Блокировка веб-сайта Windows Server 2012 r2

Обновлено: 21.11.2024

В этой статье я расскажу о том, как ограничить доступ в Интернет с помощью групповой политики (GPO). Это может быть особенно полезно для КИОСКОВ, лабораторных компьютеров или даже для некоторых сотрудников, которые проводят слишком много времени на Youtube или в других социальных сетях. Способ его блокировки по существу осуществляется с помощью прокси-сервера, который указывает на локальный хост. Поскольку его не будет, он покажет ошибку прокси-сервера, тем самым эффективно заблокировав доступ к веб-сайтам, которые вы не одобряете.

Недавно это было со мной, мне пришлось заблокировать доступ в Интернет для пользователя Windows 10, поэтому я решил, что сейчас самое подходящее время, чтобы поделиться с вами шагами, которые он предпринимает. Следует отметить, что объект групповой политики работает как для Server 2016, так и для Server 2012R2. Это политика пользователя, и она работает с другими браузерами.

Как ограничить доступ в Интернет с помощью групповой политики (GPO)

Теперь давайте рассмотрим, как ограничить доступ в Интернет с помощью групповой политики. Я предполагаю, что вы уже создали организационное подразделение, к которому хотите применить политику, поэтому мы можем пропустить эту часть.

Если вы предпочитаете посмотреть, как это настраивается, внизу этой статьи есть демо-видео.

Откройте консоль управления групповыми политиками (GPMC).
Создайте новый объект групповой политики и назовите его «Ограничение доступа в Интернет».
Отредактируйте и перейдите к: Конфигурация пользователя -> Настройки -> Настройки Windows -> Реестр и создайте новый элемент реестра.
Нам нужно создать/обновить 4 элемента реестра: ProxyEnable, ProxyServer, ProxyOverride, AutoDetect

Ключ EnableProxy установит флажок, чтобы заставить браузер использовать настройки прокси-сервера.

На вкладке «Общие» свойств нового реестра:
Действие: обновить. Это также создаст регистрационный ключ, если он не существует.
Hive: HKEY_CURRENT_USER
Ключевой путь: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Имя значения: ProxyEnable
Тип значения: REG_DWORD
Значение данных: 1
Основа: шестнадцатеричная.

Повторите те же действия, чтобы создать дополнительный элемент реестра. ProxyServer укажет на локальный хост 127.0.0.1.

Действие: обновить.
Hive: HKEY_CURRENT_USER
Ключевой путь: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Имя значения: ProxyServer
Тип значения: REG_SZ
Данные значения: 127.0.0.1:80

Следующий регистрационный ключ позволит вам обойти прокси-сервер и позволит вам просматривать сайты. Как правило, вы должны разрешить свое собственное доменное имя, чтобы пользователи могли получить доступ к внутренним ссылкам и любым поддоменам, если это применимо.

Последний элемент реестра отключит/снимет флажок с части «Автоматически определять настройки».

Действие: обновить. Это также создаст регистрационный ключ, если он не существует.
Hive: HKEY_CURRENT_USER
Ключевой путь: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Название значения: Автоопределение
Тип значения: REG_DWORD
Значение данных: 0
Основа: шестнадцатеричная.

С этими 4 реализованными параметрами реестра он должен выглядеть так, как только все они будут добавлены.

Тестирование объекта групповой политики "Ограничение доступа к Интернету"

После того как вы добавите эти разделы реестра, вы увидите, что в Internet Explorer -> Свойства обозревателя -> Подключения -> Параметры локальной сети -> примененные нами параметры прокси-сервера теперь установлены. Единственная проблема в том, что любой может зайти и просто перезаписать настройки. Давайте это исправим!

Итак, в рамках групповой политики давайте перейдем к Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Internet Explorer и настроим следующее.

Отключить изменение параметров автоматической конфигурации: установите значение «Включено».
Запретить изменение настроек прокси-сервера: установите значение Включено

На компьютере с примененной политикой вы увидите, что те же настройки выделены серым цветом, а пользователь получает сообщение об ошибке прокси-сервер не отвечает.

Блокировка доступа в Интернет с помощью групповой политики (GPO), демо-видео

< /p>

Я надеюсь, что этот пост был информативным и предоставил вам простое пошаговое руководство по ограничению доступа в Интернет с помощью групповой политики (GPO).

Я новичок в Windows Server 2012.

Ранее я использовал TMG на Windows Server 2012 r2 для блокировки веб-сайтов для пользователей Active Directory. Теперь новый сервер находится на Windows Server 2012. Я хочу заблокировать веб-сайты для пользователей Active Directory. Мне нужно адаптер на моей серверной машине. Пожалуйста, помогите мне или любой учебник для этого.

Заранее спасибо

Ответы

Это невозможно сделать из Active Directory, службы каталогов. Для управления этим вам нужен сетевой пограничный продукт. Многие из них уже должны интегрировать AD, но вам понадобится другой продукт для управления доступом. Блокировать рабочий стол для управления доступом в Интернет — плохая идея, и ее очень сложно реализовать.

Пожалуйста, никаких электронных писем, любые вопросы следует размещать в группе новостей. Эта публикация предоставляется «КАК ЕСТЬ», без каких-либо гарантий и прав.

Все ответы

Вот как использовать объекты групповой политики.

Это работает только для IE. Лучшим решением является использование прокси-сервера.

<р>1. У вас ошибка в имени сервера. TGM может работать на Windows Server 2008 R2, а не на версии 2012.

<р>2. Я не понимаю, почему вы прекращаете использовать TGM. Он будет поддерживаться до 2020 года.

<р>3. Используйте пограничный брандмауэр, если вы не хотите использовать TGM. Microsoft прекратила работу над брандмауэрами. Это причина использования стороннего брандмауэра.

<р>4. Некоторое время назад я использовал простые инструменты, чтобы запретить пользователям просматривать некоторые URL-адреса, а именно файлы hosts. В файлах hosts есть FQDS, назначенные на loopback-адрес (127.0.0.1). Кэш DNS должен быть очищен перед настройкой файлов хостов, а узел должен разрешить, чтобы файл hosts был первым, который клиентский компьютер запрашивает при преобразовании полного доменного имени в IP-адрес.

У меня нет опыта работы с пограничным брандмауэром. Я думал использовать маршрутизатор dwrt для блокировки веб-сайта. Хорошая идея??

Я установил ограничения на сетевом уровне для диапазонов IP-адресов, чтобы заблокировать веб-сайт. И у меня это работает нормально.

Не могли бы вы объяснить, как использовать ограничение на уровне сети для диапазонов IP-адресов, чтобы блокировать веб-сайты? потому что в конфигурации моего маршрутизатора нет возможности блокировать диапазон IP-адресов какой-либо конкретный веб-сайт. в linksys я пытался сделать с опцией блокировки конкретного веб-сайта для пользователя, но это не работает.

Заранее спасибо.

Если вы хотите использовать только брандмауэр Windows, вы можете попробовать несколько альтернативных способов.

Вы можете создать новое подразделение, поместить в него все компьютеры, которым вы хотите ограничить доступ, применить групповую политику к новому подразделению для брандмауэра и создать новое исходящее правило, чтобы заблокировать IP-адрес веб-сайта, который вы хотите заблокировать.

Брандмауэр Windows может работать лучше всего, если вы хотите заблокировать все остальные виды доступа и разрешить лишь некоторые из них. Но это будет зависеть от компьютера, а не от пользователя.

Если у вас есть другие особые требования, вы можете рассмотреть возможность использования аппаратного брандмауэра.

Примечание. Полезно для небольшой сети, в которой блокируются все и разрешаются только некоторые из них.Если адрес разрешенного веб-сайта будет изменен, он попадет в черный список, вам придется снова поместить его в список разрешенных, проверив его ip.

Давайте рассмотрим некоторые способы блокировки доступа к определенным веб-сайтам, доменным именам, URL-адресам или IP-адресам в Windows без использования сторонних инструментов. В нашем случае мы попытаемся заблокировать определенные веб-сайты с помощью встроенных инструментов Windows 10 и функций автоматизации PowerShell.

Обычно проще заблокировать веб-сайты на сетевом маршрутизаторе (коммутатор или точка доступа Wi-Fi, которые вы используете для выхода в Интернет) или с помощью стороннего программного обеспечения (фильтры контента, DNS-фильтры и т. д.).

Блокировка веб-сайтов с помощью файла hosts в Windows

Самый популярный способ заблокировать определенный веб-сайт в Windows — изменить файл hosts. Обычно он находится в каталоге %windir%\system32\drivers\etc\. Обратите внимание, что файл hosts не имеет расширения.

Путь к каталогу, содержащему файл hosts, задается в параметре DataBasePath в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. По умолчанию это %SystemRoot%\System32\drivers\etc.

Файл hosts используется для ручного назначения сопоставлений между IP-адресами и DNS-именами. При разрешении имен хосты имеют более высокий приоритет, чем DNS-серверы, указанные в настройках сетевого подключения.

Сохраните файл и перезагрузите компьютер (или очистите кеш DNS с помощью команды: ipconfig /flushdns ).

Вы можете добавить новые строки, содержащие URL-адреса веб-сайтов, в файл hosts, используя такой файл .bat:

Или вы можете использовать следующие функции PowerShell для автоматической блокировки определенных веб-сайтов в файле hosts.

Function BlockSiteHosts ( [Параметр(Обязательный=$true)]$Url) $hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If(-not $is_blocked) $hoststr text-align: center; поля: 10px 0px; поплавок: нет;">

Функция UnBlockSiteHosts ( [Параметр(Обязательный=$true)]$Url) $hosts = 'C:\Windows\System32\drivers\etc\hosts'
$is_blocked = Get-Content -Path $hosts |
Select-String -Pattern ([regex]::Escape($Url))
If($is_blocked) $newhosts = Get-Content -Path $hosts |
Where-Object $_ -notmatch ([regex]::Escape($Url))
>
Set-Content -Path $hosts -Value $newhosts
>
>

Чтобы добавить веб-сайт в список заблокированных URL, просто выполните команду:

Чтобы разблокировать веб-сайт, выполните:

Блокировка веб-сайтов с помощью DNS-фильтрации

Если ваши клиенты используют один и тот же DNS-сервер, вы можете таким же образом заблокировать определенные веб-сайты, создав запись DNS в этом DNS и указав в ней что-то вроде 127.0.0.1. Кстати, большинство коммерческих фильтров содержимого DNS (OpenDNS, SafeDNS, Cisco Umbrella и т. д.) используют тот же принцип.

Как заблокировать IP-адрес веб-сайта в брандмауэре Защитника Windows?

Кроме того, вы можете заблокировать некоторые веб-сайты с помощью встроенного брандмауэра Защитника Windows. Главный недостаток этого метода заключается в том, что вы не сможете использовать имя домена или URL-адрес веб-сайта в правиле блокировки. Брандмауэр Защитника Windows позволяет указать только IP-адрес или подсеть в качестве источника/назначения.
Прежде всего, вам нужно получить IP-адрес веб-сайта, который вы хотите заблокировать. Это проще сделать с помощью команды nslookup:

Как видите, команда вернула несколько IP-адресов, назначенных веб-сайту. Вы должны заблокировать их все.

Запустите оснастку управления брандмауэром Защитника Windows (Панель управления\Все элементы панели управления\Брандмауэр Защитника Windows\Дополнительные параметры или запустите файл firewall.cpl).

В разделе «Исходящие правила» создайте новое правило со следующими параметрами:

Тип правила: Пользовательский
Программа: все программы
Тип протокола: любой
Область действия: в разделе «К каким удаленным IP-адресам применяется это правило?» выберите «Эти IP-адреса» -> «Добавить». В следующем окне введите IP-адреса, подсети или диапазон IP-адресов, которые вы хотите заблокировать.

Нажмите "ОК" -> "Далее" -> "Действие" -> "Заблокировать соединение".

Оставьте все параметры без изменений в окне с профилями брандмауэра, к которым применяется правило. Затем укажите имя правила и сохраните его.

После этого брандмауэр Защитника Windows заблокирует все исходящие подключения к указанным IP-адресам веб-сайтов. При попытке подключения к заблокированному сайту в вашем браузере появится следующее сообщение:

В вашем домене AD вы можете развернуть политику брандмауэра Windows, чтобы заблокировать доступ к веб-сайту на компьютерах пользователей с помощью GPO. Однако это не рационально. Веб-сайты лучше фильтровать на маршрутизаторе доступа в Интернет (шлюзе).

Использование PowerShell для создания правила брандмауэра для блокировки веб-сайтов по доменному имени или IP-адресу

Вы также можете создать правило брандмауэра, которое блокирует подключение к веб-сайту с помощью PowerShell:

New-NetFirewallRule -DisplayName "Block Site" -Исходящее направление –LocalPort Any -Protocol Any -Action Block -RemoteAddress 104.244.42.129, 104.244.42.0/24

Строка «Правило было успешно проанализировано из хранилища» означает, что новое правило брандмауэра было успешно применено. Вы можете найти его в графическом интерфейсе брандмауэра Защитника Windows.

Чтобы не преобразовывать имена веб-сайтов в IP-адреса вручную, вы можете использовать командлет PowerShell Resolve-DnsName для получения IP-адресов веб-сайтов:

Resolve-DnsName "twitter.com"| Select-Object -ExpandProperty IP-адрес

Таким образом, вы можете преобразовать название веб-сайта в его IP-адреса и добавить правило блокировки в настройки брандмауэра:

$IPAddress = Resolve-DnsName "twitter.com"| Select-Object -ExpandProperty IPAddress
New-NetFirewallRule -DisplayName "Block Site" -Direction Outbound –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress

Теперь вы можете добавить правило блокировки в брандмауэр Windows для нескольких веб-сайтов одновременно:

$SitesToBlock = "facebook.com","instagram.com","youtube.com"
$IPAddress = $SitesToBlock | Resolve-DnsName -NoHostsFile | Select-Object -ExpandProperty IPAddress
New-NetFirewallRule -DisplayName «Блокировать веб-сайты» -Исходящее направление –LocalPort Any -Protocol Any -Action Block -RemoteAddress $IPAddress

Я добавил параметр –NoHostsFile в командлет Resolve-DnsName, чтобы не использовать файл hosts для разрешения.

Убедимся, что в консоли брандмауэра Windows появилось правило блокировки исходящего трафика.

Эта статья в основном предназначена для тренировки мозга. В корпоративной сети необходимо использовать фильтрацию веб-сайтов на шлюзе доступа в Интернет, маршрутизаторе или прокси-сервере. Блокировка на уровне хоста не очень эффективна.

Расширить том, заблокированный разделом восстановления в Windows 10

Ошибка загрузки Hyper-V: хэш и сертификат образа недопустимы

Похожая литература

Настройка высокой доступности посредника подключений RDS в Windows.

Отслеживание и анализ журналов подключения к удаленному рабочему столу.

Установка сервера KMS с открытым исходным кодом (Vlmcsd).

Управление виртуальными машинами Hyper-V с помощью PowerShell

Как выполнять резервное копирование и восстановление веб-сайтов и IIS.

2 комментария

<р>1. Преобразование URL-адреса в IP-адрес и последующая блокировка этого IP-адреса вряд ли является гарантией предотвращения. В некоторых случаях существует много IP-адресов, ведущих к URL-адресам, в некоторых случаях IP-адреса ведут ко многим URL-адресам, которые могут быть теми, которые вам нужны или к которым вы хотите получить доступ. Вы должны упоминать этот аспект, когда говорите об этом аспекте вещей.

<р>2.Я только что столкнулся с самым странным сценарием, в котором я теперь указываю нежелательные URL-адреса на IP-адрес в моей локальной сети, который мой DHCP-сервер никогда не назначит (и я не буду) по сравнению с петлевым интерфейсом (127.0.0.1). Почему?

Ну, я обнаружил, что с помощью некоторых материалов Google, которые я пытался заблокировать и перенаправить на 127.0.0.1, когда я сделал netstat -s или netstat -a -n -o, я заметил, что существует множество подключений. нацелился на имя, которое искало программное обеспечение Google, которое было * ПОДКЛЮЧЕНО * к чему-то на 127.0.0.1 (и локальный, и внешний адреса были на петлевом интерфейсе). Бьюсь об заклад, есть приложения, которые вы хотите заблокировать, которые действуют как клиент и сервер, поэтому зацикливание формирует соединение с вашей собственной машиной. Хотя это удерживает эти попытки на вашем компьютере, это все же кажется нежелательным.

Мое решение здесь состояло в том, чтобы определить сетевой адрес локально, который DNE и никогда не будет (вне моего пула распределения DHCP, не будет создан мной статически — что также подразумевает, что я полностью контролирую сеть, что я и делаю), а затем используйте файл hosts, чтобы отправить эти запросы в тупик. Это лучше, чем иметь их петлевыми, никогда не подключаться к сети и подключаться к чему-то локально? Я действительно не знаю. Я надеюсь, что с преобразованием адреса из URL-адреса в хост в файле hosts (в мертвый адрес в сети), а затем с помощью Защитника Windows для блокировки исходящих запросов для этого мертвого IP-адреса, эта комбинация приведет к тому, что брандмауэр просто тихо поест внешние запросы на подключение, поэтому а) не будет обратных подключений к моей машине в петле и б) не будет дополнительных запросов на подключение, запускаемых в локальную сеть (поскольку Защитник заблокировал их).

Несколько дополнительных стратегий для мысленного эксперимента. Я ценю статью за знания, которые вы передали — спасибо.

Еще один момент: если вы не контролируете сеть, все еще существуют «зарезервированные» диапазоны интернет-адресов, которые по большей части не должны использоваться в обычных сетях. Вы можете использовать один из этих диапазонов для отправки запросов (поскольку он вряд ли перехватит хост в вашей сети), а затем отключить этот адрес с помощью блокировки на основе IP-адреса в брандмауэре Defender.

Примечание: не используйте диапазон адресов ссылок (который используется, когда DHCP-сервер недоступен, а DHCP-клиенты пытаются назначить себе (без централизованного направления) IP-адрес, который не конфликтует с другим, используя пробную ошибку. -повторить попытку с новым адресом). Оставьте этот диапазон адресов в покое, но есть и другие зарезервированные диапазоны адресов, которые вы могли бы использовать. Я бы по-прежнему блокировал исходящий трафик брандмауэром только для того, чтобы не помещать вещи в вашу локальную сеть и заставить ваш маршрутизатор/коммутатор/точку доступа/и т. д. принимать решение о том, что делать с этим трафиком (зачем тратить устройства время?). Заблокируйте его локально как исходящий адрес на вашем ящике.

В БОЛЬШИНСТВЕ случаев этот подход не должен мешать работе какого-либо локального программного обеспечения.

Один полезный (зависит от того, как компьютеры в вашей сети настроили обработку ping-запросов) способ проверить зарезервированный адрес в вашей локальной сети — пропинговать его из командной строки. Это сообщит вам, занято ли оно, если вы получите ответ на пинг. (Не говорит вам, что ничего не может быть там, если вы этого не сделаете - машина может быть временно отключена или настроена так, чтобы не возвращать эхо-сигналы ICMP при проверке связи). Но если вы получите ответ на зарезервированный интернет-адрес, попробуйте другой. В списке зарезервированных адресов есть 3 или 4 диапазона с большим количеством адресов.

(PS Я говорю здесь об IPv4 — не изучал какие-либо зарезервированные диапазоны адресов в IP V6)

Блокировка веб-сайтов с помощью брандмауэра Windows в вашей доменной среде

Ищете решение для блокировки веб-сайтов с помощью брандмауэра Windows? Если у вас нет аппаратного устройства, чтобы заблокировать его.

Крупные организации устанавливают на них надлежащий аппаратный и программный брандмауэр для защиты своего производства.

Это решение для блокировки веб-сайтов с помощью брандмауэра Windows не для большой сети.

Это можно применить к сети малого бизнеса, где нет аппаратного брандмауэра.

Примечание. При попытке реализовать это решение существуют некоторые ограничения. Вы можете ограничивать веб-сайты на основе компьютеров, а не пользователей.

Аспектное решение

Блокировка веб-сайтов с помощью брандмауэра Windows может быть лучшим решением для малого сетевого бизнеса.

Где вы должны разрешить несколько веб-сайтов и заблокировать весь остальной интернет-материал.

Сделав это, вы можете запретить пользователям использовать только рекомендованный веб-сайт, используемый для бизнеса, а остальная часть Интернета будет полностью заблокирована.

Такая блокировка веб-сайтов в Интернете может увеличить время производства и сэкономить трафик.

Он будет работать в среде сервер-клиент, блокировку можно осуществить с помощью групповой политики.

Как заблокировать веб-сайт с помощью брандмауэра Windows Server 2012 R2

Чтобы разрешить несколько веб-сайтов и заблокировать остальную часть Интернета, выполните следующие действия

Откройте Active Directory и создайте OU и переместите компьютеры в OU, на которых вы хотите это ограничение.

Перейдите к управлению групповыми политиками и создайте новую политику для подразделения.

Теперь отредактируйте политику в редакторе управления групповыми политиками и перейдите к

брандмауэр Windows с повышенной безопасностью и разверните его.

Выберите свойства брандмауэра Windows на правой панели, установите параметры, как показано ниже, и нажмите «Применить».

Это заблокирует подключение с любого веб-сайта в Интернете для пользователей Active Directory.

Это будет заблокировано для любого порта, и весь трафик из Интернета будет заблокирован.

После завершения этого шага запустите gpupdate, чтобы обновить политику. Теперь у нас заблокирован весь интернет для компьютеров наших клиентов.

Если вы хотите заблокировать несколько веб-сайтов, вы можете попробовать установить исходящий брандмауэр по умолчанию, чтобы разрешить исходящий трафик по умолчанию, а затем создать новое правило для блокировки исходящего трафика

Попробуйте пропинговать этот веб-сайт, найти IP-адреса этих веб-сайтов и поместить их в область действия правила, которое вы создали для их блокировки.

Как разрешить определенный веб-сайт в брандмауэре Windows

Точно так же нужно создать новое правило для исходящего трафика, разрешающее веб-сайту любой трафик.

Найдите IP-адреса веб-сайтов, которые вы хотите разрешить, и поместите их в область действия для удаленного IP-адреса.

Таким образом, вы можете заблокировать все интернет-сайты и разрешить только те, которые необходимы.

Если вы имеете дело с голосовой связью, вы можете разрешить весь трафик с этого конкретного IP-адреса и разрешить его для всех портов.

Надеемся, что это решение сработает для вас, так как оно лучше всего подходит для разрешения нескольких и блокировки всех.

Читайте также: