tofra88
Goto Top

Win 10: Nur bestimmte Websites zulassen

Hallo zusammen,

ich habe bereits gegoogelt und hier das Forum durchsucht, zwar habe ich sehr ähnliche Fragestellungen gefunden aber leider helfen diese mir nicht weiter.

Ich würde gerne jeden Websiteaufruf sperren bis auf eine handvoll der von mir festgelegten Sites. Dazu möchte ich Windows Bordmittel verwenden, keine extra Anwendung.
Dies soll aber nur für ein Benutzerkonto gelten - es über die HOST-Datei zu lösen fällt also raus.
Das Benutzerkonto ist ein Standardkonto - also eingeschränkt, kein Admin.

OS ist Windows 10 Home, die Benutzerkonten (der Admin sowie das eingeschränkte Konto um welches es hier geht) sind lokale Konten, keine Microsoft-Konten. Dieses Family-Feature von Microsoft fällt also auch raus, die funktioniert nämlich nur mit MS-Konto.
Da es die Home Version ist, habe ich auch keinen Editor für lokale Gruppenrichtlinien mit dem das gut ginge.
Ich suche letzendlich eine Möglichkeit, alle Sites über zB. über einen Platzhalter zu sperren, und nur 3-4 URL's zu zulassen.

Hintergrund ist - zum besseren Verständnis, ich habe für meinen Sohn ein Konto angelegt, möchte aber das nur ausgewählte URLs, inkl. Unterseiten (htttp://www.beispiel.de/*) aufgerufen werden können.

Wer hat ne' Idee ? face-smile

Gruß Tobi

Content-Key: 296224

Url: https://administrator.de/contentid/296224

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: emeriks
emeriks 14.02.2016 um 18:11:05 Uhr
Goto Top
Hi,
Du könntest einen lokalen Proxy installieren und nur beim Konto Deines Kindes im Browser eintragen. Im Proxy hinterlegst Du dann eine Whitelist mit den erlaubten Seiten.

Jana-Proxy sollte sowas können. Ich weiß nur nicht, ob der unter Windows 10 läuft.

E.
Mitglied: Tofra88
Tofra88 14.02.2016 um 18:17:59 Uhr
Goto Top
Hi emeriks,

danke für deine Antwort, aber ich möchte das gerne über Bordmittel lösen. Das muss doch machbar sein?!

Gruß
Mitglied: emeriks
emeriks 14.02.2016 um 18:21:05 Uhr
Goto Top
Bei angemeldeten Benutzer die IE Sicherheitseinstellungen konfigurieren. Alles als "böse" einstellen und die erlaubten Sites als "vertrauenswürdig" oder "Intranet". Einfach ausgedrückt, schau mal selbst nach.
Mitglied: DerWoWusste
DerWoWusste 14.02.2016 um 18:28:01 Uhr
Goto Top
Hi.

Ein einfacher Weg: arbeite mit verschiedenen Hostdateien.
Lege einen geplanten Task an, der bei Anmeldung dieses Nutzers die Hostsdatei austauscht. Und ein weiterer Task tascht sie wieder zurück bei Abmeldung des Nutzer oder bei Rechnerneustart.
Mitglied: emeriks
emeriks 14.02.2016 um 19:57:27 Uhr
Goto Top
Wie soll das mit der HOSTS gehen? Man müsste die ganzen Welt eintragen (z.B. mit 172.0.0.1). Und dem Client parallel auch den DNS-Server wegnehmen. Oder übersehe ich da was?
Mitglied: Tofra88
Tofra88 14.02.2016 um 21:38:43 Uhr
Goto Top
Meinst Du die Cookie Einstellung oder wo genau?
Daran habe ich aber auch schon gedacht, jedoch möchte der IE gerne eine spezielle Domain, Wildcard wie *.* funktioniert nicht, das nimmt er nicht an.
Mitglied: Tofra88
Tofra88 14.02.2016 um 21:40:48 Uhr
Goto Top
Wie emeriks schon angemerkt hat, die host Datei hält ja nur die gesperrten Seiten. Was ich suche ist ja genau anders herum...
Mitglied: 114757
114757 14.02.2016 aktualisiert um 22:04:01 Uhr
Goto Top
Noch eine Lösung
https://security.berkeley.edu/resources/best-practices-how-articles/web- ...
Beim IE 11 sollte das pac-File aber auf einer http-Seite liegen, da lokale Pfade deprecated sind und per Default ohne Änderungen dort nicht funktionieren.

Da würd ich aber lieber gleich meinen Mikrotik und seinen transparent Proxy oder nen squid zücken wollen, anstatt solche Software-Krücken zu implementieren die jeder mit zwei Klicks umgehen kann..

Gruß jodel32
Mitglied: Tofra88
Tofra88 14.02.2016 um 22:23:47 Uhr
Goto Top
Das wäre schonmal eine Möglichkeit. Allerdings, in der tat - das übersteigt den Aufwand den ich betreiben will. Wenn es keine Möglichkeit gibt welche der Host Datei Lösung ähnelt etc. dann installiere ich am Ende eher ein schnelles Tool.
Das muss ja nichtmal unumgehbar sein, muss nur reichen einen 6-jährigen vom fremdsurfen abzuhalten, da genügt das primitivste.
Wäre für mich selbst einfach mal interessant gewesen, wenn mit Bordmitteln - wie das zu Lösen wäre.
Mitglied: DerWoWusste
Lösung DerWoWusste 14.02.2016, aktualisiert am 15.02.2016 um 14:32:38 Uhr
Goto Top
Irre ich mich, oder könntest du den dns-Servereintrag löschen und dann nur mit der hosts arbeiten? So wäre es doch sehr einfach, einige Seiten zuzulassen.
Mitglied: Deepsys
Deepsys 15.02.2016 um 08:00:25 Uhr
Goto Top
Hi,


Zitat von @Tofra88:
Das muss ja nichtmal unumgehbar sein, muss nur reichen einen 6-jährigen vom fremdsurfen abzuhalten, da genügt das primitivste.
Wäre für mich selbst einfach mal interessant gewesen, wenn mit Bordmitteln - wie das zu Lösen wäre.
Mal abgesehen das ich es besser finde mit den Kindern darüber zu reden, hast du nicht zufällig eine Fritz!Box?
Die hat einen Familienfilter drin.

Lass aber YouTube drin, das spart dir das Video-Streaming von xyz face-wink
Mitglied: Tofra88
Tofra88 15.02.2016 um 08:32:45 Uhr
Goto Top
Zitat von @DerWoWusste:

Irre ich mich, oder könntest du den dns-Servereintrag löschen und dann nur mit der hosts arbeiten? So wäre es doch sehr einfach, einige Seiten zuzulassen.

Alles was ich an der Host verändere, wirkt sich ja auch auf die anderen Benutzerkonten an dem Laptop aus. Dafür müsste ich dann bei jedem Logon die Host Datei austauschen lassen.
Mitglied: Tofra88
Tofra88 15.02.2016 um 08:36:57 Uhr
Goto Top
Zitat von @Deepsys:

Hi,


Zitat von @Tofra88:
Mal abgesehen das ich es besser finde mit den Kindern darüber zu reden, hast du nicht zufällig eine Fritz!Box?
Die hat einen Familienfilter drin.

Lass aber YouTube drin, das spart dir das Video-Streaming von xyz face-wink

Die FritzBox kennt nur Geräte, keine User. Es lässt sich da nicht zwischen Benutzerkonten des Laptops differenzieren.
Mitglied: DerWoWusste
DerWoWusste 15.02.2016 um 08:43:05 Uhr
Goto Top
Dafür müsste ich dann bei jedem Logon die Host Datei austauschen lassen.
Richtig, und ich habe oben beschrieben, wie Du das automatisierst.
Mitglied: Deepsys
Deepsys 15.02.2016 um 09:52:28 Uhr
Goto Top
Zitat von @Tofra88:
Die FritzBox kennt nur Geräte, keine User. Es lässt sich da nicht zwischen Benutzerkonten des Laptops differenzieren.
Müsste aber gehen:
Dann bekommt eben jeder User seine eigene IP (Recht Netzwerkadministrator oder so + Script im AutoStart)
Mitglied: Tofra88
Tofra88 15.02.2016 um 10:07:43 Uhr
Goto Top
Zitat von @DerWoWusste:

Dafür müsste ich dann bei jedem Logon die Host Datei austauschen lassen.
Richtig, und ich habe oben beschrieben, wie Du das automatisierst.

Keine Ahnung ob ich jetzt auf dem Schlauch stehe, aber die Host Datei kann ich doch nur für Blacklisting verwenden an der Stelle?
Ich möchte ja alle Internetseiten sperren, bis auf 2-3 Ausnahmen.
Kannst Du mir genauer erläutern wie Du das meinst?
Mitglied: DerWoWusste
DerWoWusste 15.02.2016 um 10:30:52 Uhr
Goto Top
Blacklisting?
Ich schrieb doch: wenn Du den DNS-Servereintrag löscht, kommt der Rechner nirgendwohin ohne die Hosts. Und dort schreibst Du dann die Namen und IPs der wenigen zugelassenen Seiten rein. Teste mal.
Mitglied: Tofra88
Tofra88 15.02.2016 um 12:27:11 Uhr
Goto Top
Zitat von @DerWoWusste:

Blacklisting?
Ich schrieb doch: wenn Du den DNS-Servereintrag löscht, kommt der Rechner nirgendwohin ohne die Hosts. Und dort schreibst Du dann die Namen und IPs der wenigen zugelassenen Seiten rein. Teste mal.

Okay, das hat funktioniert. Danke!
Habe den DNS auf 127.0.0.1 gestellt und die Host angepasst. Soweit so gut.
Vereinzelte Websites werden allerdings nun nicht korrekt oder auch unvollständig angezeigt (keine Grafiken, alles wirr untereinander), sodass die Nutzung der Website nicht möglich ist. "Administrator.de" z.B. funktioniert einwandfrei, "web.de" hingegen wie grade beschrieben.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.02.2016 um 12:47:09 Uhr
Goto Top
Moin,

Mit Bordmitteln ist das nicht sinnvoll möglich. Mein Vorschlag:

Besorg Dir einen raspberry odwre einen anderen kleinen rechner, den Du als Proxy zwischen deiner Kiste und den Router hängst. da machst Du dann einen PÜroxy druaf, der Benutzerauthentifikation unterstützt und machst dann user-spezifische Regeln drauf. Es gibt sogar fertie Appliances, die das können.

lks
Mitglied: DerWoWusste
DerWoWusste 15.02.2016 aktualisiert um 12:56:53 Uhr
Goto Top
Vereinzelte Websites werden allerdings nun nicht korrekt oder auch unvollständig angezeigt
Klar, denn die ganze Werbung fehlt, die wird ja extern gehostet. Das wirst Du nicht vermeiden können, es sei denn Du hast Lust, stets zu analysieren, welche Domains das sind und diese auch zu whitelisten.
Mitglied: Tofra88
Tofra88 15.02.2016 um 14:36:02 Uhr
Goto Top
Danke an DerWoWusste, ich habe es jetzt auf diese Weise automatisiert.

Folgende Batch lege ich nun als Logon-Task in die Accounts

IF "%USERNAME%" == "Gast" GOTO BLOCKIEREN

netsh interface ipv4 set dnsserver "Drahtlosnetzwerkverbindung" static 192.168.1.1 PRIMARY
COPY C:\hosts\Normal\hosts %systemroot%\system32\drivers\etc /y
GOTO ENDE

:BLOCKIEREN
netsh interface ipv4 set dnsserver "Drahtlosnetzwerkverbindung" static 127.0.0.1 PRIMARY
COPY C:\hosts\Gast\hosts %systemroot%\system32\drivers\etc /y
:ENDE
exit
Mitglied: DerWoWusste
DerWoWusste 15.02.2016 um 14:58:23 Uhr
Goto Top
Wird nur klappen, wenn der Nutzer Admin ist und gleichzeitig die UAC aus.
Nimm meinen Ansatz mit den Tasks.