So blockieren Sie den Internetzugriff mithilfe von Gruppenrichtlinien (GPO)

In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Diese Funktion wurde unter Windows 7 und Windows 10 getestet und funktioniert hervorragend!

Es gibt viele Tutorials, in denen detailliert beschrieben wird, wie der Zugriff durch die Implementierung eines nicht vorhandenen Proxys blockiert wird. Diese Methode funktioniert für einige Dinge, das Problem besteht jedoch darin, dass nicht jede Software diese Einstellungen unbedingt für die Verbindung mit dem Internet verwendet und einen bestimmten Benutzer nicht unbedingt daran hindert, diese Einstellungen zu verwenden. .

In diesem Handbuch wird empfohlen , die über Active Directory verwaltete Windows-Firewall zu verwenden , um alle zusätzlichen Internet-IP-Adressen zu blockieren und nicht vorhandene Proxys zu erzwingen.

Ohne beides zu tun, können Proxys in Ihrem Netzwerk in privaten (zulässigen) IP-Bereichen vorhanden sein und somit Internetaktivität ausüben. Sie können diese Gruppenrichtlinie je nach Bedarf auf einzelne Benutzer oder ganze Organisationseinheiten anwenden und sie funktioniert auf allen Geräten gut.

Bitte beachten Sie, dass bei der Windows-Firewall die Reihenfolge der Regeln keine Rolle spielt. Blockierungsaktionen haben Vorrang vor Zulassungsregeln. Daher müssen alle nicht-privaten IP-Bereiche blockiert werden, d. h. alle IP-Adressen im Internet insgesamt, ohne dass private RFC 1918- und RFC 5735-Bereiche überhaupt angegeben werden müssen.

Zusammenfassungsversion

Erstellen Sie eine Windows-Firewall-Richtlinie und geben Sie diese IP-Adressbereiche in der BLOCK-Regel an:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Erstellt außerdem einen nicht vorhandenen Proxy und verhindert, dass Benutzer diese Einstellung ändern.

GPO der Windows-Firewall

Bearbeiten Sie die Gruppenrichtlinie wie gewohnt und wählen Sie ein geeignetes Objekt aus, auf das die neue Richtlinie angewendet werden soll.

Bearbeiten Sie die Gruppenrichtlinie wie gewohnt

Geben Sie einen sinnvollen Namen und klicken Sie auf OK.

Bearbeiten Sie dann im rechten Bildschirm das soeben erstellte Gruppenrichtlinienobjekt.

Navigieren Sie als Nächstes zu Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Windows-Firewall mit erweiterter Sicherheit – Ausgehende Regeln .

Navigieren Sie nach Pfad

Klicken Sie im rechten Bereich mit der rechten Maustaste und wählen Sie „Neue Regel…“.

Wählen Sie im Popup-Fenster „Benutzerdefinierte Regel“ aus und klicken Sie dann auf „Weiter“.

Behalten Sie die Standardoption „Alle Programme“ bei und klicken Sie auf „Weiter“.

Belassen Sie die Protokollstandardeinstellung auf „Any“ (Any) und klicken Sie auf „ Next“ (Weiter).

Auf diesem nächsten Bildschirm fügen Sie die meisten Ihrer Einstellungen hinzu. Wählen Sie im Abschnitt „Remote-IP-Adressen“ „Diese IP-Adressen“ aus und klicken Sie auf „Hinzufügen“.

Im nächsten Popup-Fenster müssen Sie einige IP-Bereiche hinzufügen. Klicken Sie also auf „Dieser IP-Bereich“ und geben Sie den Bereich 0.0.0.1 – 9.255.255.255 ein , etwa so:

Fügen Sie einige IP-Bereiche hinzu

Sie müssen die beiden oben genannten Schritte wiederholen, um die folgenden IP-Bereiche hinzuzufügen:

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

Wenn Sie diese Liste ausgefüllt haben, wird ein Bildschirm angezeigt, der wie folgt aussieht. Wenn Sie zufrieden sind, klicken Sie auf „ Weiter“.

Liste der IP-Bereiche nach Fertigstellung

Stellen Sie im nächsten Bildschirm sicher, dass die Aktion mit „Blockieren“ markiert ist , und klicken Sie auf „Weiter“.

In Ihrem Profil möchten Sie möglicherweise alle diese Standorte markieren und dann auf „Weiter“ klicken.

Geben Sie der Regel einen sinnvollen Namen und klicken Sie auf „Fertig stellen“.

Installieren Sie das Internet-GPO

Als nächstes müssen Sie einen gefälschten Proxy einrichten. Möglicherweise müssen Sie zuerst das IE-Administratorpaket herunterladen .

Navigieren Sie zu Benutzerkonfiguration – Einstellungen – Systemsteuerungseinstellungen – Interneteinstellungen und klicken Sie mit der rechten Maustaste auf die Option „Neue Einstellungen erstellen“ im rechten Bereich.

Klicken Sie dann auf Verbindungen und dann auf LAN- Einstellungen.

Aktivieren Sie im angezeigten Feld „Proxyserver für Ihr LAN verwenden“ und geben Sie im Adressfeld „127.0.0.1“ auf Port „3128“ ein , etwa so:

Aktivieren Sie „Verwenden Sie einen Proxyserver für Ihr LAN“.

Klicken Sie dann zweimal auf OK , um zum GPO-Hauptbildschirm zurückzukehren.

Klicken Sie zweimal auf OK, um zum GPO-Hauptbildschirm zurückzukehren

Gehen Sie als Nächstes im Gruppenrichtlinienobjekt zu Benutzerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Internet Explorer .

Auf der rechten Seite müssen Sie die Option „Ändern der Verbindungseinstellungen deaktivieren“ finden . Wenn Sie es sehen, öffnen Sie es, indem Sie darauf doppelklicken.

Aktivieren Sie diese Einstellung und klicken Sie auf OK.

Schließen Sie alle GPO-Fenster und fertig!

Mehr sehen:

• So blockieren Sie den Internetzugriff für ein bestimmtes Benutzerkonto