วิธีบล็อกการเข้าถึงอินเทอร์เน็ตโดยใช้นโยบายกลุ่ม (GPO)

บทความนี้จะแสดงวิธีบล็อกการเข้าถึงอินเทอร์เน็ตสำหรับผู้ใช้หรือคอมพิวเตอร์ใน Active Directory Group Policy Object คุณลักษณะนี้ได้รับการทดสอบบน Windows 7, Windows 10 และใช้งานได้ดี!

มีบทช่วยสอนมากมายที่ให้รายละเอียดเกี่ยวกับวิธีบล็อกการเข้าถึงผ่านการใช้พร็อกซีที่ไม่มีอยู่ วิธีนี้จะได้ผลในบางอย่าง แต่ปัญหาคือซอฟต์แวร์บางตัวไม่จำเป็นต้องใช้การตั้งค่าเหล่านี้ในการเชื่อมต่ออินเทอร์เน็ต และไม่ได้ป้องกันไม่ให้ผู้ใช้รายใดรายหนึ่งใช้การตั้งค่าเหล่านี้

คู่มือนี้แนะนำให้ใช้ Windows Firewallที่จัดการผ่านActive Directoryเพื่อบล็อกที่อยู่ IP อินเทอร์เน็ตเพิ่มเติมทั้งหมด โดยบังคับใช้พรอกซีที่ไม่มีอยู่จริง

พร็อกซีสามารถมีอยู่บนเครือข่ายของคุณในช่วง IP ส่วนตัว (ได้รับอนุญาต) โดยไม่ดำเนินการทั้งสองอย่าง ดังนั้นจึงมีกิจกรรมทางอินเทอร์เน็ต คุณสามารถใช้นโยบายกลุ่มนี้กับผู้ใช้แต่ละรายหรือทั้งหน่วยขององค์กรได้ตามความเหมาะสม และนโยบายนี้จะทำงานได้ดีกับทุกอุปกรณ์

โปรดทราบว่าสำหรับ Windows Firewall ลำดับของกฎไม่สำคัญ การบล็อกจะมีความสำคัญมากกว่ากฎการอนุญาต ดังนั้น ช่วง IP ที่ไม่ใช่ส่วนตัวทั้งหมดจะต้องถูกบล็อก หรืออีกนัยหนึ่งคือ ที่อยู่ IP ทั้งหมดบนอินเทอร์เน็ตโดยรวม โดยไม่ต้องระบุช่วง RFC 1918 และ RFC 5735 ส่วนตัวด้วยซ้ำ

ฉบับย่อ

สร้างนโยบาย Windows Firewall และระบุช่วงที่อยู่ IP เหล่านี้ในกฎ BLOCK:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

สร้างพร็อกซีที่ไม่มีอยู่ด้วยและป้องกันไม่ให้ผู้ใช้เปลี่ยนการตั้งค่านี้

Windows ไฟร์วอลล์ GPO

แก้ไขนโยบายกลุ่มตามปกติและเลือกวัตถุที่เหมาะสมเพื่อใช้นโยบายใหม่

แก้ไขนโยบายกลุ่มตามปกติ

ตั้งชื่อให้สมเหตุสมผลแล้วคลิกตกลง

จากนั้นในหน้าจอด้านขวา ให้แก้ไข GPO ที่คุณเพิ่งสร้างขึ้น

จากนั้นไปที่นโยบาย - การตั้งค่า Windows - การตั้งค่าความปลอดภัย - ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง - กฎขาออก

นำทางไปตามเส้นทาง

ที่แผงด้านขวา คลิกขวาแล้วเลือก“กฎใหม่…”

ในกล่องป๊อปอัป ให้เลือก"กฎที่กำหนดเอง"จากนั้นคลิกถัดไป

ปล่อยให้ตัวเลือกเริ่มต้นเป็น"โปรแกรมทั้งหมด"แล้วคลิกถัดไป

ปล่อยให้ค่าเริ่มต้นของโปรโตคอลเป็น"ใดๆ"แล้วคลิกถัดไป

หน้าจอถัดไปนี้เป็นที่ที่คุณจะเพิ่มการตั้งค่าส่วนใหญ่ของคุณ ใน ส่วน "ที่อยู่ IP ระยะไกล"เลือก"ที่อยู่ IP เหล่านี้"แล้วคลิก"เพิ่ม"

ในหน้าต่างป๊อปอัปถัดไป คุณต้องเพิ่มช่วง IP ดังนั้นคลิก"ช่วง IP นี้"และป้อนช่วง0.0.0.1 – 9.255.255.255เช่นนี้

เพิ่มช่วง IP บางช่วง

คุณจะต้องทำซ้ำสองขั้นตอนข้างต้นเพื่อเพิ่มช่วง IP ต่อไปนี้:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

เมื่อคุณทำรายการเสร็จแล้ว คุณจะมีหน้าจอที่มีลักษณะเช่นนี้ หากคุณพอใจให้คลิกถัดไป

รายการช่วง IP เมื่อเสร็จสิ้น

ในหน้าจอถัดไป ตรวจสอบให้แน่ใจว่าการกระทำนั้นถูกทำเครื่องหมายเป็น"บล็อก"แล้วคลิก"ถัดไป"

ในโปรไฟล์ของคุณ คุณอาจต้องการเน้นสถานที่เหล่านี้ทั้งหมดแล้วคลิก"ถัดไป"

ตั้งชื่อกฎให้สมเหตุสมผลแล้วคลิก"เสร็จสิ้น"

ติดตั้งอินเทอร์เน็ต GPO

ถัดไป คุณจะต้องตั้งค่าพรอกซีปลอม คุณอาจต้องดาวน์โหลดแพ็คเกจผู้ดูแลระบบ IEก่อน

ไปที่การกำหนดค่าผู้ใช้ - การตั้งค่า - การตั้งค่าแผงควบคุม - การตั้งค่าอินเทอร์เน็ตและคลิกขวาที่ตัวเลือกสร้างการตั้งค่าใหม่ในแผงด้านขวา

จากนั้นคลิกการเชื่อมต่อจากนั้นคลิกการตั้งค่าLAN

ในช่องที่ปรากฏขึ้น ให้เลือก"ใช้พร็อกซีเซิร์ฟเวอร์สำหรับ LAN ของคุณ"และในกล่องที่อยู่ ให้ป้อน"127.0.0.1"บนพอร์ต"3128"ดังนี้:

ทำเครื่องหมายที่ “ใช้พร็อกซีเซิร์ฟเวอร์สำหรับ LAN ของคุณ”

จากนั้นคลิกตกลงสองครั้งเพื่อกลับไปยังหน้าจอ GPO หลัก

คลิกตกลงสองครั้งเพื่อกลับไปยังหน้าจอ GPO หลัก

ถัดไปใน GPO ไปที่การกำหนดค่าผู้ใช้ – เทมเพลตการดูแลระบบ – ส่วนประกอบของ Windows – Internet Explorer

ทางด้านขวาคุณจะต้องค้นหาตัวเลือกที่ระบุว่า“ปิดการใช้งานการเปลี่ยนการตั้งค่าการเชื่อมต่อ” . เมื่อคุณเห็นมัน ให้เปิดมันโดยดับเบิลคลิกที่มัน

เปิดใช้งานการตั้งค่านี้แล้วคลิกตกลง

ปิดหน้าต่าง GPO ทั้งหมด เท่านี้ก็เสร็จเรียบร้อย!

ดูเพิ่มเติม:

• วิธีบล็อกการเข้าถึงอินเทอร์เน็ตสำหรับบัญชีผู้ใช้เฉพาะ