this how to show you how to block internet access for a user, users or computer within a Active Directory Group Policy Object. Przetestowałem to na Windows 7 i Windows 10 i działa świetnie!
istnieje wiele samouczków opisujących sposób blokowania dostępu poprzez wymuszanie nieistniejącego serwera proxy. Ta metoda zadziała w niektórych przypadkach, ale problem nie polega na tym, że wszystkie programy muszą używać tych ustawień do łączenia się z Internetem i niekoniecznie zatrzymują zdeterminowanego użytkownika lub złego faceta.
aktualizacja 1 lut 2019-podziękowania dla Lou i Petera za wskazanie błędów w poście, które mogą kolidować z operacją DHCP. Dziękuję wam obojgu!
ten poradnik sugeruje użycie Zapory systemu Windows zarządzanej przez Active Directory do blokowania wszystkich internetowych adresów IP dodatkowo do wymuszania nieistniejącego serwera proxy. Technologie te są wbudowane w System Windows.
jeśli nie zrobimy obu, to proxy może istnieć w Twojej sieci w prywatnych zakresach IP (które są dozwolone) i dlatego ma aktywność w Internecie. Możesz zastosować tę zasadę grupy do poszczególnych użytkowników lub całych jednostek ou według własnego uznania i będzie działać dobrze na wszystkich urządzeniach.
uważaj chociaż w Zaporze systemu Windows kolejność reguł nie ma znaczenia, akcje blokujące będą miały pierwszeństwo przed regułami zezwalania. Dlatego blokujemy wszystkie Nie-prywatne zakresy IP, innymi słowy blokujemy całą liczbę adresów IP w szerszym Internecie, a nawet nie określamy prywatnych zakresów RFC 1918 i RFC 5735.
skrócona wersja
Utwórz politykę Zapory systemu Windows i określ te zakresy adresów IP w regułie bloku:
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
i utwórz nieistniejące proxy, aby dobrze zmierzyć i powstrzymać użytkowników przed zmianą tego ustawienia.
Zapora systemu Windows GPO
Edytuj zasady grupy tak, jak zwykle, i wybierz odpowiednią jednostkę, aby zastosować nową zasadę:
nadaj mu sensowną nazwę i kliknij ok:
a następnie na ekranie po prawej edytuj właśnie utworzony GPO:
następnie przejdź do zasad-Ustawienia systemu Windows-Ustawienia zabezpieczeń – Zapora systemu Windows z zaawansowanymi zabezpieczeniami – reguły wychodzące:
na panelu po prawej stronie kliknij prawym przyciskiem myszy i wybierz ” Nowa reguła…”:
W polu, które się pojawi wybierz „Custom Rule”, a następnie kliknij Dalej:
pozostaw domyślne jako „Wszystkie programy” i kliknij Dalej:
pozostaw domyślne ustawienia protokołu ” Any ” i kliknij Dalej:
na tym następnym ekranie dodamy większość naszych ustawień, pod „zdalne adresy IP „wybierz” te adresy IP „i kliknij „Dodaj”:
W następnym oknie będziemy chcieli dodać kilka zakresów IP, więc kliknij „ten zakres IP” i wpisz to jako zakres 0.0.0.1-9.255.255.255, tak jak to:
będziesz musiał powtórzyć dwa powyższe kroki, aby dodać następujące zakresy adresów IP (poniższa lista zawiera powyższy przy okazji, więc nie musisz dodawać go dwa razy!):
0.0.0.1 – 9.255.255.255
11.0.0.0 – 126.255.255.255
128.0.0.0 – 169.253.255.255
169.255.0.0 – 172.15.255.255
172.32.0.0 – 192.167.255.255
192.169.0.0 – 198.17.255.255
198.20.0.0 – 255.255.255.254
kiedy skończysz z tą listą powinieneś mieć ekran, który wygląda następująco, jeśli jesteś zadowolony kliknij „Dalej”:
na następnym ekranie upewnij się, że akcja jest podświetlona jako „blok” i kliknij „Dalej”:
pod profilem możesz pozostawić zaznaczone wszystkie te lokalizacje, a następnie kliknij „Dalej”:
nadaj regułce sensowną nazwę i kliknij „Zakończ”:
ustawienia internetowe GPO
następnie będziemy musieli skonfigurować fałszywe proxy, zgodnie z większością porad dotyczących takich rzeczy. Być może będziesz musiał najpierw pobrać pakiet administratora IE.
przejdź do konfiguracji użytkownika-Preferencje – Ustawienia panelu sterowania-ustawienia internetowe, a następnie kliknij prawym przyciskiem myszy utwórz nowe ustawienie w prawym panelu.
następnie kliknij Połączenia, a następnie Ustawienia sieci LAN:
W polu, które się pojawi, zaznacz „Użyj serwera proxy dla SIECI LAN”, a w polu adresu wpisz „127.0.0.1” na porcie „3128”, tak po prostu, a następnie naciśnij Ok i Ok ponownie, aby wrócić do głównego ekranu GPO.
następnie w naszym GPO przejdź do konfiguracji użytkownika-Szablony administracyjne-Komponenty Windows-Internet Explorer.
po prawej stronie chcesz znaleźć opcję, która brzmi „Wyłącz zmianę ustawień połączenia”, gdy ją znajdziesz otwórz ją, klikając dwukrotnie:
Włącz to ustawienie i kliknij Ok.
Zamknij wszystkie okna GPO i gotowe!