1

Scripts para Bloquear Sites e Domínios no ISA Server

Introdução

Este artigo tem como objetivo fornecer as instruções passo a passo para a criação de script´s os quais irão adicionar no ISA Server uma lista de sites e domínios a serem bloqueados.

O Microsoft Internet Security & Acceleration (ISA) Server 2004 ou 2006, oferece uma solução completa para fornecer acesso entre a rede corporativa e a Internet. O ISA Server é um firewall de camada de aplicação e inspeção avançada de pacotes, um servidor de rede privada virtual (VPN) e uma solução de cache Web que permite aos clientes maximizarem facilmente os investimentos em TI aumentando a segurança e o desempenho da rede.

A maioria das empresas que tem acesso a Internet controla ou pelo menos tenta controlar o que os usuários estão acessando. Essa é uma das grandes dificuldades que os administradores encontram no seu dia-a-dia. Através de um relatório semanal ou mensal do ISA Server, você poderá descobrir os sites mais acessados e junto com a diretoria da sua empresa vocês poderão definir quais sites devem ser bloqueados. Com isso, a produtividade dos clientes da sua empresa aumentará e os riscos causados por sites que contaminam os computadores clientes com vírus e worms diminuirão.

Criando um script para adicionar automaticamente um a lista de Sites Bloqueados

Usando o script abaixo, você poderá criar uma lista de sites que precisam ser bloqueados e automaticamente ele será adicionado no URL Sets do ISA Server 2004.

1. Abra o Notepad. Será carregada a janela conforme mostra a figura 1.1.

Figura 1.1

2. Copie o código abaixo e cole dentro do Notepad.

Set Isa = CreateObject("FPC.Root")

Set CurArray = Isa.GetContainingArray

Set RuleElements = CurArray.RuleElements

Set URLSets = RuleElements.URLSets

Set URLSet = URLSets.Item("SitesBloqueados")

Set FileSys = CreateObject("Scripting.FileSystemObject")

Set UrlsFile = FileSys.OpenTextFile("SitesBloqueados.txt", 1)

2

For i = 1 to URLSet.Count

URLSet.Remove 1

Next

Do While UrlsFile.AtEndOfStream <> True

URLSet.Add UrlsFile.ReadLine

Loop

WScript.Echo " Processando..."

CurArray.Save

WScript.Echo "Os sites foram adicionadas com sucesso!!!"

-----------------------------------------------------------------------------------------------------

3. Clique no menu File e selecione a opção Save. Será carrega a janela conforme mostra a figura 1.2.

Figura 1.2

4. No campo File name digite ScriptSitesBloquedos.vbs e no campo Salve as type altere para All Files,

e em seguida clique no botão Save.

5. Feche o Notepad.

6. Abra o ISA Server Management. Será carrega a janela conforme mostra a figura 1.3.

3

Figura 1.3

7. Selecione o Nó Firewall Policy e no painel da direita clique na guia Toolbox. Será carrega a janela

conforme mostra a figura 1.4.

Figura 1.4

8. Em Network Objects selecione URL Sets e clique com o botão direito do mouse e escolha a opção

New URL Set... Será carrega a janela conforme mostra a figura 1.5.

4

Figura 1.5

9. No campo Name digite SitesBloqueados (conforme foi definido na seguinte linha do script Set

URLSet = URLSets.Item("SitesBloqueados") ), e clique no botão OK.

10. Clique no botão Apply para salvar as alterações e atualizar as configurações no ISA Server 2004.

Será carregada uma caixa de diálogo como mostra à figura 1.6.

Figura 1.6

11. A caixa de diálogo Apply New Configuration, informa que as alterações para a configuração foram

aplicadas com sucesso. Clique no botão OK para fechar a caixa de diálogo.

12. Abra o Notepad e adicione os sites que você deseja bloquear. Em nosso exemplo iremos bloquear

os sites abaixo (apenas para fins de exemplo):

http://www.playboy.com.br

http://www.sexyclube.com.br

http://www.orkut.com

http://www.mercadolivre.com.br

http://www.theblog.com.br

http://blog.uol.com.br

5

http://www.gmail.com

Nota: Não deixe espaços em branco após a url e nem na última linha para que o script possa ler e

interpretar as urls adicionadas.

13. Salve o arquivo com o nome SitesBloqueados.txt (conforme foi definido na seguinte linha do script

Set UrlsFile = FileSys.OpenTextFile("SitesBloqueados.txt", 1) ), e fecha o Notepad.

14. Dê um clique duplo no arquivo ScriptSitesBloquedos.vbs para executar o script. Será carregada

uma caixa de diálogo como mostra à figura 1.7.

Figura 1.7

15. Clique no botão OK. Será carregada uma caixa de diálogo como mostra à figura 1.8.

16. Clique no botão OK.

17. Na console do ISA Server 2004, em URL Sets selecione SitesBloqueados e clique com o botão

direito do mouse e escolha a opção Properties. Será carregada uma caixa de diálogo como mostra

à figura 1.9.

Figura 1.9

Nota: Como você pode ver os sites foram adicionadas automaticamente dentro do grupo SitesBloqueados.

Até este ponto nós somente criamos o script para automatizar a adição dos sites que serão bloqueados

através de um novo Access Rule.

6

Criando um script para adicionar automaticamente uma lista de Domínios Bloqueados

Usando o script abaixo, você poderá criar uma lista de domínios que precisam ser bloqueados e automaticamente ele será adicionado no Domain Name Sets do ISA Server 2004.

18. Abra o Notepad.

19. Copie o código abaixo e cole dentro do Notepad.

-----------------------------------------------------------------------------------------------------

Set Isa = CreateObject("FPC.Root")

Set CurArray = Isa.GetContainingArray

Set RuleElements = CurArray.RuleElements

Set DomainNameSets = RuleElements.DomainNameSets

Set DomainNameSet = DomainNameSets.Item("DominiosBloqueados")

Set FileSys = CreateObject("Scripting.FileSystemObject")

Set DomainsFile = FileSys.OpenTextFile("DominiosBloqueados.txt", 1)

For i = 1 to DomainNameSet.Count

DomainNameSet.Remove 1

Next

Do While DomainsFile.AtEndOfStream <> True

DomainNameSet.Add DomainsFile.ReadLine

Loop

WScript.Echo "Processando..."

CurArray.Save

WScript.Echo " Os domínios foram adicionadas com sucesso!!!"

-----------------------------------------------------------------------------------------------------

20. Clique no menu File e selecione a opção Save. Será carregada a janela conforme mostra a figura

1.10.

Figura 1.10

21. No campo File name digite ScriptDominiosBloquedos.vbs e no campo Salve as type altere para All

Files, e em seguida clique no botão Save.

7

22. Feche o Notepad.

23. Abra o ISA Server Management.

24. Selecione o Nó Firewall Policy e no painel da direita clique na guia Toolbox.

25. Em Network Objects selecione Domain Name Sets e clique com o botão direito do mouse e escolha

a opção New Domain Name Sets... Será carrega a janela conforme mostra a figura 1.11.

Figura 1.11

26. No campo Name digite DominiosBloqueados (conforme foi definido na seguinte linha do script Set

DomainNameSet = DomainNameSets.Item("DominiosBloqueados") ), e clique no botão OK.

27. Clique no botão Apply para salvar as alterações e atualizar as configurações no ISA Server 2004.

Será carregada uma caixa de diálogo como mostra à figura 1.12.

Figura 1.12

28. A caixa de diálogo Apply New Configuration, informa que as alterações para a configuração foram

aplicadas com sucesso. Clique no botão OK para fechar a caixa de diálogo.

29. Abra o Notepad e adicione os domínios que você deseja bloquear. Em nosso exemplo iremos

bloquear os domínios abaixo:

8

*hotmail.com

*login.passport.net

*yahoo.com

*bol.com.br

*pop.com.br

Nota: Não deixe espaços em branco após o nome do domíniol e nem na última linha para que o script possa

ler e interpretar os domínios adicionados.

30. Salve o arquivo com o nome DominiosBloqueados.txt (conforme foi definido na seguinte linha do

script Set DomainsFile = FileSys.OpenTextFile("DominiosBloqueados.txt", 1) ), e fecha o Notepad.

31. Dê um clique duplo no arquivo ScriptDominiosBloquedos.vbs para executar o script. Será carregada

uma caixa de diálogo como mostra à figura 1.13.

Figura 1.13

32. Clique no botão OK. Será carregada uma caixa de diálogo como mostra à figura 1.14.

Figura 1.14

33. Clique no botão OK.

34. Na console do ISA Server 2004, em Domain Name Sets selecione DominioBloqueados e clique com

o botão direito do mouse e escolha a opção Properties. Será carregada uma caixa de diálogo como

mostra à figura 1.15.

9

Nota: Como você pode ver os domínios foram adicionados automaticamente dentro do grupo

DominiosBloqueados. Até este ponto nós somente criamos o script para automatizar a adição dos domínios

que serão bloqueados através de um novo Access Rule.

Criando um Access Rule para Bloquear os Sites e Domínios

35. Com o nó Firewall Policy selecionado, no painel da direita no Firewall Policy Tasks, clique em

Create New Access Rule. Será carregada uma caixa de diálogo como mostra a figura 1.16.

Figura 1.16

36. Na caixa de diálogo Welcome to the New Access Rule Wizard, no campo de texto Access rule

name: digite o nome do Access Rule, o qual irá bloquear os sites e os domínios proibidos pela sua empresa.

No nosso exemplo, o nome será Bloqueando Sites e Domínios. Clique em Next para continuar. Será

carregada a caixa de diálogo como mostra a figura 1.17.

10

Figura 1.17

37. Por default, a caixa de diálogo Rule Action vem com a opção Deny selecionada. Mantenha a opção

Deny selecionada e clique no botão Next para continuar. Será carregada a caixa de diálogo como mostra a

figura 1.18.

Figura 1.18

38. Na caixa de diálogo Protocols, você configura quais protocolos este Access Rule se aplica. Você

tem três opções dentro do This rule applies to: na lista drop-down:

All outbound protocols: Se você escolher está opção, o Access Rule será aplicado para todos os

protocolos.

Selected protocols: Se você escolher está opção, você terá que especificar os protocolos que serão

utilizados no Access Rule.

11

All outbound protocols except selected: Se você escolher está opção, você poderá selecionar os

protocolos que farão parte da exceção da regra. Por exemplo, você poderá criar uma regra que

permite todos os protocolos exceto os protocolos ICMP, SMTP, e POP3.

39. Selecione a opção Selected protocols.

40. Clique no botão Add. Será carregada a caixa de diálogo como mostra a figura 1.19.

Figura 1.19

Nota: Na caixa de diálogo Add Protocols você tem uma lista separada por categoria dos protocolos mais

comuns utilizados.

41. Selecione a categoria Web e expanda clicando no sinal de mais.

42. Selecione o protocolo HTTP e clique em Add. Faça o mesmo procedimento para o protocolo

HTTPS.

43. Clique no botão Close para fechar a caixa de diálogo Add Protocols. A caixa de diálogo Protocols

ficará semelhante à figura 1.20.

12

Figura 1.20

44. Clique em Next para continuar. Será carrega a caixa de diálogo como mostra à figura 1.21.

Figura 1.21

45. Na caixa de diálogo Access Rule Sources, você irá especificar qual será a origem do tráfego. Clique

no botão Add para adicionar o objeto de rede ou objetos que você quer adicionar como o tráfego de origem

para essa regra. Será carregada uma caixa de diálogo como mostra a figura 1.22.

13

Figura 1.22

46. Selecione o objeto Networks e expanda clicando no botão de sinal de mais.

47. Selecione a opção Internal e clique no botão Add.

48. Clique no botão Close para fechar a caixa de diálogo Add Network Entities. A caixa de diálogo

Access Rule Sources ficará semelhante à figura 1.23.

Figura 1.23

Nota: A rede Internal corresponde à rede que foi definida na instalação do ISA Server 2004.

49. Clique em Next para continuar. Será carrega a caixa de diálogo como mostra à figura 1.24.

14

Figura 1.24

50. Na caixa de diálogo Access Rule Destinations, você irá especificar qual será o destino do tráfego.

Clique no botão Add para adicionar o objeto de rede ou objetos que você quer adicionar como o tráfego de

destino para essa regra. Será carregada uma caixa de diálogo como mostra a figura 1.25.

Figura 1.25

51. Selecione o objeto URL Sets e expanda clicando no botão de sinal de mais.

Selecione a opção SitesBloqueados e clique no botão Add.

Selecione o objeto Domain Name Sets e expanda clicando no botão de sinal de mais.

15

Selecione a opção DominiosBloqueados e clique no botão Add.

Clique no botão Close para fechar a caixa de diálogo Add Network Entities. A caixa de diálogo

Access Rule Destinations ficará semelhante à figura 1.26.

Figura 1.26

52. Clique em Next para continuar. Será carrega a caixa de diálogo como mostra à figura 1.27.

Figura 1.27

16

53. Na caixa de diálogo User Sets, você configura quais usuários irão receber este Access Rule. Se

você quer bloquear uma lista de sites e domínios proibidos pela sua empresa para todos os usuários, você

pode deixar o grupo de usuários All Users e clicar em Next para continuar. Agora se você quer aplicar para

usuários específicos, selecione All Users e clique no botão Remove. Em seguida clique no botão Add para

abrir a caixa de diálogo Add Users, da qual você poderá adicionar o grupo de usuários para está regra em

especifico. Em nosso exemplo iremos bloquear os sites e domínios proibidos para todos os usuários. Clique

em Next para continuar. Será carrega a caixa de diálogo como mostra à figura 1.28.

Figura 1.28

54. Na caixa de diálogo Completing the New Access Rule Wizard, clique no botão Finish para concluir a

criação do novo Access Rule. Clique no botão Apply para salvar as alterações e atualizar as configurações

no ISA Server 2004. Será carregada uma caixa de diálogo como mostra à figura 1.29.

Figura 1.29

55. Abra o Internet Explorer em uma estação de trabalho e tente acessar os sites e domínios que foram

bloqueados. Será carregada uma janela conforme mostra a figura 1.30.

17

Figura 1.30

56. Conforme novos sites e domínios que precisam ser bloqueados surgirem é só adicionar o site ou o

domínio no arquivo txt e executar novamente o script.