Ограничьте Компьютер или Пользователей из Интернета, но предоставьте доступ к интранет и Windows Update / ePO?
Я знаю, что это не ответ, который Вы ищете, но я снизился на эту дорогу прежде..., Купите одно из небольших устройств, которое говорит Вам, сколько ватт устройство тянет.
Если машина должна работать 24x7, можно сделать математику и обнаружить, что стоимость выполнения ее огромна. Было бы более дешево более чем год купить мини-Mac или маленькая основанная на атоме система, которая сможет сделать то же задание как сервер 3 или 4 года столь же быстро. Можно купить корпус внешнего диска для современных дисков, которые могут иметь зеркало и тот же объем данных если не намного больше приблизительно за 200£.
Для был бы Mac мини-500£, общее количество дисков за 200£ 700£, суммарная мощность приблизительно 30 ватт.
Однако мне удалось выжить на поле миллиона операций в секунду на 300 МГц, которые стоят 100£, и берет еще меньше питания, но оно выполняет debian с mysql и веб-сервером и веб-прокси с ssh.
Я узнал, как я собираюсь сделать это. Созданный специальный noaccess.rat файл для советника по содержимому для Internet Explorer. Добавленный адреса, что им нужны доступ к и ничто иное. Проблема решена.
-
1Проклятия.. Я пытался ввести это перед ответом. Вы могли также посмотреть на правила о внешнем маршрутизаторе / брандмауэр. – Skaughty 17 February 2010 в 18:06
-
2Хорошо we' ре думая это было бы самым безопасным, но все здесь произведено на стороне так, мы должны были бы позвонить парням для прибытия настроенные это. Мы изучаем это все же. Вид удивления, если советник по содержимому позволяет подстановочные знаки. We' ve также попробовал установку PROXY к НЕ в Internet Explorer, который обычно не пускает пользователей приблизительно в течение дня. – MoSiAc 17 February 2010 в 18:45
Внешний брандмауэр / маршрутизатор является, вероятно, самым безопасным. Вы могли создать окруженный стеной сад / присоединенный портал (во многом как те, что Вы добираетесь, когда Вы входите в точку доступа Wi-Fi), который разрешает доступ к Вашим услугам по обновлению, но ничто иное, если пароль суперпользователя не вводится.
-
1Это было бы путем, которым мы хотели бы пойти, но снова мы don' t имеют такой контроль здесь печально. Просто попросивший выполнить задачу локальная сторона машины. – MoSiAc 17 February 2010 в 20:15
Это - определенно что-то, что лучше сделано в сети.
Вы могли использовать дешевый маршрутизатор, взломанный для использования чего-то как http://www.dd-wrt.com/
Вы могли соединить это между своей сетью компании и компьютерами, которые Вы хотите изолировать.
Необходимо смочь использовать администраторскую страницу маршрутизатора, чтобы предоставить доступ к LAN и определенным сетям в белом списке (для обновлений), но ограничить всех других.
Преимущество выполнения его на сетевом уровне, Вы блокируете все сети, не только DNS или порт 80 / 443 (web/ssl), как некоторые решения этой проблемы делают. Оба могут легко обойтись хорошо осведомленными пользователями, но пользователям намного более трудно обойти присоединенный портал. Не невозможный, но затем ничто не!
Форумы DD-WRT должны смочь помочь Вам сделать это.
Могут быть коммерческие решения, которые достигают того же. Любой брандмауэр стиля Уровня 7 технически имеет способность смочь сделать это - поскольку они могут осмотреть tcp/ip пакеты и изменить / блокируют их в режиме реального времени согласно указанным правилам. Является ли это функциональностью, выставляется на уровне пользователя в конкретном продукте, что-то для обсуждения с производителем.
Однако, если Нельзя сделать это к Вашей сети из-за политики компании затем, Вы могли:
(i) изучите программное обеспечение, разработанное, чтобы препятствовать тому, чтобы дети получили доступ к Интернету без доступного контроля; или
(ii) посмотрите на то, разрешил ли программный брандмауэр Вам, белый список / помещает в черный список определенные сети. Вы могли добавить в белый список свою внутреннюю сеть и определенные сети, которые Вы хотите подключить с и поместить в черный список все остальное.