Как заблокировать доступ в Интернет с помощью групповой политики (GPO)

В этой статье показано, как заблокировать доступ в Интернет для пользователей или компьютеров в объекте групповой политики Active Directory. Эта функция была протестирована на Windows 7, Windows 10 и работает отлично!

Существует множество руководств, подробно описывающих, как заблокировать доступ с помощью несуществующего прокси. В некоторых случаях этот метод подойдет, но проблема в том, что не все программное обеспечение обязательно использует эти настройки для подключения к Интернету и не обязательно запрещает конкретному пользователю использовать эти настройки.

В этом руководстве рекомендуется использовать брандмауэр Windows , управляемый через Active Directory , для блокировки всех дополнительных IP-адресов Интернета и принудительного использования несуществующих прокси-серверов.

Без выполнения обоих действий прокси-серверы могут существовать в вашей сети в частных (разрешенных) диапазонах IP-адресов и, таким образом, иметь активность в Интернете. При необходимости вы можете применить эту групповую политику к отдельным пользователям или целым организационным подразделениям, и она будет хорошо работать на всех устройствах.

Обратите внимание, что при использовании брандмауэра Windows порядок правил не имеет особого значения: действия «Блокировать» будут иметь приоритет над правилами «Разрешить». Поэтому необходимо заблокировать все нечастные диапазоны IP-адресов, или, другими словами, все IP-адреса в Интернете в целом, даже не указывая частные диапазоны RFC 1918 и RFC 5735.

Сводная версия

Создайте политику брандмауэра Windows и укажите следующие диапазоны IP-адресов в правиле БЛОКИРОВКИ:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Также создается несуществующий прокси-сервер и запрещается пользователям изменять этот параметр.

Объект групповой политики брандмауэра Windows

Отредактируйте групповую политику, как обычно, и выберите соответствующий объект, к которому будет применена новая политика.

Отредактируйте групповую политику, как обычно.

Дайте ему подходящее имя и нажмите «ОК».

Затем на правом экране отредактируйте только что созданный объект групповой политики.

Далее перейдите в «Политики» — «Настройки Windows» — «Настройки безопасности» — «Брандмауэр Windows в режиме повышенной безопасности» — «Правила для исходящего трафика» .

Навигация по пути

На правой панели щелкните правой кнопкой мыши и выберите «Новое правило…».

Во всплывающем окне выберите «Пользовательское правило» и нажмите « Далее».

Оставьте параметр по умолчанию «Все программы» и нажмите «Далее».

Оставьте протокол по умолчанию «Любой» и нажмите «Далее».

На следующем экране вы добавите большую часть своих настроек: в разделе «Удаленные IP-адреса» выберите «Эти IP-адреса» и нажмите «Добавить».

В следующем всплывающем окне вам нужно добавить несколько диапазонов IP-адресов, поэтому нажмите «Этот диапазон IP-адресов» и введите диапазон 0.0.0.1 – 9.255.255.255 , вот так:

Добавьте несколько диапазонов IP-адресов

Вам придется повторить два шага выше, чтобы добавить следующие диапазоны IP-адресов:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Когда вы заполните этот список, у вас появится экран, который выглядит следующим образом. Если вы удовлетворены, нажмите « Далее».

Список диапазонов IP после завершения

На следующем экране убедитесь, что действие отмечено «Заблокировать» , и нажмите «Далее».

В своем профиле вы можете выделить все эти места и нажать «Далее».

Дайте правилу разумное имя и нажмите «Готово».

Установить Интернет-объект групповой политики

Далее вам нужно будет настроить поддельный прокси. Возможно, вам придется сначала загрузить пакет администратора IE .

Перейдите в «Конфигурация пользователя» — «Настройки» — «Настройки панели управления» — «Настройки Интернета» и щелкните правой кнопкой мыши параметр «Создать новые настройки» на правой панели.

Затем нажмите «Подключения» , затем «Настройки локальной сети» .

В появившемся окне установите флажок «Использовать прокси-сервер для вашей локальной сети» и в поле адреса введите «127.0.0.1» на порт «3128» , вот так:

Установите флажок «Использовать прокси-сервер для вашей локальной сети».

Затем дважды нажмите «ОК» , чтобы вернуться на главный экран объекта групповой политики.

Дважды нажмите «ОК», чтобы вернуться на главный экран объекта групповой политики.

Далее в GPO переходим в « Конфигурация пользователя» — «Административные шаблоны» — «Компоненты Windows» — «Internet Explorer» .

С правой стороны вам нужно найти опцию с надписью «Отключить изменение параметров подключения» . Когда вы его увидите, откройте его, дважды щелкнув по нему.

Включите этот параметр и нажмите «ОК».

Закройте все окна групповой политики, и все готово!

Узнать больше:

• Как заблокировать доступ в Интернет для определенной учетной записи пользователя