ez a How to megmutatja, hogyan lehet blokkolni az internet-hozzáférést egy felhasználó, felhasználók vagy számítógép számára egy Active Directory csoportházirend-objektumon belül. Kipróbáltam ezt a Windows 7 és Windows 10 rendszeren, és remekül működik!
rengeteg oktató van, amely részletezi a hozzáférés blokkolásának módját egy nem létező proxy érvényesítésével. Ez a módszer bizonyos dolgoknál működni fog, de a probléma nem minden szoftver feltétlenül használja ezeket a beállításokat az internethez való csatlakozáshoz, és nem feltétlenül állítja meg az elszánt felhasználót vagy a rosszfiút.
frissítés 1 Feb 2019-köszönet Lou-nak és Peternek, hogy rámutattak a bejegyzés hibáira, amelyek ütközhetnek a DHCP működésével. Köszönöm mindkettőtöknek!
ez az oktatóanyag azt javasolja, hogy az Active Directory-n keresztül kezelt Windows tűzfal segítségével blokkolja az összes internetes IP-címet a nem létező proxy érvényesítése mellett. Ezek a technológiák beépülnek a Windows rendszerbe.
ha nem tesszük meg mindkettőt, akkor proxy létezhet a hálózaton a privát IP-tartományokban (amelyek megengedettek), és ezért internetes tevékenységet folytatnak. Ezt a csoportházirendet egyéni felhasználókra vagy teljes szervezeti egységekre is alkalmazhatja, ahogy jónak látja, és minden eszközön jól fog működni.
legyen óvatos, bár a Windows Tűzfalnál a szabályok sorrendje nem igazán számít, a Blokkműveletek elsőbbséget élveznek az engedélyezési szabályokkal szemben. Ezért blokkoljuk az összes nem privát IP-tartományt, más szóval blokkoljuk az IP-címek egészét a szélesebb interneten, és még a privát RFC 1918 és RFC 5735 tartományokat sem adjuk meg.
a rövid változat
hozzon létre egy Windows tűzfal házirendet, és adja meg ezeket az IP-címtartományokat egy BLOKKSZABÁLYBAN:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
és hozzon létre egy nem létező proxyt is a megfelelő méréshez, és megakadályozza a felhasználókat a Beállítás megváltoztatásában.
Windows tűzfal csoportházirend-csoportházirend
Szerkessze a csoportházirendet a szokásos módon, és válasszon ki egy megfelelő szervezeti egységet az új házirend alkalmazásához:
adjon értelmes nevet, majd kattintson az ok gombra:
ezután a jobb oldali képernyőn szerkessze az imént létrehozott GPO-t:
Ezután keresse meg a házirendeket-Windows Beállítások-Biztonsági beállítások – Windows tűzfal speciális biztonsággal-Kimenő szabályok:
a jobb oldali panelen kattintson a jobb gombbal, majd válassza az “új szabály” lehetőséget…”:
a megjelenő mezőben válassza ki az “egyéni szabályt”, majd kattintson a Tovább gombra:
hagyja az alapértelmezett értéket “Minden program” néven, majd kattintson a Tovább gombra:
hagyja az alapértelmezéseket “bármely” protokollként, majd kattintson a Tovább gombra:
a következő képernyőn adjuk hozzá a Beállítások többségét, a “távoli IP-címek” alatt válassza az “ezek az IP-címek” lehetőséget, majd kattintson a “Hozzáadás”gombra:
a következő felugró ablakban szeretnénk hozzáadni néhány IP-tartományt, ezért kattintson az “Ez az IP-tartomány” elemre, majd írja be ezt a tartományt 0.0.0.1 – 9.255.255.255, pont így:
a következő IP-tartományok hozzáadásához meg kell ismételnie a fenti két lépést (az alábbi lista egyébként tartalmazza a fentieket, így nem kell kétszer hozzáadnia!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
ha végeztél, hogy a lista akkor van egy képernyő, amely úgy néz ki, mint a következő, ha boldog kattintson a “Tovább”:
a következő képernyőn ellenőrizze, hogy a művelet “blokk” – ként van-e kiemelve, majd kattintson a “Tovább ” gombra”:
a profil alatt érdemes ezeket a helyeket bejelölni, majd kattintson a “Tovább ” gombra”:
adjon értelmes nevet a szabálynak, majd kattintson a “Befejezés”gombra:
Internet beállítások GPO
ezután be kell állítanunk a hamis proxyt, mint a legtöbb tanácsot az ilyen dolgokkal kapcsolatban. Lehet, hogy először le kell töltenie az IE admin csomagot.
keresse meg a felhasználói Konfiguráció – Beállítások – Vezérlőpult beállításai – Internetbeállítások elemet, majd kattintson a jobb oldali panelen az új beállítás létrehozása elemre.
Ezután kattintson a Kapcsolatok, majd a LAN beállítások elemre:
a felbukkanó mezőben jelölje be a “Proxykiszolgáló használata a LAN-hoz” elemet, majd a címmezőbe írja be a “127.0.0.1” parancsot a “3128” porton, éppen így, majd nyomja meg ismét az Ok és az Ok gombot, hogy visszatérjen a GPO fő képernyőjére.
ezután a GPO-n belül menjen át a felhasználói konfigurációra-Felügyeleti sablonok-Windows-összetevők-Internet Explorer.
a jobb oldalon meg szeretné találni a lehetőséget, amely így szól: “tiltsa le a kapcsolat beállításainak megváltoztatását”, amikor megtalálta, dupla kattintással nyissa meg:
engedélyezze ezt a beállítást, majd kattintson az Ok gombra.
zárd be az összes GPO ablakot, és kész!