其实限制qq和MSN的方法有很多,比如用限制名字限制QQ,使用ISA HTTP的过滤功能,使用组策略等。这里我们将展示几种限制MSN的简单方法。
环境:beijing是ISA服务器,Denver是域contoso.com的域控制器,firence是安装了MSN的域中的客户端。
我们先用最简单的限制名来限制。
这种方法,北京应该是域的成员,或者域中有Radius服务器,以便后期认证。
这种方法的前提是客户端必须使用防火墙客户端代理上网。
首先,要防止客户端使用web代理和SNAT代理,操作是
在北京,点击开始-程序- Microsoft ISA Server-ISA Server管理,在配置-网络中,右键单击内部属性,勾选web代理。
这样,客户端就不能使用web代理,这样我们就可以利用SNAT不能认证的弱点,阻止用户使用SNAT。
在设置的策略中,更改为允许internet访问的策略的用户标签下的已验证用户。
然后单击“配置-常规”下的“定义防火墙客户端配置”。
切换到“应用程序”选项卡,单击“新建”以禁止应用程序写入msnmsgr。注意不要添加。该键为disable,值为1。这将禁止名为msnmsgr的应用程序。
显然,这种方法有很大的缺点。只要客户端更改msn的应用程序名称,这种方法就不起作用。
让我们使用防火墙策略来限制msn。
这样做的前提是知道msn服务器的ip地址。最简单的方法就是上网查。如果不放心,可以自己用抓包器。数据包捕获器也可以使用windows自带的管理工具下的网络监视器。推荐缥缈。我们也可以使用网络监视器来分析它。
方法是先禁用网卡——开始抓包——登录msn。
为了方便,我在网上查了一下,msn服务器的ip是65.54.225.254。
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
QQ服务器的Ip地址是
202.104.128.233
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
用这种方式限制QQ,比ip还麻烦,但只是时间问题。
我们在ISA工具箱中找到了网络对象来创建新的计算机集。
点击添加选择计算机写入所有刚刚找到的ip。
此时,创建一个新的访问规则。
先取个名字。
规则是拒绝。
选择所有出站协议。
规则是内部的。
目标是刚写的MSN服务器的电脑集。
用户选择所有用户。
检查完成的创作。
申请后,电脑无法访问msn的服务器。
但这种方法并不能从根本上解决问题,因为客户端登录msn服务器时,也可以通过代理服务器登录。这时候我们就要使用HTTP的过滤功能中的签名来限定签名是HTTP。我们需要找出MSN服务器的特征数据,并依靠这个来封闭MSN。
右键单击允许Internet访问的用户策略,然后选择配置HTTP。
切换到“标题”选项卡以添加搜索范围。请求头值是User-Agent,因此可以阻止此请求头。
在签名选项卡下,单击添加并输入。如图所示的数据头是“用户代理”。
可以在微软的网站上或通过包捕获工具找到签名。
这种方法是通过签名来限制MSN,并不是万无一失的。如果客户端对请求加密或者封装成ftp格式,这个方法就无能为力了。
我们还可以在域控制器上使用组策略来限制这种做法
在域控制器Denver上开始-程序-管理工具-AD站点和服务在站点上右键单击属性。
在组策略选项卡下创建一个新策略,然后在windows设置下的安全设置下找到软件限制策略。打开后,右键点击其他规则,选择新建哈希规则计算机基础知识。点击浏览,找到msn对应的程序,打开。然后会出现图中所示的内容。经过确认,这个版本的msn肯定不能用介绍了。这些方法基本可以限制普通用户。