限制QQ、MSN其实是有很多方法的,如利用限制名称限制QQ、利用ISA的HTTP的过滤功能、利用组策略等等下面我们来展示几种简单的限制MSN的方法
环境:beijing是ISA服务器,Denver是域contoso.com的域控制器,firence是域内的客户机并装有MSN
我们先用最简单的限制名称来限制一下
这种方法beijing应该是域的成员,或者域内有Radius服务器以便后来做身份验证
这种方法前提是客户机必须使用防火墙客户端代理上网
首先要让客户机不能利用web代理和SNAT代理,操作是
在beijing上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理,在配置—网络中右击内部属性,如图勾掉web代理
这样客户机不能使用web代理了,我们再利用SNAT不能进行身份验证的弱点不让用户使用SNAT
在设置的策略中关于允许上网的策略的用户标签下更改成通过身份验证的用户
然后在配置—常规下点击“定义防火墙客户端配置”
切换到应用程序标签下点击新建将应用程序禁止应用程序写msnmsgr注意不要加.exe,键是disable值是1这样就禁止了应用程序名为msnmsgr的程序
这样做显然有很大的缺点只要客户机firence将msn的应用程序名称一改这种方法就不灵了
下面我们来利用防火墙策略来限制msn
这样做的前提是知道msn服务器的ip地址,最简单的方法是上网查一查,不放心的话也可以自己用抓包器来抓一下,抓包器用windows自带的管理工具下的网络监视器也行,推荐使用Ethereal我们也可以用网络监视器抓用Ethereal来分析
方法是先禁用网卡—-开始抓包—-登陆msn
为方便起见本人在网上查了一下msn服务器的ip是65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
QQ服务器的ip是
202.104.128.233
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
用这种方法限制QQ比较麻烦ip那么多好在只是时间问题
我们在ISA的工具箱中找到网络对象新建一个计算机集
点击添加选计算机将刚刚查到的ip全部写入
这时,再新建一条访问规则
先取个名字
规则是拒绝
协议选所有出站协议
规则源是内部
目标是刚刚写入的MSN服务器的计算机集
用户选所有用户
检查一下完成创建
应用后计算机就不能访问msn的服务器了
但是这种方法也不能从根本上解决问题,因为客户机登陆msn服务器时除了直接登陆外还可以用代理服务器登录,这时我们就要用HTTP的过滤功能中的签名来限制了签名是HTTP我们要找出MSN服务器时的特征数据,依靠这个来封掉MSN
在允许上网的用户策略上右击选择配置HTTP
切换到“头”标签下添加查找范围请求头值为User-Agent这样就可以阻止这个请求头
在签名的标签下点击添加输入如图的数据头是“User-Agent”。
查找签名可以在微软网站上也可以通过抓包工具来获取
这是利用签名来限制MSN这种方法也并不是万无一失的如果客户机把请求加了密或者封装成了ftp的格式这种方法也是无能为力的
我们也可以在域控制器上利用组策略来限制做法是
在域控制器Denver上开始—程序—管理工具—AD站点和服务在站点上右击属性
在组策略标签下新建个策略然后点击编辑
在windows设置下的安全设置下找到软件限制策略,打开后在其他规则上右击选择新建哈希规则计算机基础知识
点击浏览查找msn对应的程序打开
这时会出现如图所示的内容
确定之后就可以了用了这个方法后本版本的msn一定会不能用了
介绍的这几种方法基本上可以限制一般的用户了