To vám ukáže, jak blokovat přístup k internetu pro uživatele, uživatele nebo počítač v rámci objektu Zásady skupiny služby Active Directory. Testoval jsem to na Windows 7 a Windows 10 a funguje to skvěle!
existuje spousta výukových programů, které podrobně popisují způsob, jak blokovat přístup, prostřednictvím vynucování neexistujícího proxy. Tato metoda bude fungovat pro některé věci, ale problém není v tom, že veškerý software nutně používá tato nastavení pro připojení k internetu a nemusí nutně zastavit odhodlaného uživatele nebo padoucha.
aktualizace 1 únor 2019-díky Lou a Peterovi za poukazování na chyby v příspěvku, které by mohly být v rozporu s provozem DHCP. Děkuji vám oběma!
tento výukový program navrhuje použití brány Firewall systému Windows spravované prostřednictvím služby Active Directory k blokování všech internetových IP adres navíc k vynucení neexistujícího serveru proxy. Tyto technologie jsou vestavěné s okny.
pokud bychom neudělali obojí, pak by proxy mohl existovat ve vaší síti v soukromých rozsazích IP (které jsou povoleny), a proto mají internetovou aktivitu. Tuto skupinovou politiku můžete použít na jednotlivé uživatele nebo na celé ou, jak uznáte za vhodné, a bude fungovat dobře na všech zařízeních.
buďte opatrní ačkoli s bránou Firewall systému Windows na pořadí pravidel nezáleží, blokové akce budou mít přednost před pravidly povolit. Proto blokujeme všechny nesoukromé rozsahy IP, jinými slovy blokujeme celou IP adresu na širším internetu a ani nespecifikujeme soukromé rozsahy RFC 1918 a RFC 5735.
stručná verze
Vytvořte zásady brány Firewall systému Windows a zadejte tyto rozsahy adres IP v pravidle bloku:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
a vytvořit neexistující proxy příliš pro dobrou míru a zastavit uživatele od změny tohoto nastavení.
Windows Firewall GPO
upravte Zásady skupiny tak, jak obvykle, a vyberte příslušnou OU pro uplatnění nových zásad:
dejte mu rozumné jméno a klikněte na ok:
a pak na obrazovce vpravo upravte GPO, který jste právě vytvořili:
dále přejděte na zásady-nastavení systému Windows – Nastavení Zabezpečení-Brána Firewall systému Windows s pokročilým zabezpečením-odchozí pravidla:
na panelu vpravo klikněte pravým tlačítkem a vyberte „Nové pravidlo…“:
v poli, které se objeví, Vyberte „vlastní pravidlo“ a poté klikněte na další:
ponechte výchozí hodnotu jako „všechny programy“ a klikněte na další:
ponechte výchozí hodnoty jako“ libovolný „protokol a klikněte na další:
na této další obrazovce přidáme většinu našich nastavení, v části „vzdálené adresy IP „vyberte“ tyto adresy IP „a klikněte na „Přidat“:
V dalším vyskakovacím okně budeme chtít přidat některé rozsahy IP, takže klikněte na „tento rozsah IP“ a zadejte jej jako rozsah 0.0.0.1-9.255.255.255, stejně jako tento:
Chcete-li přidat následující rozsahy IP, budete muset opakovat dva výše uvedené kroky (níže uvedený seznam obsahuje mimochodem výše uvedený seznam, takže jej nemusíte přidávat dvakrát!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
až budete hotovi s tímto seznamem, měli byste mít obrazovku, která vypadá jako následující, pokud jste šťastní, klikněte na „další“:
na další obrazovce se ujistěte, že je akce zvýrazněna jako „blokovat“ a klikněte na „další“:
pod profilem můžete chtít nechat všechna tato místa zaškrtnutá a poté kliknout na „další“:
dejte pravidlu rozumné jméno a klikněte na“Dokončit“:
nastavení Internetu GPO
dále budeme muset nastavit falešný proxy podle většiny rad tam ohledně takových věcí. Možná budete muset nejprve stáhnout balíček IE admin pack.
přejděte do Konfigurace uživatele-Předvolby – Nastavení ovládacího panelu-Nastavení Internetu a klikněte pravým tlačítkem na Vytvořit nové nastavení v pravém panelu.
poté klikněte na připojení a poté na nastavení LAN:
v poli, které se objeví, zaškrtněte políčko „Použít proxy server pro vaši LAN „a do pole Adresa zadejte“ 127.0.0.1 „na portu „3128“, a poté stiskněte Ok a Ok znovu se vraťte na hlavní obrazovku GPO.
dále v rámci našeho GPO přejděte do Konfigurace uživatele-Šablony pro správu-Součásti systému Windows-Internet Explorer.
na pravé straně chcete najít možnost, která zní „zakázat změnu nastavení připojení“, když jste ji našli, otevřete ji dvojitým kliknutím:
povolte toto nastavení a klikněte na Ok.
zavřete všechna okna GPO a máte hotovo!