de internet, etc ,etc.
El me pidio que le intentara dar un poco mas de seguriddad a la red y a los pcs, y a mi de primeras se me ocurrio:
1- crear una cuenta de administrador para todos los equipos ( la misma ) y una cuenta de usuario limitado para todos los equipos ( la misma tb )
2- Eliminar las D.N.S para que asi no puedan entrar a navegar por internet, asi le dejo solo en el pc de mi amigo, para que el pueda, y las ips se las dejo a todos, para asi tener la red interna o la red lan bien, y que se puedan compartir los archivos unidades de red ,etc.
El problema que yo le veo, es que dicho programa, el que me interesa, al utilizarlo da problemas, supongo que por tema de permisos, asi que se me ocurrio ( no lo he probado ) con el administrador, darle permisos a el usuario limitado, a la carpeta donde esta instalado el programa C:\Archivos de programa\Programa deseado
De esta manera supongo que el programa funcione perfectamente con el usuario limitado no????
Espero que no haya problemas con las carpetas compartidas y demas unidades de red, pero supongo que la solucion seria la misma, cambiar los permisos de usuario con el administrador y listo.
Como veis lo que yo he pensado???
Como lo hariais vosotros para darle mas seguridad a la red, que funcionen bien las carpetas compartidas y el programa o programas en cuestion, y quitar privilegios a los usuarios para que no tengan internet, o no puedan instalar ni liar nada???
Es que esta harto de que se le jodan cada 2 por 3 los pcs, y gastarse pasta en llevarlos a arreglar, por no hablar de perdida de informacion que le ha pasado alguna vez.
Lo de hablar con ellos, no funciona, porque lo ha echo mil veces, pero claro... QUIEN FUE EL QUE METIO EL VIRUS O HIZO ESTO..................¿?¿?¿?¿?¡
Espero vuestras respuestas y muchas gracias por adelantado
yo generaria un proxy server con cualqier programa sencillo para q no puedan descargar... y en cuanto a las limitaciones ps si puedes darles ciertos permisos a los usuarios.. esta bien tu idea ps.. aunq seria mas facil q crearas un dominio de windows server y desd alli mismo con los DNS del server podrias bloquear descargas y toda la cosa
Cita de: dj-blydex en 29 Noviembre 2011, 02:15 AM
yo generaria un proxy server con cualqier programa sencillo para q no puedan descargar... y en cuanto a las limitaciones ps si puedes darles ciertos permisos a los usuarios.. esta bien tu idea ps.. aunq seria mas facil q crearas un dominio de windows server y desd alli mismo con los DNS del server podrias bloquear descargas y toda la cosa
Hola, muchas gracias por contestar.
Lo del dominio con un server, esta descartado completamente, ya que se lo he comentado, y los pcs son un tanto viejos, y con pocos recursos (256/512 de ram el que mas tiene) y no quiere comprar uno nuevo solo para eso.
La situacion seria en grupo de trabajo.
Lo del proxy server no se muy bien... investigare un poco, aunque supongo que sea algun programa que genere un servidor proxy y puedas modificar parametros o cosas, para dar permisos a una determinada ip o algo asi no?¿?¿?
Lo mirare, pero el tema de quitar permisos y generar un usuario limitado creo que es vital, ya que por mucho que hagamos, si tienen permisos para luego cambiar ellos cosas.... quedamos en las mismas :D
Me gustaria soluciones, modificando cosas del sistema,como no se, privilegios, etc etc o en el router modificar algo... no se, es que igual con programas consume mucho y ya van lentos de por si los pcs.... :( :(
hay algunas aplicaciones como el CCProxy-- Descargalo aqui (http://"http://www.youngzsoft.net/ccproxy/proxy-server-download.htm") que son para windows y puedes utilizarlo solo con comprar una tarjetica de red adicional sencilla no gran cosa.. ps si te animas con gusto tendras ayuda por aqui... tambien puede bloqear paginas desde el router dependiendo de tu router.. es otra solucion.. y en cuanto a la creacion de usuarios no te recomiendo el usuario invitado crea otro usuario de la siguiente manera vas a MiPc le das clic derecho y luego admininistrar alli te vas a usuarios locales y grupos luego vas a usuarios y alli en esa ventanita le das clic derecho.. Usuario Nuevo luego destiltas una casillita q dice el usuario debe cambiar su contrasña en el proximo inicio de sesion.. escribes el nombre de usuario nada mas y lo creas y listo ese usuario q akabas de crear no es inivitado pero es limitado no puede instalar ni configurar nada en sistema.. salu2 suerte
Cita de: dj-blydex en 29 Noviembre 2011, 05:22 AM
hay algunas aplicaciones como el CCProxy-- Descargalo aqui (http://"http://www.youngzsoft.net/ccproxy/proxy-server-download.htm") que son para windows y puedes utilizarlo solo con comprar una tarjetica de red adicional sencilla no gran cosa.. ps si te animas con gusto tendras ayuda por aqui... tambien puede bloqear paginas desde el router dependiendo de tu router.. es otra solucion.. y en cuanto a la creacion de usuarios no te recomiendo el usuario invitado crea otro usuario de la siguiente manera vas a MiPc le das clic derecho y luego admininistrar alli te vas a usuarios locales y grupos luego vas a usuarios y alli en esa ventanita le das clic derecho.. Usuario Nuevo luego destiltas una casillita q dice el usuario debe cambiar su contrasña en el proximo inicio de sesion.. escribes el nombre de usuario nada mas y lo creas y listo ese usuario q akabas de crear no es inivitado pero es limitado no puede instalar ni configurar nada en sistema.. salu2 suerte
Muchas gracias de nuevo.
Si, eso que me has dicho es a lo que me refiero de crear usuario limitado ( pero gracias de todos modos )
Lo del programa o comprar una tarjeta.... no es muy viable, repito que si puede ser con modificaciones en el sistema ( usuarios limitados, bloquear usb, etc) mucho mejor.
He estado investigando y tb he visto como bloquear las MEMORIAS USB, lo cual esta genial tb, y sera algo que aplique.Es entrando en el registro y modificando algo, y tb luego modificando permisos y nombre a unos archivos en C:\windows
Tambien estoy buscando informacion, de como bloquear la lectora de cd/dvd, que desde administrador de dispositivos se puede hacer, pero seguro hay alguna otra manera, pero eso no me preocupa demasiado, lo que mas es como quitar permisos y privilegios, y que me sigan funcionando el programa o programas que me interesa sin que me de problemas de permisos, que como dije antes, supongo que dando permisos como administrador a """""C:\Archivos de programa\Programa deseado""""" para todos los usuarios, funcione bien.
joder, debe de ser complicadisimo lo que pregunto..... :P :P :P
en realidad no la gente no responde xq saben q lo q qieres es no gastar ps si no inviertes no tendras buena infraestructura.. te complicas demasiado para hacer esto q aparte es una gran tonteria..-!!! sabes como te ahorras todo eso.! generando en la pc mas potente una maquina virtual con un servidor bajo windows con active directory o bajo linux con ubuntu y webmin.. desde cualqiera de los dos controlarias TODO lo q qieres hacer.. ps si tu amigo hace un esfuerzo le saldra mejor el trabajo :P salu2..!
agradezco de nuevo tu respuesta, ya que eres el unico que por lo menos intentas ayudar, pero creo que no es el motivo de porque la gente no ayuda.
Yo no se tu, pero a mi me da la sensacion que este foro cada dia esta mas muerto, y me refiero a que cada vez ayuda menos gente, por no hablar de los moderadores y gente del staff, que parece que se los haya tragado la tierra :D
Es posible que sea mala epoca, no se, examenes, trabajo, etc y la gente esta mas liada que de constumbre, pero bueno, vendran epocas mejores.
De lo que me comentas, yo te doy toda la razon, pienso igual, pero el caso es que lo que tu y yo pensemos da lo mismo, ya que el que manda es mi amigo.
pero despues de decir esto, te dire, que mi solucion es buena, ya he conseguido quitar usb, cd/dvd y solo me hace falta probar es como van los programas, y la red que de una manera TEORICA, no deberia de dar ningun tipo de problema.
Pero bueno, me hubiera gustado que la gente opinara y me hubiera ayudado o dicho sus ideas, no ha sido asi, pues mala suerte :D
Un par de consejos:
- Cómo bien dices, lo suyo es crear usuarios limitados y aplicar políticas restrictivas (que no se pueda instalar nada).
- En cuanto a los DNS, puedes usar OpenDNS, filtra varios servidores de descarga directa, redes sociales, etc.
- Puedes seguir el consejo de @dj-blydex y montar un servidor proxy (squid) o un directorio activo en Windows.
Cita de: madpitbull_99 en 1 Diciembre 2011, 22:26 PM
Un par de consejos:
- Cómo bien dices, lo suyo es crear usuarios limitados y aplicar políticas restrictivas (que no se pueda instalar nada).
- En cuanto a los DNS, puedes usar OpenDNS, filtra varios servidores de descarga directa, redes sociales, etc.
- Puedes seguir el consejo de @dj-blydex y montar un servidor proxy (squid) o un directorio activo en Windows.
Joder madpitbull_99 se te echaba de menos.
Supongo que estes liadete, porque ultimamente he preguntado un monton de cosas en redes, y no contesta nadie :(
Debe de ser mala epoca
En realidad no lei todo xq estoy en el mobil y se junta todo y ya me duelen mis ojitos :xD
Algo que no es muy tomado en cuenta es el archivo hosts. Solo con eso podes bloquear el acceso TOTAL (no parcial) a las paginas que vos quieras, redirecciona a una Ip que tire un mensaje de prohibido o cosas asi. Con eso y algun programa que te asegure que ese archivo no sea modificado, ya esta, nunca se lo van a imaginar :P
Cita de: raul338 en 2 Diciembre 2011, 03:35 AM
En realidad no lei todo xq estoy en el mobil y se junta todo y ya me duelen mis ojitos :xD
Algo que no es muy tomado en cuenta es el archivo hosts. Solo con eso podes bloquear el acceso TOTAL (no parcial) a las paginas que vos quieras, redirecciona a una Ip que tire un mensaje de prohibido o cosas asi. Con eso y algun programa que te asegure que ese archivo no sea modificado, ya esta, nunca se lo van a imaginar :P
joder, nunca se me hubiera ocurrido tal cosa :o :o
Mirare por google que es el archivo host y como modificarlo
Muchas gracias raul ( y al resto tb)
Solo quiero aportar un poquito jeje, no te aconsejo que quites los dns de las pc's, ya que si alguno de los clientes conoce la ip del servidor al que quiere entrar nada mas pone la ip y entra, sin pasar por un servidor de dns
Cita de: <<<-Underwar->>> en 2 Diciembre 2011, 05:20 AM
Solo quiero aportar un poquito jeje, no te aconsejo que quites los dns de las pc's, ya que si alguno de los clientes conoce la ip del servidor al que quiere entrar nada mas pone la ip y entra, sin pasar por un servidor de dns
Idem con el archivo hosts, pero es dificil conocer la IP de algunos servidores de memoria :xD, pero hay paginas iguales a las que no pueden entrar ya que estan alojadas en la misma IP, por lo que solo entraria a la principal (o a ninguna, depende el servidor)
Cita de: <<<-Underwar->>> en 2 Diciembre 2011, 05:20 AM
Solo quiero aportar un poquito jeje, no te aconsejo que quites los dns de las pc's, ya que si alguno de los clientes conoce la ip del servidor al que quiere entrar nada mas pone la ip y entra, sin pasar por un servidor de dns
no me habia dado cuenta de eso, si es verdad, podia poner la ip de google y luego una vez dentro, buscar e ir a donde quiera o no???
No se si se les ocurrira hacer eso, no se si controlan tanto alli :(
Pues me has chafado la idea de dejar sin internet a todos menos a el del jefe de la empresa :(
raul, voy a seguir este tutorial de lo que me has dicho:
http://es.kioskea.net/faq/153-modificar-el-archivo-hosts
Supongo que seria conveniente hacer una copia del archivo HOST por si hay problemas, volver a sustituirlo para que todo este como antes no???
entra a la consola de windows y haces ping a por ejemplo facebook
Ping www.facebook.com y te respondera la direccion ip el archivo hosts no t servira para bloqear todo ya lo e intentado solo te bloqera una pagina q sea un solo dominio y ya ejemplo foroelhacker.com pero como facebook tiene varios servidores para diferentes zonas ejemplo es-la.facebook es latinoamerica, es-es.facebook es españa, y asi ps igual con muxas otras web. weno si lo logras todo bien pero seria muxo mejor otros metodos hay muxas maneras y muxas herramientas nuevas y aqui te las dimos. pero como todo buen tecnico sabe lo q tiene q hacer ya veremos como te va alli cuentanos q te funciono mejor.. salu2
127.0.0.1 *.facebook.*
y listo :P
No importa si entran a la IP de google, google devuelve resultados con dominio :P y ahi vuelven a caer sobre el archivo hosts :P o sea que si quieren navegar, van a tener que hacer bastantes cosas a mano
O sino, simple ( no se si funcionará)
127.0.0.1 *
Cita de: dj-blydex en 2 Diciembre 2011, 17:57 PM
entra a la consola de windows y haces ping a por ejemplo facebook
Ping www.facebook.com y te respondera la direccion ip
Pero vamos a ver, eso en "teoria" es cierto, pero en la practica no lo es ni de coña, ya que yo he probado mogollon de veces a hacer ping a cualquier pagina, me devuelve una ip por ej 145.223.67.54 luego copio esa ip y la pego en el navegador en la barra de direcciones, y la gran mayoria de las veces, no enlaza con esa pagina.
Algunas veces si, pero la verdad es que no se porque la mayoria de ellas no me funciona, y probe muchas cuando hacia ataques de dnsspoofing
Cita de: beholdthe en 2 Diciembre 2011, 21:23 PM
Pero vamos a ver, eso en "teoria" es cierto, pero en la practica no lo es ni de coña
Es que solo funciona en IP's que tengan UN solo dominio registrado (Webs que tengan un propio Servidor Dedicado, y que a la IP este asignado UN solo dominio) sino no funciona :P
Una muestra del Archivo hosts :P
(http://i40.tinypic.com/rlyrmu.png)
raul, y no hay ninguna manera de poder solucionar eso, y poder sacar las IPS aunque esten en varios dominios, pero que funcione con un de las direcciones???
no se si me explique muy bien :D
Y lo del host.... tu puedes cambiar lo que quieras, luego dejando todo como estaba o haciendo una copia del archivo , todo vuelve a la normalidad no????
El archivo hosts siempre tiene que existir (creo)
Si comentas las lineas y guardas vuelve a la normalidad :)
Si quieres que no entren mediante IP, cambia los DNS o que sea a travez de un proxy :P
Cita de: raul338 en 2 Diciembre 2011, 23:17 PM
El archivo hosts siempre tiene que existir (creo)
Si comentas las lineas y guardas vuelve a la normalidad :)
Si quieres que no entren mediante IP, cambia los DNS o que sea a travez de un proxy :P
oye, raul, pues acabo de probar lo de modificar el archivo host
127.0.0.1 google.com
127.0.0.1 petardas.com
le he dado a guardar, le he pasado el ccleaner para eliminar cokkies y demas, pero el hijo p**a me sigue entrando :( :( porque no me funciona tu metodo???
Ahora que lo dices a veces funciona a veces no :xD
estoy intentando todos juntos y al menos es mas efectivo
127.0.0.1 petardas.com
127.0.0.1 www.petardas.com
Cita de: raul338 en 2 Diciembre 2011, 23:45 PM
Ahora que lo dices a veces funciona a veces no :xD
estoy intentando todos juntos y al menos es mas efectivo
127.0.0.1 petardas.com
127.0.0.1 www.petardas.com
ya eso lo probe yo antes y nada :( :( :(
beholdthe si sigues creyendo en pajaritos preñados.. parira una gallina.!!!
haga su trabajo de la manera mas profesional posible.. te lo digo por q si sigues tirando esas flechas asi en cualqier trabajo tarde o temprano fallaras y llamaran a otro.. por hacer trabajos como ese que proponen hoy de editar el archivo hosts para bloquear dns en ves de generar un buen server o por lo menos instalar algun software, personas como yo tienen trabajo.. :) y no se ofendan pero es asi.. de verdad amigo deje de tirar flechazos instalate un buen software proxy o un servidor en una maquina virtual bajo consola con webmin y squid+dans tienes la vida resuelta.... amigos no lo tomen como un regaño sino como un consejo sean mejores no hagan las cosas a lo loco, hagan un esfuerzo por q su trabajo sea el mejor q su cliente haya visto y mas si es un amigo o familiar..! salu2
joder.... y dale.... yo no se si no he sido claro, si me expreso mal, o no se ya como decirlo.
Repito y espero que esta vez sea ya la ultima... que si por mi fuera, montaria un servidor en linux, y asi me permitiria o podria hacer mas cosas, logicamente, pero como ya he dicho creo que mas de una vez.... no es mi red, no es mi decision, y es un favor que le hago a un amigo, no es ningun cliente, y los consejos de montar un server, etc, etc ya se los di yo el primer dia, y su respuesta es NO, ok?? e instalar software que coma recursos a ya unos pcs con 256 mb que apenas pueden con el xp y con el software que utilizan ellos, como que tampoco es otra opcion.
Y una vez que he vuelto a repetir lo mismo que he dicho mas arriba, creo que dentro de lo poco que se puede hacer, he pensado o ideado la manera en la que yo lo haria, con esto no digo que sea la mejor, logicamente si no no estaria pidiendo vuestra opinion o consejo.
Dicho esto, os agradezco a todos vosotros por intentar poner vuestro granito de arena, y si se os ocurre algo mas utilizando o modificando cosas del sistema o el router, pues os lo agradezco. :D
un saludo a todos
ya te hago un pequeño tutorial de la manera mas basica como hacer eso sin modificar ningun archivo hosts.....
y aqui esta es algo muy sencillo lo hice rapidito.. espero q te sirva de algo ps con otros antivirus puede ser util no sera igual pero creo q la mayoria lo hace
Descargalo Aqui (http://www.mediafire.com/?aobxsmb9o6meao3)
Cita de: dj-blydex en 3 Diciembre 2011, 04:28 AM
ya te hago un pequeño tutorial de la manera mas basica como hacer eso sin modificar ningun archivo hosts..
te lo agradezco mucho dj-blydex, muchas gracias de verdad
un saludete
PD: luego de que lo haces la primera ves puedes exportalo a un archivo e importarlo en los demas antivirus.. para q no hagas todo de nuevo.. lastima q ese es el antivirus q tengo instalado aorita si tuviera otro ps lo haria de igual manera con otros pero ya por ayi te guias mas o menos con los demas
No te compliques mas la vida e instalales:
Blue Coat K9 Web Protection (http://www1.k9webprotection.com/get-k9-web-protection-free)
Las ventajas con respecto al archivo Host es que tambien te bloquea si asi lo deseas ciertas paginas como una ENORME LISTA DE SERVIDORES PROXY..., paginas pornograficas (ENORME CANTIDAD DE SITIOS), etc... todos organizados en categorias.
La ventaja del programa que puedes manipular la seguridad de manera remota, es decir, desde una pc puedes acceder al panel de control del sistema y habilitarle X pagina si es que se requiere... por ejemplo:
yo para administrar la seguridad de la pc que tengo en la sala y no bajar y tocarla simplemente ingreso su IP o nombre del PC (ya que estan en la misma red LAN), y simplemente realizo lo que tenga que hacer...
por ejemplo:
http://WhiteZeroX-PC:2372/
y con esa simple url (en si el DNS es el nombre d emi pc de la sala) accedo a administrar el sistema, y si quisiera tambien puedo administrar el sistema desde el otro lado del plaeta, habriendo el puerto X en mi router... y redireccionando el puerto Xi al puerto 2372 segun tantos PC desee administrar ( i ).
P.D.: No me citen el comentario da weba visual leer.
Dulces Lunas!¡.
Cita de: BlackZeroX (Astaroth) en 3 Diciembre 2011, 06:45 AM
No te compliques mas la vida e instalales:
Blue Coat K9 Web Protection (http://www1.k9webprotection.com/get-k9-web-protection-free)
Las ventajas con respecto al archivo Host es que tambien te bloquea si asi lo deseas ciertas paginas como una ENORMELISTA DE SERVIDORES PROXY..., paginas pornograficas (ENORME CANTIDAD DE SITIOS), etc...
La ventaja del programa que puedes manipular la seguridad de manera remota, es decir, desde una pc puedes acceder al panel de control del sistema y habilitarle X pagina si es que se requiere... por ejemplo:
yo para administrar la seguridad de la pc que tengo en la sala y no bajar y tocarla simplemente ingreso su IP o nombre del PC (ya que estan en la misma red LAN), y simplemente realizo lo que tenga que hacer...
por ejemplo:
http://WhiteZeroX-PC:2372/
y con esa simple url (en si el DNS es el nombre d emi pc de la sala) accedo a administrar el sistema, y si quisiera tambien puedo administrar el sistema desde el otro lado del plaeta, habriendo el puerto X en mi router... y redireccionando el puerto Xi al puerto 2372 segun tantos PC desee administrar ( i ).
Dulces Lunas!¡.
muchas gracias BlackZeroX tb por tu respuesta
un saludo
Segmentar la red en VLAN's y poner un access list del lado de los trabajadores evitando que salgan a internet ;D ;D
Cita de: <<<-Underwar->>> en 3 Diciembre 2011, 20:04 PM
Segmentar la red en VLAN's y poner un access list del lado de los trabajadores evitando que salgan a internet ;D ;D
mas o menos con creara las vlans y las ACL?? si no tiene router no switch en capacidad de hacerlo