Борьба с соцсетями в отдельно взятом социуме

    Наверное перед многими из системных администраторов их буйным руководством хотя бы раз в жизни ставилась задача «чтоб никто по одноклассникам не лазил!».
    Со своей стороны я полностью придерживаюсь идеи «запрет не может быть ТОЛЬКО техническим», т.к. на любой хитрый запрет рано или поздно находится хитрый обходной путь. 100% техническим решением будет, пожалуй, только полное закрытие доступа в Интернет.
    Тем не менее повозиться было интересно, чем я и занялся на досуге. и по результатам написал этот пост.


    Сразу оговорка: мое окружение — это рабочие станции Windows, серверные ОС Windows и соответствующее ПО. В *nix среде все вероятно можно сделать так-же\иначе, лучше\хуже, изящнее\топорно (нужное подчеркнуть).

    Кроме этого, по умолчанию принимаем что у нас есть
    • — точка контроля трафика, т.е. шлюз-прокси, через который все внутренние клиенты будут ходят в интернет.
    • — контроль администраторских прав на рабочих станциях, (все же понимают, что если у каждого второго пользователя права админа на рабочей станции, или он работает на личном ноутбуке — то бороться с чем либо становится бессмысленно?).
    • — на шлюзе пользователям разрешен выход наружу исключительно по HTTP и HTTPS (не рассматриваем особые случаи, типа клиент-банков, спец-ПО и т.п), а не All outbound Traffic, как я неоднократно встречал у различных знакомых.
    • — у нас есть инструмент анализа логов и статистики нашего шлюза. Он нужен, чтобы
      • понимать результативность принятых мер;
      • отслеживать статистику трафика в дальнейшем.
    После непродолжительной неравной, бессмысленной и беспощадной борьбы с соцсетями, у меня выработались несколько принципиальных подходов к этому.

    Метод Первый (топорный).

    Создаем банлисты на шлюзе, и вносим туда домены одноклассников, мой мир, вконтакте (не забывая про vk.com), мой круг и иже с ними, смотря чем ваши пользователи балуются. Для особо замороченных, в банлисты вносим также IP-адреса, или даже подсети, которые соответствуют этим сайтам. Применяем наши банлисты и радуемся жизни, но недолго. т.к. даже самой недалекой секретарше достаточно набрать в яндексе фразу анонимайзер вконтакте и получить на выходе десятки, а то и сотни открытых веб-прокси, которые еще и обновляются чуть ли не несколько раз в неделю. Понятно что борьба с ними с помощью бан-листов будет бессмысленной, т.к. время на это будет уходить много, а результат все равно достигнут не будет. На справедливое возражение про недалекую секретаршу, отвечу, что у нее может быть знающий друг, который и научит ее этой волшебной фразе.

    Метод Второй (административно-психический).

    Договорившись с руководством (это совсем несложно в данной ситуации), выпускаем приказ\закон\постановление, гласящий, что за посещение соцсетей сотрудникам грозит штраф\наказание\прилюдная порка. Это сразу отсекает морально слабых, неуверенных нарушителей, но закоренелые фанаты все равно останутся. Для них можно применить психическое воздействие: делаем нехитрый response modifier, т.е. фильтр, который будет анализировать что приходит к нам из интернета, и подменять в этом ответе, например слово «вконтакте» на фразу «Уверен, что про это никто не узнает?». В итоге, даже через новый, неизвестный анонимайзер, человек увидит вот такую картинку

    Это должно остудить пыл еще какого-то количества пользователей. Ну и, варьируя заменяемые шаблоны, можно достигнуть самых разных эффектов.

    Метод третий (очень жесткий и нечестный)

    Этот метод самый действенный, но и наиболее спорный по части применимости. Суть проста: делаем простую копию страницы-входа в соцсеть, и на шлюзе создаем правило, которое редиректит конкретный запрос пользователя (например запрос на свежий анонимайзер, или на специально незабаненный анонимайзер) на эту страницу. Дальше пользователь вводит своим логин-пароль и либо попадает в соцсеть, либо нет (смотря как вы делали фейк-страницу), это уже неважно. Важно, что у вас появляется логин-пароль конкретного пользователя.
    Фактически — это фишинг в чистом виде, что конечно неправильно, незаконно, не по джентельменски и т.д. однако действенность такого метода — выше всяких ожиданий. Когда человек теряет свой драгоценный аккаунт (пусть не навсегда, пусть на время, пусть вы вернете его в обмен на обещание не ходить в соц сети на работе) — это оказывает ошеломительный эффект даже на прожженных фанатов «одноклассников», ведь пользуясь анонимайзерами неизвестного происхождения, они фактически рискуют своими аккаунтами, сами об этом, возможно, не задумываясь.

    Метод четвертый (простой и действенный)

    Требует работы с руководством, и умения убеждать.
    Основное и самое важное тут, это понять ЗАЧЕМ вообще вам нужно ограничивать людей в доступе в интернет.
    Навскидку есть два основных варианта:
    • а) потому что так хочу, потому что должны работать а не развлекаться, потому что они мои работники, а я их царь и бог.
    • б) потому что нужно сэкономить трафик.
    первый вариант — принципиально нерешаем, т.к. мотивировать работников лучше не запретами, и если работник развлекается а при этом работу делает качественно и в срок — так и флаг ему в руки.
    второй вариант — очень просто решает вводом квот на трафик, и дальнейшим повышением их, при необходимости (что подтверждается распечаткой статистики посещений).

    На этом методы мое бессмысленной борьбы исчерпались. По результатам я остался ярым сторонником метода «доступ не запрещать, трафик квотировать», в чем не без труда — но смог таки убедить свое руководство.
    Если у вас есть что-то еще какие-то интересные способы, неописанные выше — с удовольствием прочту об этом в комментариях.

    P.S. Речь безусловно не шла об информационной безопасности, т.к. в случае защиты каких либо конфиденциальных данных, вышеописанные методы смешны и нелепы.

    P.P.S. Можно еще устроить себе интересные игрища с отловом и модификацией\удалением заголовков HTTP-трафика, и поиском сигнатур. Это позволит отсечь различные программы, создающие туннели через HTTP\HTTPS, но это уже тема для отдельного поста.

    P.P.P.S Третий метод — весьма и весьма спорный, в том числе и с точки зрения законодательства. По просьбе в комментариях, лишний раз напомню: ради ради вас и ваших детей трижды подумайте, прежде чем делать так.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 107

      –2
      вайт-листы и не парится?
        +4
        White-list, это вариант для очень ограниченного круга пользователей. Тем кто может совершенно четко сказать какие сайты ему нужны для работы. Обычно запрещают доступ в соцсети всяким менеджерам по продажам, которым интернет нужен для поиска клиентов, и трудно спрогнозировать какие именно сайты разрешены.
        Вы же не планируете по каждому обращению «у меня потенциальный клиент, домен bla-bla-bla.ru» править white-list?
        Хотя конечно, как один из методов — надо было упомянуть.
          +6
          «потенциальные менеджеры по продажам» как раз обычно бьют себя пяткой в грудь, что именно в вконтакте или в одноглазниках они пол-года назад нашли клиента
            +1
            В нашей компании пришли именно к этому варианту.

            Но, у нас в Интранете есть форма заявки, в которую любой сотрудник вбивает адрес сайта + комментарий зачем ему этот сайт.
            Ее в электронной форме согласовывает его прямой начальник и владелец белых списков. потом заявка со ссылкой выгружается прокси серверу, который фильтрует.

            Вот и выгода. Срок согласования от 1 минуты.
          +2
          «Вы используете устаревший браузер » — Вы и есть тот самый Одмин? =)
            0
            IE8, а фраза про «устаревший бразуер» это не более чем реклама Firefox, Opera, Safari, Chrome.
            :)
              +1
              Между делом правильная реклама то, давно пора отказаться от него в пользу более новых и качественных продуктов
                +2
                Расскажите это корпоративным пользователям.
                Или у вас не было заточенных по IE веб-морд, Active-X приблуд, для, лично вам не неинтересного, но блин, «очень важного для бизнеса» сайта партнера, или там на худой конец видеорегистратора на складе.

                Сам сижу на Firefox, если что :)
              0
              А зачем {IE6} обновлять, если пользуешься нормальным браузером?
              Что касается ограничений, у меня всё просто)) Каждый месяц отчёт со статистикой сколько времени и где (в основных соц сетях страницы хотябы раз в минуту долбятся на свои сервера — а так можно получить и время пребывания на сайте)…
              0
              А почему вы не воспользовались сервисами, которые под эту борьбу специально заточены? Тот же rejector.ru. Выбираете категорию социальные сети + прокси. Далее по статистике смотрите куда ходят. При появлении новый прокси, добавляете.
                +2
                Мне как то боязно отдавать DNS своей организации стороннему сервису, особенно если у них на сайте контактов нормальных нет и нет уверенности что в «гипотетически нехорошей ситуации», этот сервис не организует элементарную фишинг атаку, и вы даже ничего не заподозрите.

                Все таки спокойнее, когда есть свой DNS-сервер, который обращается к DNS-провайдеру, корневым серверам, на худой конец к гуглу. Да здесь тоже провайдер, или гугл может устроить подобное — но вероятность сильно ниже, не находите?
                  0
                  А зачем отдавать DNS сервер сторонней организации? Отдайте только ресолвинг внешних запросов.

                  DNS провайдера обычно сервис который обновляется провайдером в последнюю очередь и при падении какого либо сервера у вас начинается эпопея с прописыванием в вашем DNS затычек или пинанием службы поддержки провайдера.
                    +2
                    именно. резолвинг внешних адресов.
                    в неизвестную мне компанию.
                    а завтра вместо сайта сбербанка директор зайдет на фишинговую страничку, которую любезно подсунет эта компания, ведь наши знания о внешних доменах фактически в их распоряжении.
                    Я именно об этом говорил.
                      –2
                      Можно пользоваться opendns.com
                      Шансы того, что они заинтересуются данными российской компании все-таки ниже, чем в случае с rejector.ru, да и пользователей у них гораздо больше, а значит и репутация у них «дороже». Правда русскоязычных пользователей там довольно мало, и потому в отношении зеркал отечественных соц. сетей у opendns.com большая инерция. Некоторые домены висят на голосовании месяцами.
                        0
                        opendns.com к сожалению ну очень медленный
                          0
                          За год использования как-то не заметил серьезного падения скорости открытия страниц, возможно дело в кеширующем DNS внутри организации. Спасибо, надо будет приглядеться.
                        –2
                        Действительно!
                        Выкатить претензии, Гуглу и к провайдеру к услуге, которая у него никак не регламентированна гораздо реальнее. А если взломают собственный DNS то можно устроить разборки с админом.

                        Или там если директор откроет страничку по аресу sbrf.ru.fish.net из письма то тоже можно предъявить претензии — директору. Зачем нажимал на ссылку.

                        Ваши подозрения к сторонним сервисам такого рода абсолютно беспочвеннны. На основании ваших выводов вполне можно подозревать всех :)
                          0
                          При подмене на DNS-сервере внешний вид адреса не изменится, ни один пользователь подвоха не увидит. Да, любые претензии в этом случае будут только к админу. Вероятность такого, не спорю, кажется небольшой. Но, например, в «денежных» организациях админ должен быть параноиком.
                  +21
                  Можно не закрывать туда доступ, а замедлять его до такой степени, чтобы лазить было невозможно. Скажем, хуже, чем по диалапу — оставить 1 kbps на каждый коннект с вконтакта, 10 kbps в сумме на всех.

                  Люди будут заходить, видеть — открывается, медленно. За пол-дня перенервничают и перестанут лазить.
                    +4
                    Во! Вариант!
                    Запишу в копилку методов!
                      +1
                      Завалят сообщениями о неработающем интернете.
                        +10
                        Ичо? Открываешь гугол, яндекс, мокросовт.ком, показываешь — всё работает нормально. Можно в присутствии начальника.
                          –3
                          Вы прям как мой провайдер. На форуме провайдера кричат «Заявленная скорость 100мбит, а качает 10!», а им в ответ «Скачайте установщик с сайта касперского и оперы в несколько потоков».
                            0
                            Неверная аналогия. Гугол и мокросовт.ком действительно будут открываться быстро.
                              0
                              На форуме провайдера с вероятностью 99% написано, как у нас:
                              Скорости доступа являются не гарантированными (EIR) и могут динамически снижаться в зависимости от общей загрузки каналов. Это не означает, что в случае включения одновременной закачки на максимальной скорости всеми клиентами, скорость доступа каждого из них будет сразу же падать до критически низких отметок. Выбранная скорость выдерживается большую часть времени за счет того что пользователи тарифа не работают непрерывно на максимальной скорости.

                              Гарантированный канал стоит совсем других денег. Задолбали ныть.
                                0
                                Мой провайдер делает еще лучше.
                                Вдруг скорость скачки в один поток с того же мелкософта (как пример, на самом деле с любого сервера) падает до 3 кб/с. В 2 потока — 6 кб/с, в n потоков — n*3 кб/с. Хммм, думаешь. Звонишь в суппорт, а там говорят: «а скачайте с наших внутренних ресурсов что-нибудь». А при чем тут их внутренние ресурсы, спрашивается? На пиринг у меня 24 мегабита, а на остальной интернет — 8. Не информативго, говоришь им. Не понимают. Ругаешься. На завтра все становится супер.
                                И так пару раз в месяц. Бред.
                          +3
                          хотя нет, не сильно лучше чем простые банлисты.
                          помучавшись полдня с основным сайтом, пользователи поймут что скорость урезана, и пойдут на анонимайзеры.
                          дальше все сведется к ежедневному мониторингу логов и постоянной правке банлистов.
                            +2
                            У меня сделано по превышению квоты скорость падает до 10 КБ/с, после этого много трафика они не сожрут, а куда ходят мне всё равно.
                              +3
                              Да, шейп и сквид рулит.
                              у нас так сделали черти когда — мычать давно перестали.

                              Но потом отказались. Легче наказывать гривной — это и более страшно, и более выгодно.
                              Было задание и дедлайн? Не выполнил? Видели как сидел в соц.сетях/аське? В конце месяца не обижайся.

                              Было задание и выполнил? На отлично? Молодец — вон аська/вконтакте — сиди хоть умри. До следующего задания.
                                0
                                Вот она — хитрость BOFH =)
                                  0
                                  Именно так и сделал, на социальные сайты скорость 8кбит, и 48кбит на всех. Лазить при желании можно, но уж очень раздражает =))
                                  +4
                                  Как вам повезло, что имеете дело с секретаршами. Я не завидую нашему админу, когда в офисе две сотни программистов с полным доступом к рабочим компьютерам.
                                  З.Ы. Вашей карме воздастся за то, что убедили руководство в 4-м методе ))
                                    0
                                    Жду не дождусь :)
                                      +3
                                      А программистам нельзя запрещать. Во-первых, все равно лазейки найдут. Во-вторых, запрет чего-либо вызывает в программистах злость и они тупо в курилке проторчат весь день, а в-третьих, программист пусть хоть на баяне играет в офисе, лишь бы к сроку всё успевал.
                                        0
                                        да и не только программист. если на работе кроме соц. сетей нечего делать, то это проблема работы.
                                        +1
                                        Соглашусь с оратором ниже — программисту вообще нельзя ничего компьютерного запрещать, и даже локального админа ему лучше сразу выдавать — а то замучает.
                                        А есть ещё категория — дизайнеры, фотографы и прочий творческий люд. Для них наоборот нельзя дресс код вводить, а то работать не смогут, а сайты можно перекрывать какие хош, им плевать. :)
                                          +2
                                          Вот как раз локального админа программисту не стоит давать. Пусть программирует так, чтобы работало и без прав админа. А если разработка ведётся давно и среда разработки в группе давно установилась, то менять её внезапно ему всё равно нельзя.

                                          Я лично наблюдал (и наблюдаю) явный вред от выдачи прав админов программистам.
                                            +2
                                            Я 6 лет админю, парки по 100-150 компов. Локального админа раздаю обычно всем кто попросит. Ни разу вреда от этого не было за все годы, и мне возни с установкой софта тем кому он нужен значительно меньше.
                                              0
                                              нелицензионный софт тоже ставят?
                                                0
                                                Пусть ставят. Во-первых, кто поставил тому и отвечать. А во-вторых много ли в России белых организаций где всё лицушное? В большинстве контор софт и так нелицензионный, так что это погоды не делает.
                                                  0
                                                  Если по шею в говне то можно и по уши?
                                                    0
                                                    А что изменит установленный пользователем фотошоп в плане последствий, если в конторе 200 компов с пиратской виндой и офисом?
                                                      0
                                                      В плане юридических последствий только общую сумму возможного иска и количество истцов, хотя я не силен в юридической стороне этого вопроса. Сам я стараюсь всегда смотреть не глазами «я не виноват, кто поставил — тот и виноват», а с той позиции, что для компании будет не важно какой из ее сотрудников окажется привлечен к ответственности, компания понесет те или иные убытки в любом случае.
                                                      Гораздо больше меня смущает другой факт, если человек ставит ПО не имея легальной на это возможности, значит он использует сторонние приложения для обеспечения работоспособности этого ПО — тут может быть все что угодно, от модификации файла хостс, до хасп эмуляции — все это потенциально может в последующем выйти боком при использовании легального ПО. Другая сторона монеты в том, что кряки в современном интернете не зараженные тем или иным зловредным кодом найти не очень просто, стоит ли напоминать что машину на которой постоянно работают с правами администратора, вирусу поразить проще чем машину с правами пользователя?
                                                0
                                                «Однажды Директор пришёл к защитнику Иню за советом. Директор сказал:
                                                – Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?
                                                Инь Фу Во ответил:
                                                – Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.
                                                – Как просто! – воскликнул Директор и ушёл просветлённый.»
                                                Может все таки не всем кто просит?
                                                0
                                                это какой же?
                                            +3
                                            > Метод третий (очень жесткий и нечестный)
                                            Вы подумайте что людям предлагаете! Это чистая 100% уголовка! Одно заявление в милицию от пострадавшего и хитромудрый админ в лучшем случае отделается условным сроком и получит судимость, которая клеймо на всю жизнь не только для него, но и для его детей.
                                              0
                                              Хоть я и считаю, что каждый должен иметь свою голову на плечах — но ок. Добавил еще один постскриптум. Ради меня и моих детей. :)
                                                0
                                                По ходу, на работе надо заниматься работой, и личных аккаунтов никаких не использовать, только корпоративные. Если они используются, это является нарушением коммерческой тайны и карается намного строже. Работой администратора является пресечение утечки любой информации из компании.

                                                PS: никакой иронии, это я просто отписал один из вариантов ответа любого спеца из юротдела на подобные заявления. А дальше будете прыгать в суде уже как хотите…
                                                  +1
                                                  Почти любой админ и так ходит под 146-й статьёй.
                                                    0
                                                    Ага, усугублять не стоит:)
                                                  –1
                                                  TOR спасает отца русской демократии и в этом случае тоже :-)
                                                    0
                                                    насколько я знаю TOR имеет специфические заголовки в своем протоколе, по которым его можно отлавливать при попытке установитть соединение с первым пиром
                                                    Плюс TOR работает на SOCKS, а его включать вовсе не обязательно.

                                                    Но это не контр-аргументы, это так. размышления.
                                                    Способы отлова TOR, Hamachi, Skype и прочих интересных штук — это тема отдельного поста.
                                                      0
                                                      TOR может использовать и http тоже, а заголовки умеет резать прокси, который идет в комплекте.

                                                      Вообще, ИМХО, технические ограничения — последнее дело. На каждое из них найдется контрмера, и их введение только разжигает азарт у знающих пользователей.
                                                        0
                                                        Напишите статью про отлов Skype.
                                                          0
                                                          Кстати, да. Очень тяжело Скайп перекрыть, если 80 или 443 порт открыты. И по IP не заблокируешь…
                                                      +6
                                                      если человек не хочет работать, то работать не будет, заместо интернета будет оригами делать или крестиком вышивать.
                                                        0
                                                        Первый адекватный комментарий.
                                                          0
                                                          Иногда дело не в рабочем времени сотрудника, но в имидже компании.
                                                            0
                                                            Я про случай, когда тот же менеджер продаж, начинает вести деловую переписку средствами «чатика вконтакте».
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                            +11
                                                            Это ваше закрытие соц. сетей — идиотизм. Желаю смерти любым компаниям, которые практикуют корпоративную шизу.
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                +1
                                                                Если вы дочитали до конца — то могли заметить, что ничего в итоге мы (компания в которой я работаю) не запрещаем. только трафик квотируем (и то довольно по божески).
                                                                Посмотрите на пост НЕ как на серьезную статью, а как на «мои игрища с трафиком», и все сразу станет на свои места.
                                                                  0
                                                                  Каюсь до конца не дочитал. Смысл всех этих действий можете объяснить?
                                                                    0
                                                                    Это попытка описать мой взгляд на способы борьбы с соцсетями, т.к. последние полгода множество знакомых сисадминов этим занимаются с переменным успехом.
                                                                    Повторюсь, я не сторонник запретов, не сторонник наказаний (по крайней мере за посещение соцсетей) — свою позицию я описал в посте, видимо неудачно, раз был непонят.
                                                                    Если будет хоть кто-то, из бессмысленно воюющих, кто, прочитав этот пост, задумается на тему «вот человек тоже запрещал запрещал, в итоге все разрешил, и доволен. А в этом что-то есть!» — считаю что пост написан не зря.
                                                                  0
                                                                  Если трафик платный то это оправдано.
                                                                  +1
                                                                  Закрытие в данном случае будет борьбой со следствием, а не с причиной. Тобишь — костыль.
                                                                  Мне кажется, правильнее делать статистику использования ресурсов. И по обычному пользователю картина сразу станет более-менее ясной. Ну а по «продвинутым» — будет видно всякий непонятный трафик по https или по левым хостам/портам.
                                                                  Само собой, сотрудники должны быть в курсе, что ведется такая статистика — часть граждан отсечется банальным страхом попалиться.
                                                                  А так, как верно подметили выше, если человек не хочет работать, то отсекание вконтактега не добавит ему работоспособности.
                                                                    0
                                                                    А еще при входе отбирайте мобильники, думаете с них меньше людей сидит?
                                                                      +1
                                                                      В некоторых компаниях так и делают
                                                                      +3
                                                                      Подмена текста вконтакте или одноклассники — не очень безопасный путь.
                                                                      Представляю фразы:
                                                                      Нам важно постоянно находиться Уверен, что про это никто не узнает?
                                                                      или
                                                                      В эту пятницу ежегодная встреча Уверен, что про это никто не узнает?
                                                                        0
                                                                        это был просто пример. :)
                                                                        менять текст (если вообще кто-то будет это делать) лучше блоками, которые гарантированно встречаются на том же вконтакте (например приветственная фраза про «ВКонтакте – универсальное средство коммуникации и поиска людей,
                                                                        которым ежедневно пользуются десятки миллионов человек.» )
                                                                          0
                                                                          ну если в контектсе «находиться в контакте» — то это только раздельно пишется.
                                                                          +1
                                                                          Скрыто собирать статистику и явно нагружать работников прямо пропорционально времени проводимому ими в соц.сетях.

                                                                          Если нагружать работника/цу нечем — пусть сидит в своих одноклассниках сколько угодно.
                                                                            0
                                                                            Ну и нафига это вообще? Закрывания чего-либо? (Наверняка такие как вы еще и правительство называют плозими словами, когда оно что-либо запрещает или пытается.) Не надо набирать на работу идиотов, которые вместо работы в соц. сетях сидят. А если они свою работу сделали так не все ли равно сидят они там или нет?

                                                                            Про мобильники сказали выше. Глушилки начнете ставить? Нормальные люди с такой работы сразу уйдут и бороться вы будете с оставшимися дебилами (Oh wait! Ведь вы тоже там работаете!).
                                                                            И потом надоо поощрять, а не наказывать.
                                                                              +2
                                                                              а еще идейка — при заходе на вконтакт учитывать трафик пользователя 1к10. или лучше 1к100 ))
                                                                                0
                                                                                неясен конечный результат.
                                                                                Либо вводить квоты, и делать так, чтоб они быстрее заканчивались при походах в соцсети, либо бессмысленно как то получается :)
                                                                                Вот пусть будет пользователь который скачал 100 ГБ «накрученного» трафика с вконтакте — и что с ним делать? наказывать «накрученным» миллионным штрафом? :))
                                                                                  0
                                                                                  конечно вводить квоты. зачем юзерам анлим (даже если анлим дешевый)?
                                                                                  юзеры любят ограничения. а ограниченный юзер лёгок в манипулировании. понимаете, о чём я?
                                                                                0
                                                                                К четвертому методу можно добавить упоминание про рассадник вирусов, коняшек, фишинг и прочую зловредную пакость.
                                                                                  0
                                                                                  Если правильно поиграть с фильтрами анализа страницы, то пожалуй можно более корректно фильтровать страницы вк.
                                                                                    0
                                                                                    Если человек выполняет свою работу при этом пол рабочего дня сидит в соц сети, разве это не его дело? Если он её не выполняет, а пол дня сидит в соц сети, то его надо вызывать на разговоры и сделать пару предупредительных выстрелов, затем уволить. К чему это рабство? Запрещать все отвлекающие и расслабляющие в течении рабочего дня вещи.
                                                                                      0
                                                                                      В подобных случаях поднимал ssh-тунель через свой сервер. 23 пор разработчику всегда открывают без вопросов. В итоге хожу куда хочу, плюс шифрованный трафик. Правда я это поднимал для ICQ и почты по IMAP, которые в часто были закрыты.
                                                                                        0
                                                                                        23 пор=23 порт
                                                                                        0
                                                                                        Я бы предложил рассмотреть лучше причины, почему люди на работе сидят в соц. сетях:

                                                                                        1) Так как в компании слишком длинный рабочий день, а то и задерживаться приходится, некогда даже парой слов с знакомыми людьми перекинуться.
                                                                                        2) Так как работа очень скучная и монотонная, то годится любой способ скоротать время.

                                                                                        Таким образом, если человек сидит на работе вконтакте, у него есть убедительные причины это делать, и бороться с этим бессмысленно и бесчеловечно. А умникам-админам, которые хотят запретить вконтакте, предлагаю для начала запретить себе джаббер, хабр, линукс орг и форчан. Можно и на работе, и дома сразу.
                                                                                          +1
                                                                                          Далеко не всегда админ является инициатором запрета.
                                                                                            0
                                                                                            Админ вообще не должен заниматься вопросами «мотивации» персонала.
                                                                                              0
                                                                                              Да, но шишки всегда валятся на него. «Умник», мол, админ…
                                                                                                +1
                                                                                                какой плохой пистолет! взял меня и застрелил!
                                                                                          +1
                                                                                          Когда я работал в конторе с квотами всё заканчивалось тем что сотрудник прожигал свои квоты в соцсетях и прочей ерунде а потом сидел сложа руки, на вопросы руководства отвечая «а я не могу работать, у меня трафик кончился»
                                                                                            0
                                                                                            И как Вы с этим боролись?
                                                                                            +10
                                                                                            Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт «Одноклассники». Инь Фу Во услышал об этом и нахмурился.
                                                                                            – Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
                                                                                            – Потому что такие сайты не нужны для работы.
                                                                                            – А курить нужно для работы?
                                                                                            – Вообще-то нет…
                                                                                            – А кофе пить?
                                                                                            – Ну…
                                                                                            – Ну тогда, – сказал Учитель, – открой людям доступ.

                                                                                            ©
                                                                                              +2
                                                                                              У одной знакомой на работе очень интересное решение проблемы: статистика каждого индивидуума открыта для отдельно взятого социума.
                                                                                                0
                                                                                                Закрытие соц. сетей можно пережить.
                                                                                                Вот когда начинают закрывать все порты, протоколы, USB-гнезда, вынимают привод, вручают токен и всё это под бесправным пользователем на Win — становится весело. А закрытие соц. сетей можно пережить.

                                                                                                PS: в нашей компании можно всё, чего и вам желаю :)
                                                                                                  0
                                                                                                  Ну, закрытие соцсетей — это бестолковый и неэффективный метод повышения производительности труда, то есть глупость.
                                                                                                  А закрытие портов, USB и прочее — это всё таки вопросы информационной безопасности. Это тоже может быть бестолково и неэффективно, но цель изначально всё таки более, гм, возвышенная.
                                                                                                  0
                                                                                                  за третий метод можно и по лицу получить, если публика мускулистая и неуравновешенная :D
                                                                                                  здоровье — важнее ))
                                                                                                    0
                                                                                                    за третий способ лично я дал бы по мордасам — и это ещё лучшее из того, что могу предложить.
                                                                                                    а мог бы и капнуть куда следует.
                                                                                                      0
                                                                                                      не видел предыдущего камента)
                                                                                                      0
                                                                                                      Начнем с того, что не надо забывать, что системный администратор такой же сотрудник как и все, только обладающий бОльшим уровнем власти, чем рядовые сотрудники. Не надо развивать синдром вахтера, решение по запрету соцсетей должно быть исключительно политическим. А если не хватает трафика вводим квоты+статистику, спасающую от умников спаливший весь трафик в соцсетях, а потом жалующихся директору на плохого админа. Впрочем на тему синдрома вахтера и вообще жизни админа в планктоньем офисе тема отдельного поста.
                                                                                                      А в частности админам на керио вполне удобно пользоваться интелликтуальным веб фильтром по категориям. Тот который ISS OrangeWeb Filter. На соцсети работал вполне стабильно, лишнего не резал.
                                                                                                      Так же для запрета соцсетей можно использовать те методы, которые предлагает автор. Только не заморачиваться с заменой слов и уводом пароля, а заметив данные действия банально редиректить на заглушку.
                                                                                                        +1
                                                                                                        Если посмотреть с другой стороны — зачем люди в рабочее время заходят в социальные сети?

                                                                                                        1. не хотят работать. это в конечном итоге видно по результату.

                                                                                                        2. справляются с работой, остаётся свободное время. в компании нет системы премий, поощряющей перевыполнение плана? тогда при закрытии социалок будут гонять бесконечные чаи, часами курить итп.

                                                                                                        3. для какого-то обмена информацией. утечки информации в плане социалок рассматривать бессмысленно, это слишком глобальная тема. что в этом плохого, даже если обмен не по работе? что плохого если это не отнимает *много* рабочего времени?

                                                                                                          0
                                                                                                          В одном банке стояла такая фича: при входе в любую соц. сеть выводилось несколько диалоговых окон «Уверен, что хочешь туда пойти? — Да\Нет», «А может лучше поработаешь? — Да\Нет», "[фото злого начальника] -Да\Нет".
                                                                                                          Не знаю на чем было реализовано, но определенный эффект дает, да и бесит все время на эти окошки нажимать.

                                                                                                          Не нужно ничего запрещать. Ведете логи, суммируете сколько часов человек просидел в контактике, твиттере, жэжэшечке. Если он начинает плохо работать, проваливать сроки и т.д. — вызываете к начальству, показываете логи, проводите разъяснительную беседу о вреде соц. сетей в рабочее время, в крайнем случае выпиливаете из зарплаты N-ю сумму.
                                                                                                            0
                                                                                                            Чёрт, с самого «Метода первого» яростно и тщетно пытаюсь себе представить «самую недалёкую секретаршу», набирающую слово «анонимайзер» в яндексе…
                                                                                                              +1
                                                                                                              А они ищут не анонимайзер. А по типу «закрыли доступ вконтакте»
                                                                                                              0
                                                                                                              Да не обрушится на меня гнев богов, но как же веселый файлик с именем hosts.etc?
                                                                                                                0
                                                                                                                Применяете метод третий и радостно отправляетесь в места не столь отдаленные по ст. 272 УК РФ, либо платите штраф. Так что советую заранее помимо правила на шлюзе еще заготовить обувь без шнурков и предупредить родственников.

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое