Este manual le mostrará cómo bloquear el acceso a Internet de un usuario, usuarios o equipo dentro de un Objeto de Directiva de grupo de Active Directory. He probado esto en Windows 7 y Windows 10 y funciona muy bien!
Hay muchos tutoriales que detallan una forma de bloquear el acceso a través de la aplicación de un proxy inexistente. Este método funcionará para algunas cosas, pero el problema no es que todo el software necesariamente use esta configuración para conectarse a Internet y no necesariamente detenga a un usuario determinado o a un tipo malo.
Actualización 1 de febrero de 2019-Gracias a Lou y Peter por señalar los errores en la publicación que podrían entrar en conflicto con la operación DHCP. Gracias a los dos!
Este tutorial sugiere usar Firewall de Windows administrado a través de Active Directory para bloquear todas las direcciones IP de Internet, además de aplicar un proxy inexistente. Estas tecnologías vienen incorporadas con ventanas.
Si no hicimos ambas cosas, entonces podría existir un proxy en su red en los rangos de IP privados (que están permitidos) y, por lo tanto, tener actividad en Internet. Puede aplicar esta directiva de grupo a usuarios individuales o unidades organizativas completas como mejor le parezca y funcionará bien en todos los dispositivos.
Tenga cuidado, aunque con Firewall de Windows el orden de las reglas en realidad no importa, las acciones de bloque tendrán prioridad sobre las reglas de permitir. Por lo tanto, estamos bloqueando todos los rangos de IP no privados, en otras palabras, estamos bloqueando la totalidad de las direcciones IP en Internet en general y ni siquiera especificando los rangos privados RFC 1918 y RFC 5735.
La versión breve
Crear una directiva de firewall de Windows y especificar estos rangos de direcciones IP en una regla de BLOQUE:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
Y crear un proxy inexistente también para una buena medida y evitar que los usuarios cambien esta configuración.
GPO de firewall de Windows
Edite su Directiva de grupo como lo haría normalmente y elija una unidad organizativa pertinente para aplicar su nueva directiva:
Dale un nombre razonable y haz clic en Aceptar:
Y, a continuación, en la pantalla de la derecha, edite el GPO que acaba de crear:
A continuación, vaya a Directivas – Configuración de Windows-Configuración de seguridad-Firewall de Windows con Seguridad avanzada-Reglas de salida:
En el panel de la derecha, haga clic derecho y seleccione » Nueva regla…»:
En el cuadro que aparece, seleccione una «Regla personalizada» y luego haga clic en Siguiente:
Deje el valor predeterminado como «Todos los programas» y haga clic en Siguiente:
Deje los valores predeterminados como «Cualquier» protocolo y haga clic en Siguiente:
En la siguiente pantalla es donde agregaremos la mayoría de nuestras configuraciones, en «direcciones IP remotas» seleccione «Estas direcciones IP» y haga clic en»Agregar»:
En la siguiente ventana emergente, desearemos agregar algunos rangos de IP, así que haga clic en «Este rango de IP» e ingrese esto como el rango 0.0.0.1-9.255.255.255, así como:
Tendrá que repetir los dos pasos anteriores para agregar los siguientes rangos de IP (la lista de abajo contiene el de arriba, por cierto, por lo que no necesita agregarlo dos veces!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
Cuando haya terminado con esa lista, debería tener una pantalla que se vea como la siguiente, si está contento, haga clic en «Siguiente»:
En la siguiente pantalla, asegúrese de que la acción esté resaltada como «Bloquear» y haga clic en «Siguiente»:
En el perfil, es posible que desee dejar todas estas ubicaciones marcadas y luego haga clic en «Siguiente»:
Dale un nombre razonable a la regla y haz clic en»Finalizar»:
Configuración de Internet GPO
A continuación, tendremos que configurar el proxy falso según la mayoría de los consejos que existen con respecto a tales cosas. Sin embargo, es posible que tenga que descargar el paquete de administración de IE primero.
Vaya a Configuración de usuario-Preferencias – Configuración del Panel de Control-Configuración de Internet y haga clic con el botón derecho en Crear una nueva configuración en el panel derecho.
A continuación, haga clic en Conexiones y luego en Configuración de LAN:
En el cuadro que aparece, marque la casilla » Usar un servidor proxy para su LAN «y en el cuadro de dirección escriba» 127.0.0.1 «en el puerto» 3128″, al igual que esto, y luego presione Ok y Ok de nuevo para volver a la pantalla principal de GPO.
A continuación, dentro de nuestro GPO, vaya a Configuración de usuario – Plantillas administrativas – Componentes de Windows – Internet Explorer.
En el lado derecho, desea encontrar la opción que dice «Deshabilitar el cambio de configuración de conexión», cuando la haya encontrado, ábrala haciendo doble clic:
Habilite esta configuración y haga clic en Aceptar.
¡Cierra todas las ventanas de GPO y listo!