如何使用群組原則 (GPO) 阻止 Internet 訪問

本文將向您展示如何封鎖 Active Directory 群組原則物件中的使用者或電腦存取 Internet。此功能已在 Windows 7、Windows 10 上測試，效果非常好！

有許多教學詳細介紹如何透過實作不存在的代理來阻止存取。這種方法對某些事情會起作用，但問題是並非所有軟體都一定使用這些設定來連接互聯網，並且不一定會阻止特定用戶使用這些設定。

本指南建議使用透過Active Directory管理的Windows 防火牆來封鎖所有其他 Internet IP 位址，從而強制執行不存在的代理程式。

如果不執行這兩項操作，代理程式可能會存在於網路上的私有（允許）IP 範圍內，從而進行 Internet 活動。您可以根據需要將此群組原則套用至單一使用者或整個組織部門，並且它可以在所有裝置上正常運作。

請注意，對於 Windows 防火牆，規則的順序並不重要，阻止操作將優先於允許規則。因此，必須封鎖所有非私有 IP 範圍，或者換句話說，整個網路上的所有 IP 位址，甚至無需指定私有 RFC 1918 和 RFC 5735 範圍。

摘要版本

建立 Windows 防火牆原則並在 BLOCK 規則中指定這些 IP 位址範圍：

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

還創建一個不存在的代理並阻止用戶更改此設定。

Windows 防火牆 GPO

像平常一樣編輯群組策略並選擇要套用新策略的適當物件。

像平常一樣編輯群組策略

為其指定一個合理的名稱，然後按一下「確定」。

然後在右側畫面中編輯剛剛建立的 GPO。

接下來，導覽至政策 – Windows 設定 – 安全性設定 – 進階安全性 Windows 防火牆 – 出站規則。

按路徑導航

在右側面板上，右鍵單擊並選擇“新規則...”。

在彈出的方塊中選擇「自訂規則」，然後按一下「下一步」。

保留預設選項“所有程式”，然後按一下“下一步”。

將協定預設保留為“Any”，然後按一下“下一步”。

您將在下一個畫面中新增大部分設置，在「遠端 IP 位址」部分中，選擇「這些 IP 位址」並按一下「新增」。

在下一個彈出視窗中，您需要新增一些 IP 範圍，因此按一下「This IP Range」並輸入範圍0.0.0.1 – 9.255.255.255，如下所示：

添加一些IP範圍

您必須重複上述兩個步驟才能新增下列 IP 範圍：

• 0.0.0.1 - 9.255.255.255
• 11.0.0.0 - 126.255.255.255
• 128.0.0.0 - 169.253.255.255
• 169.255.0.0 - 172.15.255.255
• 172.32.0.0 - 192.167.255.255
• 192.169.0.0 - 198.17.255.255
• 198.20.0.0 - 255.255.255.254

完成該清單後，您將看到如下所示的螢幕，如果您滿意，請按一下「下一步」。

完成後的 IP 範圍列表

在下一個畫面上，確保該操作被標記為「封鎖」，然後按一下「下一步」。

在您的個人資料中，您可能需要突出顯示所有這些位置，然後按一下「下一步」。

給規則一個合理的名稱，然後按一下「完成」。

安裝網路 GPO

接下來，您需要設定一個假代理。您可能需要先下載 IE 管理套件。

導覽至使用者配置 - 首選項 - 控制面板設定 - Internet 設定，然後右鍵單擊右側面板中的建立新設定選項。

然後按一下「連線」，然後按一下「區域網路 設定」。

在出現的方塊中，選取「為 LAN 使用代理伺服器」，然後在位址方塊中，在連接埠「3128」上輸入「127.0.0.1」，如下所示：

勾選“為您的 LAN 使用代理伺服器”

然後按一下「確定」兩次以返回主 GPO 畫面。

按一下「確定」兩次返回主 GPO 螢幕

接下來在 GPO 中，前往「使用者設定」-「管理模板」-「Windows 元件」-「Internet Explorer」。

在右側，您需要找到「停用更改連線設定」的選項。當您看到它時，請雙擊將其打開。

啟用此設定並按一下“確定”。

關閉所有 GPO 視窗即可完成！

看更多：

• 如何阻止特定用戶帳戶的互聯網訪問