Questo come vi mostrerà come bloccare l’accesso a Internet per un utente, utenti o computer all’interno di un oggetto Criteri di gruppo Active Directory. Ho provato questo su Windows 7 e Windows 10 e funziona alla grande!
Ci sono un sacco di tutorial là fuori che descrivono un modo per bloccare l’accesso tramite l’applicazione di un proxy inesistente. Questo metodo funzionerà per alcune cose, ma il problema non è che tutto il software utilizza necessariamente queste impostazioni per connettersi a Internet e non interrompe necessariamente un utente determinato o un cattivo ragazzo.
Update 1 Feb 2019-Grazie a Lou e Peter per aver sottolineato gli errori nel post che potrebbero entrare in conflitto con il funzionamento DHCP. Grazie a tutti e due!
Questo tutorial suggerisce di utilizzare Windows Firewall gestito tramite Active Directory per bloccare tutti gli indirizzi IP Internet in aggiunta a far rispettare un proxy inesistente. Queste tecnologie sono integrate con Windows.
Se non abbiamo fatto entrambe le cose, un proxy potrebbe esistere sulla tua rete negli intervalli IP privati (che sono consentiti) e quindi avere attività Internet. È possibile applicare questa politica di gruppo a singoli utenti o interi OU come meglio credi e funzionerà bene su tutti i dispositivi.
Fai attenzione anche se con Windows Firewall l’ordine delle regole non ha molta importanza, le azioni di blocco avranno la priorità sulle regole Consenti. Quindi perché stiamo bloccando tutti gli intervalli IP non privati, in altre parole stiamo bloccando l’intera entità degli indirizzi IP su Internet più ampio e nemmeno specificando gli intervalli privati RFC 1918 e RFC 5735.
La Breve Versione
Creare un Firewall di Windows politica e specificare gli intervalli di indirizzi IP in una regola di BLOCCO:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
E creare un proxy inesistente anche per buona misura e impedire agli utenti di modificare questa impostazione.
Windows Firewall OGGETTO
Modificare i Criteri di Gruppo come si farebbe normalmente, e scegliere una pertinenti unità organizzativa per applicare la nuova politica:
Dare un sensibile nome e fare clic su ok:
E poi, nella schermata a destra modifica l’oggetto criteri di gruppo che hai appena creato:
quindi passare a Politiche di Windows Impostazioni – Impostazioni di Protezione di Windows Firewall con Sicurezza Avanzata – le Regole di Uscita:
Sul pannello di destra, fare clic destro e selezionare “Nuova Regola…”:
Nel box che si apre selezionare “Regola Personalizzata” e quindi fare clic su Avanti:
Lasciare l’impostazione di default come “Tutti i Programmi” e fare clic su Avanti:
Lasciare le impostazioni predefinite come “Qualsiasi” protocollo e fare clic su Avanti:
Questa schermata successiva è dove stiamo andando, per aggiungere la maggior parte delle impostazioni, alla voce “indirizzi IP remoti” selezionare “Questi indirizzi IP” e fare clic su “Aggiungi”:
Nel prossimo popup vorremo aggiungere alcuni intervalli IP, quindi fai clic su “Questo intervallo IP” e inserisci questo come intervallo 0.0.0.1-9.255.255.255, proprio come questo:
Dovrai ripetere i due passaggi precedenti per aggiungere i seguenti intervalli IP, (l’elenco sottostante contiene quello sopra, quindi non è necessario aggiungerlo due volte!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
Quando hai fatto con quella lista si dovrebbe avere una schermata che si presenta come il seguente, se sei felice fare clic su “Avanti”:
Nella schermata successiva, assicurarsi che l’azione viene evidenziato come “Blocco” e fare clic su “Avanti”:
Sotto il profilo si può decidere di lasciare tutte queste località selezionata e quindi fare clic su “Avanti”:
Dare la regola sensata nome e fare clic su “Fine”:
Impostazioni Internet GPO
Successivamente avremo bisogno di impostare il proxy falso come per la maggior parte dei consigli là fuori per quanto riguarda tali cose. Potrebbe essere necessario scaricare prima il pacchetto di amministrazione di IE.
Passare alla Configurazione utente-Preferenze – Impostazioni del pannello di controllo-Impostazioni Internet, e fare clic destro su crea una nuova impostazione nel pannello di destra.
Quindi fare clic su Connessioni quindi Impostazioni LAN:
Nella casella che si apre spunta “Usa un server proxy per la tua LAN” e nella casella degli indirizzi digita “127.0.0.1” sulla porta “3128”, proprio così e poi premi Ok e Ok di nuovo per tornare alla schermata principale GPO.
Avanti all’interno del nostro GPO passare alla configurazione utente – Modelli amministrativi – Componenti di Windows – Internet Explorer.
Sul lato destro si desidera trovare l’opzione che legge “Disabilita modifica delle impostazioni di connessione”, quando l’hai trovato aprilo facendo doppio clic:
Attiva questa impostazione e fai clic su Ok.
Chiudere tutte le finestre GPO e il gioco è fatto!