Miten estää Internet-yhteys Ryhmäkäytännöllä (GPO)

tämä miten näyttää kuinka estää käyttäjän, käyttäjien tai tietokoneen internet-yhteys Active Directory-Ryhmäkäytäntöobjektissa. Olen testannut tätä Windows 7 ja Windows 10 ja se toimii hyvin!

on paljon tutorials siellä yksityiskohtaisesti tapa estää pääsy on valvomalla olematon välityspalvelimen. Tämä menetelmä toimii joitakin asioita, mutta ongelma ei ole kaikki ohjelmistot välttämättä käyttää näitä asetuksia yhteyden Internetiin ja ei välttämättä lopeta määritetty käyttäjä tai pahis.

Update 1 Feb 2019 – Kiitos Loulle ja Peterille siitä, että he huomauttivat viestissä olevista virheistä, jotka voivat olla ristiriidassa DHCP: n toiminnan kanssa. Kiitos teille molemmille!

tämä opetusohjelma ehdottaa, että Active Directoryn kautta hallittua Windowsin palomuuria käytetään estämään kaikki Internetin IP-osoitteet olemattoman välityspalvelimen lisäksi. Nämä teknologiat ovat sisäänrakennettu Windows.

jos emme tee molempia, välityspalvelin voi olla verkossa yksityisillä IP-alueilla (jotka ovat sallittuja) ja siten olla internet-toimintaa. Voit soveltaa tätä ryhmäkäytäntöä yksittäisiin käyttäjiin tai koko OUs: iin sopivaksi katsomallasi tavalla ja se toimii hyvin kaikilla laitteilla.

ole varovainen, vaikka Windowsin palomuurissa sääntöjärjestyksellä ei ole oikeastaan väliä, Block-toimet ovat etusijalla sallittuihin sääntöihin nähden. Siksi estämme kaikki ei-Yksityiset IP-alueet, toisin sanoen estämme IP-osoitteiden koko käytön laajemmassa internetissä, emmekä edes määrittele yksityisiä RFC 1918-ja RFC 5735-alueita.

lyhyt versio

luo Windowsin Palomuurikäytäntö ja määritä nämä IP-osoitealueet LOHKOSÄÄNNÖSSÄ:

0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254

ja luo myös olematon välityspalvelin hyvälle mittaukselle ja estä käyttäjiä muuttamasta tätä asetusta.

Windows Firewall GPO

muokkaa Ryhmäkäytäntöäsi kuten yleensä, ja valitse asianmukainen OU soveltaaksesi uutta käytäntöäsi:

anna sille järkevä nimi ja klikkaa ok:

ja sitten näytön oikealle muokata GPO olet juuri luonut:

siirry seuraavaan kohtaan Policies-Windows Settings-Security Settings – Windows Firewall with Advanced Security-Outbound Rules:

paneelissa oikealla, oikealla klikkaa ja valitse ” uusi sääntö…”:

valitse ”Mukautettu sääntö” ja valitse sitten Seuraava:

jätä oletusarvo ”Kaikki ohjelmat” ja valitse Seuraava:

jätä oletusarvot ”mikä tahansa” protokollaksi ja valitse Seuraava:

tämä seuraava näyttö on, jos aiomme lisätä suurimman osan asetuksistamme, alla ”kauko-IP-osoitteet ”valitse” nämä IP-osoitteet ”ja valitse”Lisää”:

seuraavassa popup haluamme lisätä joitakin IP-alueita, joten klikkaa ”tämä IP-alue” ja kirjoita tämä alue 0.0.0.1-9.255.255.255, aivan kuten tämä:

sinun täytyy toistaa kaksi vaihetta edellä lisätä seuraavat IP alueet, (alla olevassa luettelossa on yksi edellä muuten, joten sinun ei tarvitse lisätä sitä kahdesti!):

0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254

kun olet valmis, että lista sinun pitäisi olla näytön, joka näyttää seuraavan, jos olet onnellinen klikkaa ”Seuraava”:

seuraavalla näytöllä varmista, että toiminta on korostettu ”Block” ja klikkaa ”Seuraava”:

profiilin alla voit jättää kaikki nämä sijainnit valittuna ja valitse sitten ”Seuraava”:

Anna säännölle järkevä nimi ja klikkaa”Valmis”:

Internet-asetukset GPO

seuraavaksi meidän täytyy setup fake proxy kohti suurin osa neuvoo siellä koskevat tällaisia asioita. Sinun täytyy ehkä ladata IE admin pack ensin vaikka.

siirry kohtaan User Configuration – Preferences – Control Panel Settings – Internet Settings ja napsauta hiiren oikealla painikkeella Luo uusi asetus oikeaan paneeliin.

valitse sitten yhteydet ja lähiverkon asetukset:

ruutuun, joka ponnahtaa rasti ”Käytä välityspalvelinta lähiverkon” ja osoiteruudun tyyppi ”127.0.0.1” port ”3128”, juuri näin ja paina sitten Ok ja Ok uudelleen saada takaisin tärkein GPO-näyttö.

seuraava meidän GPO läpi käyttäjän kokoonpano-Hallintamallit-Windows komponentit-Internet Explorer.

oikealla puolella haluat löytää vaihtoehto, jossa lukee ”Poista muuttuvat yhteysasetukset”, kun olet löytänyt sen avaa se kaksoisnapsauttamalla:

ota tämä asetus käyttöön ja napsauta Ok.

Sulje kaikki GPO: n Ikkunat ja olet valmis!

kirjoittanut bygyp-9. heinäkuuta 2017 – 63812 katselua

Vastaa

Sähköpostiosoitettasi ei julkaista.