几种简单的限制QQ、MSN的方法<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
限制
QQ
、
MSN
其实是有很多方法的,如利用限制名称、利用
ISA
的
HTTP
的过滤功能、利用组策略等等下面我们来展示几种简单的限制MSN的方法
环境:
beijing
是
ISA
服务器,
Denver
是域
contoso.com
的域控制器,
firence
是域内的客户机并装有
MSN
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
我们先用最简单的限制名称来限制一下
这种方法
beijing
应该是域的成员,或者域内有
Radius
服务器以便后来做身份验证
这种方法前提是客户机必须使用防火墙客户端代理上网
首先要让客户机不能利用
web
代理和
SNAT
代理,操作是
在
beijing
上
依次点击
开始-程序-
Microsoft ISA Server
-
ISA
服务器管理,在配置
—
网络中右击内部属性,如图勾掉
web
代理
这样客户机不能使用
web
代理了,我们再利用
SNAT
不能进行身份验证的弱点不让用户使用
SNAT
在设置的策略中关于允许上网的策略的用户标签下更改成通过身份验证的用户
然后在配置
—
常规下点击“定义防火墙客户端配置”
切换到应用程序标签下点击新建将应用程序禁止应用程序写
msnmsgr
注意不要加
.exe,
键是
disable
值是
1
这样就禁止了应用程序名为
msnmsgr
的程序
这样做显然有很大的缺点只要客户机
firence
将
msn
的应用程序名称一改这种方法就不灵了
下面我们来利用防火墙策略来限制
msn
这样做的前提是知道
msn
服务器的
ip
地址
,
最简单的方法是上网查一查
,
不放心的话也可以自己用抓包器来抓一下
,
抓包器用
windows
自带的管理工具下的网络监视器也行
,
推荐使用
Ethereal
我们也可以用网络监视器抓用
Ethereal
来分析
方法是先禁用网卡
----
开始抓包
----
登陆
msn
为方便起见本人在网上查了一下
msn
服务器的
ip
是
65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
QQ
服务器的
ip
是
202.104.128.233
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
用这种方法限制
QQ
比较麻烦
ip
那么多好在只是时间问题
我们在
ISA
的工具箱中找到网络对象新建一个计算机集
点击添加选计算机将刚刚查到的
ip
全部写入
这时,再新建一条访问规则
先取个名字
规则是拒绝
协议选所有出站协议
规则源是内部
目标是刚刚写入的
MSN
服务器的计算机集
用户选所有用户
检查一下完成创建
应用后计算机就不能访问
msn
的服务器了
但是这种方法也不能从根本上解决问题,因为客户机登陆
msn
服务器时除了直接登陆外还可以用代理服务器登录,这时我们就要用
HTTP
的过滤功能中的签名来限制了签名是
HTTP
数据包中有规律出现的特征数据
我们要找出
MSN
客户端通过代理服务器访问
MSN
服务器时的特征数据,依靠这个来封掉
MSN
在允许上网的用户策略上右击选择配置
HTTP
切换到“头”标签下添加查找范围请求头值为
User-Agent
这样就可以阻止这个请求头
在签名的标签下点击添加输入如图的数据
查找范围是“请求头”,
HTTP
头是“
User-Agent
”,签名内容是“
MSMSGS
”。
查找签名可以在微软网站上也可以通过抓包工具来获取
这是利用签名来限制
MSN
这种方法也并不是万无一失的如果客户机把请求加了密或者封装成了
ftp
的格式这种方法也是无能为力的
我们也可以在域控制器上利用组策略来限制做法是
在域控制器
Denver
上开始
—
程序
—
管理工具
—AD
站点和服务在站点上右击属性
在组策略标签下新建个策略然后点击编辑
在
windows
设置下的安全设置下找到软件限制策略
,
打开后在其他规则上右击选择新建哈希规则
点击浏览查找
msn
对应的程序打开
这时会出现如图所示的内容
确定之后就可以了用了这个方法后本版本的
msn
一定会不能用了
介绍的这几种方法基本上可以限制一般的用户了
转载于:https://blog.51cto.com/tancom1015/129707