Как заблокировать доступ в Интернет с помощью групповой политики (GPO)

В этой статье показано, как заблокировать доступ в Интернет для пользователей или компьютеров в объекте групповой политики Active Directory. Эта функция была протестирована на Windows 7, Windows 10 и работает отлично!

Существует множество руководств, подробно описывающих, как заблокировать доступ с помощью несуществующего прокси. В некоторых случаях этот метод подойдет, но проблема в том, что не все программное обеспечение обязательно использует эти настройки для подключения к Интернету и не обязательно запрещает конкретному пользователю использовать эти настройки. .

В этом руководстве рекомендуется использовать брандмауэр Windows, управляемый через Active Directory, для блокировки всех дополнительных IP-адресов Интернета и принудительного использования несуществующих прокси-серверов.

Без выполнения обоих действий прокси-серверы могут существовать в вашей сети в частных (разрешенных) диапазонах IP-адресов и, таким образом, иметь активность в Интернете. При необходимости вы можете применить эту групповую политику к отдельным пользователям или целым организационным подразделениям, и она будет хорошо работать на всех устройствах.

Обратите внимание, что при использовании брандмауэра Windows порядок правил не имеет особого значения: действия «Блокировать» будут иметь приоритет над правилами «Разрешить». Поэтому необходимо заблокировать все нечастные диапазоны IP-адресов, или, другими словами, все IP-адреса в Интернете в целом, даже не указывая частные диапазоны RFC 1918 и RFC 5735.

Сводная версия

Создайте политику брандмауэра Windows и укажите следующие диапазоны IP-адресов в правиле БЛОКИРОВКИ:

1. 0.0.0.1 – 9.255.255.255
2. 11.0.0.0 – 126.255.255.255
3. 128.0.0.0 – 169.253.255.255
4. 169.255.0.0 – 172.15.255.255
5. 172.32.0.0 – 192.167.255.255
6. 192.169.0.0 – 198.17.255.255
7. 198.20.0.0 – 255.255.255.254

Также создается несуществующий прокси-сервер и запрещается пользователям изменять этот параметр.

Объект групповой политики брандмауэра Windows

Отредактируйте групповую политику, как обычно, и выберите соответствующий объект, к которому будет применена новая политика.

Дайте ему подходящее имя и нажмите «ОК».

Затем на правом экране отредактируйте только что созданный объект групповой политики.

Далее перейдите в «Политики» — «Настройки Windows» — «Настройки безопасности» — «Брандмауэр Windows в режиме повышенной безопасности» — «Правила для исходящего трафика».

На правой панели щелкните правой кнопкой мыши и выберите «Новое правило…».

Во всплывающем окне выберите «Пользовательское правило» и нажмите «Далее».

Оставьте вариант по умолчанию «Все программы» и нажмите «Далее».

Оставьте значение протокола по умолчанию «Любой» и нажмите «Далее».

На следующем экране вы добавите большую часть своих настроек: в разделе «Удаленные IP-адреса» выберите «Эти IP-адреса» и нажмите «Добавить».

В следующем всплывающем окне вам нужно добавить несколько диапазонов IP-адресов, поэтому нажмите «Этот диапазон IP-адресов» и введите диапазон 0.0.0.1 – 9.255.255.255, например:

Вам придется повторить два шага выше, чтобы добавить следующие диапазоны IP-адресов:

1. 0.0.0.1 – 9.255.255.255
2. 11.0.0.0 – 126.255.255.255
3. 128.0.0.0 – 169.253.255.255
4. 169.255.0.0 – 172.15.255.255
5. 172.32.0.0 – 192.167.255.255
6. 192.169.0.0 – 198.17.255.255
7. 198.20.0.0 – 255.255.255.254

Когда вы заполните этот список, у вас появится экран, который выглядит следующим образом. Если вы удовлетворены, нажмите «Далее».

На следующем экране убедитесь, что действие отмечено как «Заблокировать», и нажмите «Далее».

В своем профиле вы можете выделить все эти места и нажать «Далее».

Дайте правилу разумное имя и нажмите «Готово».

Установить Интернет-объект групповой политики

Далее вам нужно будет настроить поддельный прокси. Возможно, вам придется сначала загрузить пакет администратора IE.

Перейдите в «Конфигурация пользователя» — «Настройки» — «Настройки панели управления» — «Настройки Интернета» и щелкните правой кнопкой мыши параметр «Создать новые настройки» на правой панели.

Затем нажмите «Подключения», затем «Настройки локальной сети».

В появившемся окне установите флажок «Использовать прокси-сервер для вашей локальной сети» и в поле адреса введите «127.0.0.1» для порта «3128», например:

Затем дважды нажмите «ОК», чтобы вернуться на главный экран объекта групповой политики.

Далее в GPO переходим в «Конфигурация пользователя» — «Административные шаблоны» — «Компоненты Windows» — «Internet Explorer».

С правой стороны вам нужно найти опцию «Отключить изменение настроек подключения». Когда вы его увидите, откройте его, дважды щелкнув по нему.

Включите этот параметр и нажмите «ОК».

Закройте все окна групповой политики, и все готово!

В приведенной выше статье вы познакомились с «Как заблокировать доступ в Интернет с помощью групповой политики (GPO)». СоветыНадейтесь, что эта статья вам поможет! Если эта статья кажется вам интересной и полезной, не забудьте поделиться ею. Спасибо!