none
Windows server 2012 r2 (AD, DC) как запретить доступ в интернет пользователям подключающимся к терминалам под управлением этим доменом RRS feed

  • Вопрос

  • Здравствуйте, как запретить доступ в интернет групповой политикой 2012 r2.

    Интересует именно групповой политикой, а не сторонники фаер волами и прочей шелухой.

    Создание правила в "Параметры обозревателя"(а именно указание не верного прокси сервера) не работает, на терминалах используется IE 11, а там только до 10го. Может я что то не так делаю, вообщем прошу помощи профессионалов) Спасибо

    26 сентября 2017 г. 9:05

Ответы

  • Какое прямое решение задачи я откинул? По ссылке, где указывать не правильный прокси сервер? Не знаю может работает это для IE 10 или ниже, но на IE 11 это правило не действует. А виндовым фаерволом еще не пробовал, можно инструкцию как это сделать?

    Добрый День.

    netsh advfirewall firewall add rule name="Block inbound Port 80" dir=in localport=80 protocol=TCP action=block
    netsh advfirewall firewall add rule name="Block inbound Port 443" dir=in localport=443 protocol=TCP action=block
    netsh advfirewall firewall


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter.


    26 сентября 2017 г. 16:36
    Модератор
  • Так я и сделал именно так как показано на тех снимках, ставлю не правильный прокси сервер, но ничего у пользователей не применяется и интернет по прежнему работает. Я не пробовал только способ с реестром, боюсь в реестр лезть. Неужели нет нормального способа запрета интернета? В административных шаблонах управления IE просто миллиард пунктов настройки, но нету обычного отключения интернета, как так то блин. Помоги до завтра нужно сделать это!)

    у вас одноранговая сеть? если да уберите шлюз, если многоранговая сеть рулите всех на маршрутизаторах

    есть еще рагульный вариант с фаерволом на исходящих на входящих портах зарубить 80 и 443 tcp подключения

    что касаемо прокси через шаблоны - настраивайте через RSAT с последних ОС, или настраивайте через реестр, вот только эту настройку любой пользюк может поменять в зад, и им подсказку будут выдавать браузеры...


    The opinion expressed by me is not an official position of Microsoft


    26 сентября 2017 г. 11:44
    Модератор
  • Какое прямое решение задачи я откинул? По ссылке, где указывать не правильный прокси сервер? Не знаю может работает это для IE 10 или ниже, но на IE 11 это правило не действует. А виндовым фаерволом еще не пробовал, можно инструкцию как это сделать?

    Если вы перечитаете мой ответ (3й сверху) найдете ответ как сконфигурить проксю 2 методами что бы это работало, те же самые рекомендации вы найдете если погуглите "proxy gpo".

    Так же не проблема спросить у гугла "how to block 80 port windows"

    Вам дали конкретные рекомендации где и как решать вашу задачу, осталось только погуглить те вопросы которые как правило закрываются или опытом\практикой или гуглом


    The opinion expressed by me is not an official position of Microsoft

    26 сентября 2017 г. 18:44
    Модератор

Все ответы

  • раз хотите извращений, то настраивайте гпо.

    https://blogs.msdn.microsoft.com/askie/2015/10/12/how-to-configure-proxy-settings-for-ie10-and-ie11-as-iem-is-not-available/


    MCSAnykey

    26 сентября 2017 г. 9:14
  • Так я и сделал именно так как показано на тех снимках, ставлю не правильный прокси сервер, но ничего у пользователей не применяется и интернет по прежнему работает. Я не пробовал только способ с реестром, боюсь в реестр лезть. Неужели нет нормального способа запрета интернета? В административных шаблонах управления IE просто миллиард пунктов настройки, но нету обычного отключения интернета, как так то блин. Помоги до завтра нужно сделать это!)
    26 сентября 2017 г. 10:43
  • Так я и сделал именно так как показано на тех снимках, ставлю не правильный прокси сервер, но ничего у пользователей не применяется и интернет по прежнему работает. Я не пробовал только способ с реестром, боюсь в реестр лезть. Неужели нет нормального способа запрета интернета? В административных шаблонах управления IE просто миллиард пунктов настройки, но нету обычного отключения интернета, как так то блин. Помоги до завтра нужно сделать это!)

    у вас одноранговая сеть? если да уберите шлюз, если многоранговая сеть рулите всех на маршрутизаторах

    есть еще рагульный вариант с фаерволом на исходящих на входящих портах зарубить 80 и 443 tcp подключения

    что касаемо прокси через шаблоны - настраивайте через RSAT с последних ОС, или настраивайте через реестр, вот только эту настройку любой пользюк может поменять в зад, и им подсказку будут выдавать браузеры...


    The opinion expressed by me is not an official position of Microsoft


    26 сентября 2017 г. 11:44
    Модератор
  • Пытаться зарезать доступ через настройки IE - такое себе занятие. Ну, пропишете левый прокси на всех компах - и чё? Юзер вставит флешку, запустит с неё portable-браузер и без проблем будет ходить куда угодно. Да и другой софт тоже будет в инет ходить - далеко не любое ПО использует системный winhttp proxy.

    Через групповые политики можно рулить виндовым брандмауэром - он как раз предназначен для контроля сетевого доступа. Любого, включая 80 и 443.
    26 сентября 2017 г. 11:56
  • Пока одноранговая, но есть подключения из вне не по ВПН к этому терминалу, просто проброшено через указанный порт на маршрутизаторе. Блин подскажите уже дельный способ убить интернет в IE 11, сижу туплю как ламер, никогда не озадачивался этим вопросом, но вот озадачился и понял что это не так легко сломать интернет))
    • Изменено TrueLoveStyle 26 сентября 2017 г. 13:01
    26 сентября 2017 г. 13:01
  • Блин подскажите уже дельный способ убить интернет в IE 11
    вы этот способ в первом своем посте упомянули, только назвали его  "сторонники фаер волами и прочей шелухой."

    MCSAnykey

    26 сентября 2017 г. 13:12
  • это официальный форум microsoft? 
    26 сентября 2017 г. 13:23
  • это официальный форум microsoft? 

    О том официальный это форум или не очень вы можете удостовериться прочитав самую нижнюю правую фразу на этой странице.

    Прямое решение задачи вы почему то откинули сразу, но не смотря на это Вам дали варианты решения вашей задачи "не традиционными методами".

    Цитата: "есть еще рагульный вариант с фаерволом на исходящих на входящих портах зарубить 80 и 443 tcp подключения." (на виндовом фаерволе это делается)

    P.S. Проброшенная дырка это очень жестяковое решение, которое уже не одну контору погубило...


    The opinion expressed by me is not an official position of Microsoft


    26 сентября 2017 г. 14:22
    Модератор
  • Какое прямое решение задачи я откинул? По ссылке, где указывать не правильный прокси сервер? Не знаю может работает это для IE 10 или ниже, но на IE 11 это правило не действует. А виндовым фаерволом еще не пробовал, можно инструкцию как это сделать?
    26 сентября 2017 г. 15:04
  • Какое прямое решение задачи я откинул? По ссылке, где указывать не правильный прокси сервер? Не знаю может работает это для IE 10 или ниже, но на IE 11 это правило не действует. А виндовым фаерволом еще не пробовал, можно инструкцию как это сделать?

    Если вы перечитаете мой ответ (3й сверху) найдете ответ как сконфигурить проксю 2 методами что бы это работало, те же самые рекомендации вы найдете если погуглите "proxy gpo".

    Так же не проблема спросить у гугла "how to block 80 port windows"

    Вам дали конкретные рекомендации где и как решать вашу задачу, осталось только погуглить те вопросы которые как правило закрываются или опытом\практикой или гуглом


    The opinion expressed by me is not an official position of Microsoft

    26 сентября 2017 г. 18:44
    Модератор