Jedini siguran nacin da blokiras pristup bilo kom sajtu je na tacki gde se tvoj LAN konektuje na WAN. Dakle, ili direktno na samom ruteru, ili ubacis proxy izmedju rutera i ostatka mreze. DNS je samo privremeno resenje, jer svako ko zna IP adresu FB-a mozda da zaobidje tvoje preusmeravanje na DNS-u. Isto bi bilo i da recimo preko logon skripte iz polise svima iskopiras hosts fajl koji bi sadrzao preusmerenje za odredjene domene - svako ko zna IP adresu mogao bi nesmetano da koristi vecinu tih sajtova.
Ono sto mozes uraditi preko polisa je da recimo zabranis promene Trusted i Restricted zona u IE ili promene proxy-ja (naravno, ovo vazi samo ako svi koriste IE), i slicne zezalice, ali se sve takve intervencije svode na to da ces uvek naleteti na nekoga ko ume bolje da zaobidje prepreke nego sto ti umes da ih postavis, ili ces stalno biti u nekom procepu jer si zakljucao nesto sto ipak treba nekome za normalan rad, a nekom drugom omogucava da uhakuje tvoje barijere.
Postoji jos jedno resenje - neki korporativni AV paketi imaju mogucnost blokiranja pokretanja odabranog softvera i pristupa nekim sajtovima, i to se ostvaruje pomocu polisa vezanih za taj specificni AV softver, a posto se sve podesava sa centralne konzole tu obicni korisnici najcesce nemaju mogucnost bilo sta da podesavaju. Naravno, ovde firma mora da se iskesira za takav sistem, i mora biti instaliran na svim klijentima.
Moj predlog ti je - ako firma ima para, onda ubacis ISA server iza rutera, ako ti ne daju pare onda na to mesto ubaci neku Linux masinu i poteraj Squid na njoj. Ja sam konkretno radio sa ISA-om, pa ako ti zatreba pomoc oko konfigurisanja, tu sam.