Bài viết này sẽ chỉ cho bạn cách chặn truy cập Internet đối với người dùng hoặc máy tính trong Active Directory Group Policy Object. Tính năng này đã được thử nghiệm trên Windows 7, Windows 10 và nó hoạt động rất tốt!
Có rất nhiều hướng dẫn nêu chi tiết cách chặn quyền truy cập thông qua việc thực thi một proxy không tồn tại. Phương pháp này sẽ hoạt động đối với một số thứ, nhưng vấn đề là không phải tất cả phần mềm đều nhất thiết phải sử dụng những cài đặt này để kết nối với Internet, và không nhất thiết phải ngăn chặn một người dùng xác định.
Hướng dẫn này đề xuất sử dụng Windows Firewall được quản lý thông qua Active Directory để chặn tất cả các địa chỉ IP Internet bổ sung, thực thi proxy không tồn tại.
Nếu không làm cả hai thì proxy có thể tồn tại trên mạng của bạn trong các dải IP riêng (được phép) và do đó có hoạt động Internet. Bạn có thể áp dụng group policy này cho từng người dùng hoặc toàn bộ đơn vị tổ chức, nếu thấy phù hợp và nó sẽ hoạt động tốt trên tất cả các thiết bị.
Hãy lưu ý là với Windows Firewall, thứ tự các quy tắc không thực sự quan trọng, các hành động Block (chặn) sẽ được ưu tiên hơn những quy tắc Allow (được cho phép). Do đó, phải chặn tất cả các dải IP không riêng tư, hay nói cách khác là chặn toàn bộ địa chỉ IP trên internet rộng lớn, thậm chí không chỉ định các dải RFC 1918 và RFC 5735 riêng.
Phiên bản tóm tắt
Tạo policy Windows Firewall và chỉ định các dải địa chỉ IP này trong quy tắc BLOCK:
- 0.0.0.1 - 9.255.255.255
- 11.0.0.0 - 126.255.255.255
- 128.0.0.0 - 169.253.255.255
- 169.255.0.0 - 172.15.255.255
- 172.32.0.0 - 192.167.255.255
- 192.169.0.0 - 198.17.255.255
- 198.20.0.0 - 255.255.255.254
Đồng thời tạo một proxy không tồn tại và ngăn người dùng thay đổi cài đặt này.
Windows Firewall GPO
Chỉnh sửa Group Policy như bạn thường làm và chọn một đối tượng thích hợp để áp dụng policy mới.
Đặt cho nó một cái tên hợp lý và nhấp OK.
Và sau đó trong màn hình bên phải, hãy chỉnh sửa GPO mà bạn vừa tạo.
Tiếp theo, điều hướng đến Policies – Windows Settings – Security Settings – Windows Firewall with Advanced Security – Outbound Rules.
Trên bảng điều khiển bên phải, nhấp chuột phải và chọn “New Rule…”.
Trong hộp pop-up, hãy chọn “Custom Rule” và sau đó nhấp vào Next.
Để nguyên tùy chọn mặc định là “All Programs” và nhấp vào Next.
Để mặc định giao thức là “Any” và nhấp vào Next.
Màn hình tiếp theo này là nơi bạn sẽ thêm phần lớn cài đặt của mình, trong phần “Remote IP addresses”, hãy chọn “These IP addresses” và nhấp vào “Add”.
Trong cửa sổ pop-up tiếp theo, bạn cần thêm một số dải IP, vì vậy hãy nhấp vào “This IP Range” và nhập dải 0.0.0.1 – 9.255.255.255, giống như sau:
Bạn sẽ phải lặp lại hai bước ở trên để thêm các dải IP sau:
- 0.0.0.1 - 9.255.255.255
- 11.0.0.0 - 126.255.255.255
- 128.0.0.0 - 169.253.255.255
- 169.255.0.0 - 172.15.255.255
- 172.32.0.0 - 192.167.255.255
- 192.169.0.0 - 198.17.255.255
- 198.20.0.0 - 255.255.255.254
Khi hoàn thành danh sách đó, bạn sẽ có một màn hình giống như sau, nếu bạn hài lòng, hãy nhấp vào Next.
Trên màn hình tiếp theo, hãy đảm bảo hành động được đánh dấu là “Block” và nhấp vào “Next”.
Trong profile, bạn có thể muốn đánh dấu tất cả các vị trí này và sau đó nhấp vào “Next”.
Đặt tên hợp lý cho quy tắc và nhấp vào “Finish”.
Cài đặt Internet GPO
Tiếp theo, bạn sẽ cần thiết lập proxy giả. Bạn có thể cần tải xuống gói IE admin trước.
Điều hướng đến User Configuration – Preferences – Control Panel Settings – Internet Settings và nhấp chuột phải vào tùy chọn tạo cài đặt mới trong bảng điều khiển bên phải.
Sau đó nhấp vào Connections, rồi đến LAN Settings.
Trong hộp xuất hiện, hãy đánh dấu vào “Use a proxy server for your LAN” và trong hộp địa chỉ, nhập “127.0.0.1” trên cổng “3128”, giống như thế này:
Sau đó nhấn OK 2 lần để quay lại màn hình GPO chính.
Tiếp theo trong GPO, hãy chuyển đến User Configuration – Administrative Templates – Windows Components – Internet Explorer.
Ở phía bên phải, bạn cần tìm tùy chọn có nội dung “Disable changing connection settings”. Khi bạn thấy nó, hãy mở nó lên bằng cách nhấp đúp vào đó.
Bật cài đặt này và nhấp vào OK.
Đóng tất cả các cửa sổ GPO và bạn đã hoàn tất rồi đấy!
Xem thêm: