ISA Server – zablokowanie pobierania plików

Share this post

W jaki sposób można zablokować użytkownikom korzystającym z ISA Servera 2004 dostępu do pobierania plików exe i możliwości ich zapisywania na dysk twardy. Takie pytanie zadaje sobie wielu administratorów szkolnych pracowni komputerowych. Rozwiązanie jest bardzo proste i zawiera się w kilku krokach.

Otwieramy ISA Server Management. Na zakładce Firewall Policy klikamy prawym klawiszem myszy i z rozwiniętego menu wybieramy Nowy -> Access Rule.

Rysunek 1. Tworzenie nowej zasady dostępu.
Rysunek 1. Tworzenie nowej zasady dostępu.

W oknie kreatora nowej zasady dostępu definiujemy jej nazwę (rule name). W tym przykładzie zostanie przedstawiona reguła blokująca pobieranie plików wykonywalnych (exe) zatem w nazwie wpiszemy “Blokowanie plików exe” i klikniemy Dalej.

Rysunek 2. Okno kreatora nowej zasady.
Rysunek 2. Okno kreatora nowej zasady.

Większość plików na komputer pobieranych jest przez przeglądarkę internetową za pomocą protokołu HTTP (Hypertext Transfer Protocol). Oczywiście gdy zaznaczymy opcję Deny, cały ruch po HTTP zostanie zablokowany. Takie rozwiązanie spowoduje, że strony internetowe nie będą się ładowały. My chcemy zablokować dostęp tylko do pobierania plików więc przepuszczamy cały ruch zaznaczając Allow.

Rysunek 3. Podejmowanie Akcji przez ISA po napotkaniu reguły.
Rysunek 3. Podejmowanie Akcji przez ISA po napotkaniu reguły.

W kolejnym kroku zaznaczamy protokół, który będziemy filtrować. Z rozwijanej zakładki wybieramy “Selected protocols” i za pomocą przycisku Add dodajemy protokół HTTP. Po tej czynności klikamy Dalej.

Rysunek 4. Wybór protokołu.
Rysunek 4. Wybór protokołu.

Nasi użytkownicy pobierają pliki na komputerach znajdujących się w sieci wewnętrznej, więc z wewnątrz zostaje wysłane zapytanie. Zatem za pomocą Add dodajemy Internal i przechodzimy do następnego kroku klikając Dalej.

Rysunek 5. Pochodzenie zapytania.
Rysunek 5. Pochodzenie zapytania.

Pliki pobierane są z serwerów zewnętrznych. Klikamy Add i dodajemy External.

Rysunek 6. Miejsce przeznaczenia portu
Rysunek 6. Miejsce przeznaczenia portu.

Wybieramy użytkowników, których będzie obowiązywała ta reguła. Klikamy Add i dodajemy All Users (Wszyscy)

Rysunek 7. Wybór użytkowników.
Rysunek 7. Wybór użytkowników.

Koniec tworzenia reguły. Klikamy zakończ w celu sfinalizowania jej utworzenia.

Rysunek 8. Zakończenie pracy kreatora.
Rysunek 8. Zakończenie pracy kreatora.

Nasza reguła jest już dostępna. Teraz ustawimy filtrowanie protokołu HTTP tak by blokował pliki exe.

Rysunek 9. Podgląd utworzonej reguły.
Rysunek 9. Podgląd utworzonej reguły.

Zaznaczamy naszą regułę, prawym klawiszem myszy rozwijamy menu kontekstowe i wybieramy Configure HTTP

Rysunek 10. Konfiguracja
Rysunek 10. Konfiguracja

W otwartym oknie konfiguracji przechodzimy do zakładki Extensions i z menu wybieramy Block specified extensions. Spowoduje to przepuszczenie wszystkiego co nie znajduje się na liście.

Rysunek 11. Okno blokowania plików.
Rysunek 11. Okno blokowania plików.

Klikamy Add i w Extension podajemy rozszerzenie blokowanego pliku czyli .exe zatwierdzając Ok.

Rysunek 12. Wybór pliku do blokowania.
Rysunek 12. Wybór pliku do blokowania.

Rozszerzenie pojawiło się w zakładce Extensions. Klikamy Ok.

Rysunek 13. Poprawnie dodane rozszerzenie.
Rysunek 13. Poprawnie dodane rozszerzenie.

Teraz by nowa reguła zaczęła działać trzeba ją włączyć poprzez wciśnięcie Apply.

Rysunek 14. Uruchamianie reguły.
Rysunek 14. Uruchamianie reguły.

Zmiany w ISA serwerze zostały przeprowadzone pomyślnie. Od tego momentu nowa reguła filtruje ruch po HTTP.

Rysunek 15. Nowa reguła została wdrożona.
Rysunek 15. Nowa reguła została wdrożona.

Od tego momentu każde pobranie pliku exe zostanie zablokowane przez nowo utworzoną regułę. Warto dodać, że w zakładce Extensions możemy dodać rozszerzenia różnych plików np rar, zip, mp3, avi. Co kto woli.

Podobne wpisy

Instalacja Active Directory w Windows Server 2003