Comment bloquer l’Accès Internet avec la Stratégie de groupe (GPO)

Ce mode d’emploi vous montrera comment bloquer l’accès Internet pour un utilisateur, des utilisateurs ou un ordinateur dans un objet de stratégie de groupe Active Directory. J’ai testé cela sur Windows 7 et Windows 10 et cela fonctionne très bien!

Il existe de nombreux tutoriels détaillant un moyen de bloquer l’accès en appliquant un proxy inexistant. Cette méthode fonctionnera pour certaines choses, mais le problème n’est pas que tous les logiciels utilisent nécessairement ces paramètres pour se connecter à Internet et n’arrêtent pas nécessairement un utilisateur ou un méchant déterminé.

Mise à jour 1 Févr. 2019 – Merci à Lou et Peter d’avoir signalé les erreurs dans le post qui pourraient entrer en conflit avec le fonctionnement DHCP. Merci à tous les deux!

Ce tutoriel suggère d’utiliser le pare-feu Windows géré via Active Directory pour bloquer toutes les adresses IP Internet en plus d’appliquer un proxy inexistant. Ces technologies sont intégrées aux fenêtres.

Si nous ne faisions pas les deux, un proxy pourrait exister sur votre réseau dans les plages d’adresses IP privées (qui sont autorisées) et donc avoir une activité Internet. Vous pouvez appliquer cette stratégie de groupe à des utilisateurs individuels ou à des unités d’organisation entières comme bon vous semble et fonctionnera bien sur tous les appareils.

Méfiez-vous bien qu’avec le pare-feu Windows, l’ordre des règles n’a pas vraiment d’importance, les actions de blocage auront priorité sur les règles d’autorisation. D’où la raison pour laquelle nous bloquons toutes les plages d’adresses IP non privées, en d’autres termes, nous bloquons l’intégralité des adresses IP sur Internet au sens large et ne spécifions même pas les plages privées RFC 1918 et RFC 5735.

La version brève

Créez une stratégie de pare-feu Windows et spécifiez ces plages d’adresses IP dans une règle de BLOC:

0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254

Et créez également un proxy inexistant pour faire bonne mesure et empêchez les utilisateurs de modifier ce paramètre.

GPO Pare-feu Windows

Modifiez votre stratégie de groupe comme vous le feriez habituellement et choisissez une unité d’organisation pertinente pour appliquer votre nouvelle stratégie:

Donnez-lui un nom raisonnable et cliquez sur ok:

Et puis dans l’écran de droite, modifiez le GPO que vous venez de créer:

Ensuite, accédez à Stratégies – Paramètres Windows – Paramètres de sécurité – Pare-feu Windows avec Sécurité Avancée – Règles Sortantes:

Dans le panneau de droite, faites un clic droit et sélectionnez « Nouvelle règle… »:

Dans la boîte qui apparaît, sélectionnez une « Règle personnalisée », puis cliquez sur Suivant:

Laissez la valeur par défaut comme « Tous les programmes » et cliquez sur Suivant:

Laissez les valeurs par défaut comme protocole « Any » et cliquez sur Suivant:

Cet écran suivant est l’endroit où nous allons ajouter la majorité de nos paramètres, sous « adresses IP distantes », sélectionnez « Ces adresses IP » et cliquez sur « Ajouter »:

Dans la fenêtre contextuelle suivante, nous voudrons ajouter des plages d’adresses IP, alors cliquez sur « Cette plage d’adresses IP » et entrez-la comme plage 0.0.0.1– 9.255.255.255, comme ceci:

Vous devrez répéter les deux étapes ci-dessus pour ajouter les plages IP suivantes (la liste ci-dessous contient d’ailleurs celle ci-dessus, vous n’avez donc pas besoin de l’ajouter deux fois!):

0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254

Lorsque vous avez terminé avec cette liste, vous devriez avoir un écran qui ressemble à ce qui suit, si vous êtes heureux, cliquez sur « Suivant »:

Sur l’écran suivant, assurez-vous que l’action est surlignée comme « Bloquer » et cliquez sur « Suivant »:

Sous le profil, vous pouvez laisser tous ces emplacements cochés, puis cliquer sur « Suivant »:

Donnez un nom raisonnable à la règle et cliquez sur « Terminer »:

Paramètres Internet GPO

Ensuite, nous devrons configurer le faux proxy selon la majorité des conseils concernant de telles choses. Vous devrez peut-être d’abord télécharger le pack d’administration IE.

Accédez à Configuration utilisateur – Préférences – Paramètres du Panneau de configuration – Paramètres Internet, puis cliquez avec le bouton droit sur créer un nouveau paramètre dans le panneau de droite.

Cliquez ensuite sur Connexions, puis sur Paramètres LAN:

Dans la boîte qui apparaît, cochez la case « Utiliser un serveur proxy pour votre réseau local » et dans la boîte d’adresse, tapez « 127.0.0.1 » sur le port « 3128 », comme ceci, puis appuyez à nouveau sur Ok et Ok pour revenir à l’écran principal de GPO.

Ensuite, dans notre GPO, passez à la Configuration utilisateur – Modèles d’administration – Composants Windows – Internet Explorer.

Sur le côté droit, vous voulez trouver l’option qui se lit « Désactiver la modification des paramètres de connexion », lorsque vous l’avez trouvée, ouvrez-la en double-cliquant:

Activez ce paramètre et cliquez sur Ok.

Fermez toutes les fenêtres GPO et vous avez terminé!

Écrit pargyp – 9 juillet 2017 – 63812 Vues

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.